Re: "Dezentrales" Proxysystem bei fehlender Namensauflösung
Hallo in die Runde,
* On Sun, Feb 16, 2014 at 09:33:50PM +0100 I wrote:
> ich habe die Aufgabe erhalten, in einer Grundschule die Rechner durch
> modernere zu ersetzen.
[...]
ich danke zuerst einmal allen, die mir mit verschiedenen Antworten (hier
als auch per PM) mit mehr Inhalt als "du hast eh keine Ahnung, lass es
sein" geantwortet haben.
Meine Antwort kommt erst jetzt, weil ich tagsüber keine Möglichkeit
habe, die Mails auch nur zu lesen. Das wird also auch für weitere
Antworten gelten.
Da habe ich ja ein Thema losgetreten. Ich merke, dass ich möglicherweise
meine Mail etwas geordneter hätte schreiben sollen und ein paar mehr
Hintergrundinformationen hätte geben sollen.
Um die Diskussion nicht ins unermeßliche zu zerpflücken werde ich
versuchen, wichtige Aspekte hier, in dieser Mail zu beantworten.
Zuerst einmal: Wie ich schrieb handelt es sich um eine Grundschule.
D.h., wir reden maximal von Viertklässlern. Die Schule hat schon einen
Computerraum, der aus einem heillosen Sammelsurium von Rechnern und
Betriebssystemen besteht (2x WinXP, 2x WinME, der Rest Win98SE und
Win98).
Die Schüler dürfen den Raum nutzen, allerdings niemals ohne Aufsicht. Er
steht also auf keinen Fall zur freien Verfügung.
Im letzten Jahr hat der Schulträger (eine VG) Rechner ausgemustert und
den diversen Schulen, für die sie Träger ist, zur Verfügung gestellt. Es
handelt sich dabei laut /proc/cpuinfo um "Intel(R) Celeron(R) CPU
3.06GHz", cpu family 15, model 4, stepping 9, microcode 0x3, 256 KB
Cache. Anhand der Daten würden ich von Prescott-256 ausgehen (s.
http://en.wikipedia.org/wiki/Intel_celeron#Prescott-256). D.h., die
Rechner dürften mit ziemlicher Sicherheit 10 Jahre auf dem Buckel haben.
Der Rechnerpool muss aufgebaut werden. Mache ich es nicht, dann macht es
der ehrenamtliche Admin der Schule, der das mal "so eben" in der
Freizeit erledigen darf. Zufälligerweise ist dieser Admin meine Frau, so
dass die Arbeit dann doch wieder bei mir landen wird - wie schon die
letzten Jahre.
Bei dem Setup ist es mir wichtig, eine Lösung zu haben, die ich
möglichst fernadministrieren kann - und zwar parallel und/oder
skriptgesteuert. Eine Lösung auf Windows aufbauend mit Remote Desktop
erfüllt dies nicht, da ich bei mehr als einer RDP-Session gleichzeitig
über die Internetleitung keine Daten mehr rüberbekomme. Es handelt sich
halt um eine ländliches Gebiet, wo DSL keine Option ist.
Ich habe jedenfalls keine Lust mehr, wie bei dem alten Kabinett
regelmäßig meine Wochenenden oder meine Feierabende in der Schule zu
verbringen. Dies umso mehr, als dass die Schule durchaus ein größeres
Stück entfernt ist.
Windows XP ist aus mehreren Gründen gesetzt:
1. Die Lehrer kennen nichts anderes als Windows - Linux ist keine Option. ;(
2. Die Lehrmaterialien, die vom Land zur Verfügung gestellt werden,
basieren auf Windows
3. Es gibt Programme zum Lernen, die nur auf Windows läuft.
(Teilweise ist für solche Software sogar XP zu neu und man muss
tricksen, um es überhaupt installiert zu bekommen)
4. Es wurden erst kürzlich (gegen meinen Rat) noch 8 WinXP-Lizenzen
angeschafft (4 waren schon vorhanden). Für weitere Lizenzen (z.B.
Win7, Win8) kann kein Geld mehr genutzt werden.
5. Eine Lösung mit Wine wird aufgrund Nr. 1 kategorisch ausgeschlossen.
Der Linux-Unterbau dient mir vor allem die einfachen Administration.
Durch das Verfrachten von Windows in eine VM habe ich Möglichkeiten,
alle Änderungen im Windows schnell rückgängig machen zu können.
Weiterhin kann ich bei einem Update/Neuinstallation in einer
Windows-Installation dieses Update auf einer Maschine installieren und
dann auf die anderen Rechner synchronisieren. Jeder, der schon einmal
mit so einem Downlink mehrere Rechner gleichzeitig auch nur nach einem
Firefox-Update hat suchen lassen weiß, wovon ich rede.
Es gab für die Schule noch die Option, eine kommerzielle Software
einzusetzen, die die Systeme auf einen wohldefinierten Zustand
zurücksetzt. Diese LÖsung favorisiere ich aber nicht, weil sie nur ein
einziges Problem lösen würde.
Soooo. Meine Anfrage nach dem "dezentralen Proxy" war sehr unglücklich
und darüber hinaus der zweite Schritt vor dem ersten.
