Skolelinux "Architektur" aka Netztopologie.

To: user@skolelinux.de, Albrecht Frank <abfrankffm@web.de>
Subject: Skolelinux "Architektur" aka Netztopologie.
From: "C. Gatzemeier" <c.gatzemeier@tu-bs.de>
Date: Wed, 19 Jan 2005 22:47:10 +0100
Message-id: <[🔎] 200501192247.11301.c.gatzemeier@tu-bs.de>
In-reply-to: <[🔎] 41ED8289.1020908@web.de>
References: <[🔎] 20050117204748.28577e2f.skolelinux@fernmeldung.de> <[🔎] 20050118175005.GA8219@galois.math.uni-paderborn.de> <[🔎] 41ED8289.1020908@web.de>

Am Tuesday 18 January 2005 22:41 schrieb Albrecht Frank:

> PS: So weit sind wir gar nicht entfernt.

Hi!

Das würde ich auch so sehen. Die Ausgangsituationen von Schulen sind halt sehr 
unterschiedlich. (Größe/Bedarf, vorhandene Netzinfrastrukur, vorhandenne 
Mittel, ...) Es wäre eigentlich schade wenn Du dich zu schnell wieder 
ausklinken würdest. Die Sache liest sich allerdings nicht schön wenn davon 
die Rede ist das jemand mit seinen schmutzigen Handtüchern nicht an sich 
halten kann.


Aufteilbarkeit der Serverdienste ist in Skolelinux wohl vorgesehen (mindestens 
per DNS A-Einträge). Und in diese Richtung ist wohl auch das "Barebone" 
Profil angedacht von dem in faj's sarge-image Text die Rede ist.


Wie würdet Ihr das Skolelinux "Architektur" Schaubild für größere 
Installationen anpassen? Idealerweise natürlich aus der kleinen Installation 
ausbaubar. File-, Mail-, etc. Server, mehrere TC-Server, zwingend separate 
Router? Oder das durch die TC-Server erledigen lassen? (Diese machen schon 
jetzt postrouting NAT für ihr Subnetz.)


Welche Möglichkeiten würden euch einfallen um mitgebrachte PCs oder auch Dual 
Boot TC/Wxx Kisten besser im Netz  zu handhaben?

- DHCP Server auf TC-Server bekannte Clients die keinen Namen melden mit   
anderen IP Bereich booten lassen als DHCP Requests mit Namen 
(Dualboot/externe Wxx Clients) Evl. kein Routing für Win IPs.

- Ggf. und optional auch unbekannte MACs einen extra Adresspool einräumen. 
Dies ist definitiv nicht sicher aber wohl die geeignetste Möglichkeit für die 
Nutzung eigener Geräte in einem mehr oder weniger zugänglichem Raum.

- Alle nicht unter Aufsicht stehenden Dosen könnten z.B. hinter (ggf. vlan) 
einem TC-Server liegen der so wie im vorigen Punkt und filternd konfiguriert 
ist

- Ein Satz Filterregeln für den TC-Server der nicht nur aus der Masquerade 
Zeile besteht. 



Und wie die Laptops im Klassenräumen mit APs anbinden?

AP mit NAT und gateway auf VPN Endpoint (IPCOP/BLUE)?
VLAN unmöglich weil AP beliebig eingestöpselt werden soll?
Nutzung lediglich anderer IP Bereiche durch APs zu unsicher? (Wer schon an 
einer Dose hängt kann sich den Angriff auf das VPN sparen, Wer über Funk 
kommt muß erst mal den AP überwinden. Vielleicht ist es ja doch leichter 
einfach die Tür zu nehmen. ;-)

VPN ist wohl machbar für den Vollzugriff für schuleigene Rechner. Was aber 
machen für externe? Squid auth oder Ähnliches?

AP mit WPA?


Gruß
Christian

Reply to:

References:
- Squid-Nutzung erzwingen
  - From: Arnulf <skolelinux@fernmeldung.de>
- Re: Squid-Nutzung erzwingen
  - From: Maximilian Wilhelm <max@rfc2324.org>
- Re: Squid-Nutzung erzwingen
  - From: Albrecht Frank <abfrankffm@web.de>

Prev by Date: Re: Squid-Nutzung erzwingen
Next by Date: Re: Problem Anmeldung an Tjener
Previous by thread: Re: Squid-Nutzung erzwingen
Next by thread: Re: Squid-Nutzung erzwingen
Index(es):
- Date
- Thread