Nach jetziger Planung gibt es halt keinen Rechner, der als Server
abgestellt werden könnte. (Obwohl einer der zu ersetzten Rechner
wahrscheinlich dafür genutzt werden könnte.) DHCP-Server im Netzwerk
gibt es, wie schon geschrieben - allerdings bekomme ich die Zugangsdaten
zum Router nicht. Um es klar zu machen: Die Schule selbst hat die Daten
nicht, versuche, sie in Erfahrung zu bringen sind bislang gescheitert.
Ich könnte mir natürlich den Proxy- und DHCP-Server mit zwei
Netzwerkkarten ausstatten und damit meine eigene Infrastruktur aufbauen.
Mein Gedanke war eben nur, ob ich das durch ein zugegebenermassen
unorthodoxes Setup vermeiden könnte, zumal ich mir sicher bin, dass
eine vorgegebene Startreihenfolge der Rechner garantiert ignoriert
werden wird. Ein permanent laufender Rechner würde wiederum nicht
akzeptiert.
Eine Namensauflösung per /etc/hosts scheitert demnach zur Zeit daran,
dass eben kein Server vorhanden ist, der diese Datei liefern könnte.
Auch gibt es keine Adresse, von der sich das die anderen Rechner ziehen
könnten. Per DHCP werden leider mit großer Wahrscheinlichkeit neue IPs
ausgeliefert, so dass ich die IP nicht fest in die "Clients" einkodieren
kann. Eine statische IP akzeptiert der Router wiederum nicht; der Server
hätte dann keinen Zugriff nach aussen. (Wobei, wenn ich gerade darüber
nachdenke, eine Variante mit zwei IPs auf dem Netzwerkgerät, also eth0
und eth0:0 möglicherweise doch noch eine Option wäre...)
Wenn ich mich zur Zeit in das testweise aufgebaute Netzwerk einlogge
dann komme ich immer auf einem Rechner raus. Um die Nachbarn zu finden
starte ich Pings auf alle Adressen des Subnetzes (Ein Broadcast-Ping
wird glücklicherweise, hierfür aber leider nicht beantwortet). Hiernach
schaue ich mir die ARP-Tabelle an und filtere nach den bekannten
MAC-Adressen, um die IPs hierzu herauszubekommen. Klingt nach einem
Hack? Ja, es ist einer, das weiß ich selbst.
Tim Boneko hat auch vollkommen recht mit der Software und die chronisch
überforderten Mitarbeiter der Verwaltung. Wobei in diesem speziellen
Fall die Mitarbeiter nicht einmal selbst kommen, sondern den PC-Händler
sämtliche Arbeiten erledigen lassen.
Die Mail von @Björn Meier möchte ich noch explizit, stellvertretend für
die anderen, beantworten:
> Das klingt als möchtest du mit allen Mitteln Linux durchsetzen. In diesem
> Fall scheint das eher ungünstig.
Nun ja, wie oben geschrieben möchte ich eine remote administrierbare
Lösung finden, die die Anzahl der "Herausfahrten" auf ein mindestes
reduziert. Deshalb der Ansatz mit VM.
> Mh, nenne mich altmodisch, aber sollte man nicht bevor man eine Lösung
> erarbeitet erst einmal alles andere dokumentieren? Irgendjemand hat die
> Info. Ich würde sie mir besorgen. Eventuell bekommst du dann etwas in die
> Hand, dass deine Entscheidungen beeinflusst.
Nun ja, ich versuche schon seit Jahren, diese Infos zu bekommen. Von
daher bin ich nicht sehr optimistisch, sie jetzt zu erhalten.
> Nur wenn es nicht allzu viele dynamische Seiten sind, dann hat ein Proxy
> nicht allzu gute Karten.
Nun ja, schon für ein Update von Browser oder anderer Software (OS lasse
ich mal aussen vor, da gibt es ab April eh nicht mehr viel ;)) würde
sich der Proxy rentieren.
> Stichwörter: WPAD, PAC. Geht alles brav über DHCP
Kenne ich, nutze ich auch privat. (Allerdings die DNS-basierende Lösung,
also per DNS-Abfrage, nicht per DHCP.) Diese Lösung geht mit dem
zentralen DHCP-Server. Die Anfrage war halt darauf gemünzt, "mir diesen
Sparen zu können". Ich werde diesen Teil meiner Lösung aber noch einmal
überdenken.
> What? Ein System, ein Proxy. Über die PAC kannst du regeln setzen, wann
> welcher Proxy genutzt werden kann, nur den Vorteil sehe ich gerade nicht.
Ich gebe zu, das war der Teil der Anfrage, der wahrscheinlich am
ehensten für Verwirrung und Irritationen auf eurer Seite geführt hat. Um
den zentralen Rechner (DHCP, Proxy, ...) zu vermeiden hatte ich die
Idee, dass jeder Rechner seinen eigenen Proxy mitbringt. So ist immer
ein Proxy vorhanden, egal, welche(r) Rechner gerade eingeschaltet ist.
Da damit aber der Gewinn durch den Proxy gerade nicht gegeben ist hätte
ich dann die einzelnen Proxys jeweils die Nachbarproxys befragen lassen,
ob diese die Seiten schon besitzen.
Ich denke aber, dass ich diesen Teil der Lösung vielleicht doch nicht
weiterverfolgen werden und mir einen der ausgedienten Rechner als Proxy
einrichten werde.
Beste Grüße,
Spiro.
--
Spiro R. Trikaliotis
http://www.trikaliotis.net/
Reply to: