Internetzugang abhängig von %Computername% und über Client steuerbar

Mitglied: whitecobra

whitecobra (Level 1) - Jetzt verbinden

25.07.2006, aktualisiert 21.09.2008, 5990 Aufrufe, 6 Kommentare

Folgende Situation:

Schule mit 2 Computerräumen für den Unterricht (je 14 Clients + 1 Lehrerclient) und 1 Computerraum für eigenständiges Arbeiten. Alles in einer Domäne mit automatischer IP-Vergabe. In den Unterrichtsräumen soll der Internetzugang raumabhängig vom Lehrerclient aus an oder abgeschaltet werden können. Im anderen Raum soll das Internet immer laufen, jedoch über eine Whitelist.


Meine Idee:

Jana Server für jeden Computerraum einmal installieren. Die IP Adresse ist bei allen Jana-Servern die gleiche, der Port jedoch immer anders. Der für den Raum passende Jana-Server wird den Clients eines Raumes per Richtlinie zugeordnet. In dem Raum für selbstständiges Arbeiten bekommt der Jana die Whitelist verpasst. In den anderen beiden Räumen kann der Jana vom Lehrerclient aus an oder abgeschaltet werden.


Meine Fragen:

Ist das wirklich alles so einfach zu realisieren? Oder kommen sich die Janas dann wegen der selben IP in die Quere? Gibt es vielleicht eine elegantere Lösung mit nur einem Proxy, wo man das auch alles so regeln kann? Dann müßte das ganze halt computernamenspezifisch laufen, weil ich dynamische IPs verwende. Oder gibt es sogar Server, wo man sagen kann, daß spezielle Organisationseinheiten ins Internet dürfen oder nicht? Wichtig is bei der ganzen Sache halt immer, daß man das Internet pro Raum an und abschalten kann und nicht nur allgemein. Und es sollte per one-klick vom Lehrerclient machbar sein...nicht jeder Lehrer ist sehr computerbewandert ;)
Mitglied: Metzger-MCP
25.07.2006 um 19:05 Uhr
Welche Software habt ihr schon, welche Hardware habt Ihr schon, welche Betriebsysteme sollen in den Räumen sein.

Es gibt viele Möglichkeiten die zu einer Umsetzung führen können. Günstige, Teure, Gute, Schlechte...

Ich notiere mal Kurz Stichpunktartig.

Der DC ( DomainController ) ist DSL Router ( Routing Ras ) und Memberserver.
Hier könnten auch der DNS und der DHCP ggf auch der WINS Dienst sein.
Mit den Gruppen und User Profilen könnte die Internetmöglichkeit geregelt werden ( nur Domainuser ). Ein Firewall Proxy Server ( ISA ) könnte dann noch Protokolle und so weiter Filtern sowie die Userberechtigungen selbst fürs Internet steuern ( Computernamen ). Und so weiter... Der DC Router bindet dann die Räume an.

Möglichkeit 1

Alle Schülerclients incl Lehrer PC hängen an einem Switch der wiederum auch an einem DSL Router hängt. Der Router weist die DHCP Addis zu den Clients zu fertig. Soll Internet vorhanden sein, steckt das Kabel Internet im Router, wenn nicht, Kabel entfernen.

Möglichkeit 2

Der Lehrer PC fungiert mit ICS als Internet Router und DHCP Server ( Client ) oder es ist ein ServerBS drauf, und der regelt dann die Komunikation mit Routing /Ras.

Möglichkeit 3

Man baut einen Rechner auf der als Raum Router fungiert, legt die Routen per Script fest und ändert über ein Tool nur die IP Addresse der 2ten Lan Card ( falscher IP kein Inet, richtige IP Inat ist da )

Möglichkeit 4 .. 5 .. 6 .. 7

MFG Metzger
Bitte warten ..
Mitglied: whitecobra
25.07.2006 um 21:27 Uhr
Mit großen Investitionen siehts an öffentlichen Stellen wie Schulen leider immer schlecht An Hardware ist schon alles vorhanden und da kann leider auch nicht mehr viel nachgekauft werden. Hier mal der momentane Aufbau:

DSL-Modem
|
|
PC mit 2 Netzwerkkarten und Jana (WinXP Prof)
|
|
Server (Win2003 Standard)
|
|
Switch
|
|
Clients (WinXP Prof)


Möglichkeit 1 entfällt, weil mit den kabeln würden manche Lehrer nicht zurecht kommen. Außerdem haben wir dafür zu wenig Switches und alles ist in einem Serverschrank, wofür nicht jeder den Schlüssel hat.

Möglichkeit 2 entfällt auch, weil der Serverschrank inkl. DSL Anschluß räumlich bald getrennt sein wird.

Möglichkeit 3 hört sich ja ähnlich wie meine Idee an, bloß das ich halt Proxy-Server statt Routern verwenden wollte und quasi alle Raum-Proxys/Router auf dem selben Rechner installieren wollte. Was wäre überhaupt der Vorteil, einen Softwarerouter zu verwenden anstatt einem Proxy-Server? Welcher Software Router wäre am besten geeignet? Wichtig is halt die One-Klick Lösung. Das scheint aber ja über ein Skript realisierbar zu sein. Ich könnte ja dann einfach die IP des Proxys/Routers über ein Skript ändern und schon würde das Inet nicht mehr funktionieren.
Bitte warten ..
Mitglied: Metzger-MCP
26.07.2006 um 09:23 Uhr
Also Router sind keine Proxy ! Das sind 2 ganz unterschiedliche Dinge !

Zwa kann ein Proxy eine gewisse Routingfunktionalität haben, aber kein Router ein Proxy.

Das heist also du hast ein Switch ( im Schrank ) und da gehen alle Kabel aus den 3 Räumen hin ?

Ob die Lehrer damit überforder sind 1 Netzwerkkabel aus einem Netzwerkgerät herraus und wieder herrein zu stecken, bezweifele ich aber das ist auch nicht die beste Lösung.

Also kann ich festhalten, alle Schüler und Lehrer haben XP Pro, es gibt ein Server mit 2003, der das alles regeln soll, ein Switch an Centraller Stelle für alle Räume und das War es ?

Welches Version des Server 2003 BS ist das ? Hat es ein ISA Server drin ?

Sofern es nicht zu sehr eilt ( mal 2 Tage ) kann ich dir vielleicht eine Interresannte Lösung erstellen.

Mfg Metzger
Bitte warten ..
Mitglied: whitecobra
26.07.2006 um 11:43 Uhr
Das Router keine Proxy sind is mir eigentlich schon klar. Der Router bekommt doch eine IP, die dann bei den Clients als Gateway eingetragen wird. Somit funktioniert alles an Internetsachen, ohne daß ich in den Programmen speziell was einstellen muß, oder? Bei einem Proxy muß ich ja in allen Programmen, die ins Internet wollen, den Proxy entsprechend eintragen. Da gibts also sozusagen nicht eine Eintragmöglichkeit an zentraler Stelle im Windows, die dann für alle Programme gilt. In der Erklärung sind jetzt bestimmt nicht ale Unterschiede aufgeführt, aber das is das, was ich als relativer Laie sofort erkenne :D

Von der verfügbaren Hardware sieht es genau so aus. Alles leider etwas dürftig. OK einen Rechner auf dem der Jana läuft haben wir auch noch (WinXP Prof). Von Win2003 ist es die Standardversion. Microsoft-Lizenzen bekommen wir von der Stadt immer massig. Wir dürfen den Server so oft installieren wie wir wollen und WinXp Prof sowieso. Probleme macht immer nicht MS Zusatzsoftware, weil dafür kein Geld da ist.

Die Sache eilt erstmal überhaupt nicht...vor dem 08.08. läuft da erstmal eh nix wegen Ferien

Ich hab mich auch nochmal ein wenig im Internet umgeschaut und würde von meinem Stand der Dinge momentan folgendes Probieren: Auf dem zusätzlichen Rechner im Serverschrank wird Jana installiert und der Rechner bekommt die feste IP 192.168.0.2. Dieser Jana wählt sich ganz normal über DFÜ ein. Der Server und die ganzen Lehrerrechner können jetzt über diesen Proxy immer online gehen. Jeder Lehrerrechner erhält jetzt ebenfalls eine feste IP. Auch wird auf jedem Lehrerrechner Jana installiert und die IP 192.168.0.2 als vorgelagerter Proxy eingetragen. Auf den Desktop würd ich zwei Batchdateien legen, mit denen sich der Jana-Dienst auf dem Lehrerrechner starten/stoppen läßt. Den ganzen Schülerrechnern wird bei Anmeldung per Gruppenrichtlinie je nach Raum die passende IP des Lehrerrechners als Proxy zugeordnet. Hab ich da irgendwelche Denkfehler drin oder würde das funktionieren?

Vielen Dank, daß du dir soviel Zeit nimmst.
Gruß, Thomas
Bitte warten ..
Mitglied: Biber3
13.12.2006 um 20:13 Uhr
So etwas wie das zuletzt von whitecobra vorgeschlagene versuche ich auch gerade zu implementieren. Also: 2 Unterrichtsräume, jeweils 1 Lehrer-PC auf dem Jana läuft, jeweils 20 Schüler-PCs auf denen der Jana des jeweiligen Raumes als Proxy eingetragen ist. Der Lehrer kann Jana starten, dann wird der Internetzugriff des Schüler-IE auf den Gateway des gesamten Netzwerks geroutet und wenn der Lehrer auf trennen klickt, laufen die Zugriffe ins Leere.

Ist da inzwischen was realisiert worden? Würde mich sehr interessieren.

Mein aktuelles Problem dabei:
Ich kann die Proxyeinstellungen per Gruppenrichtlinie nicht Computerkonten zuweisen, sondern nur Benutzern. Das bringt mir aber nichts, weil der Zugang Raumweise und nicht Benutzerweise gesperrt werden soll. Hab dazu schon viele Fragen aber keine Antwort ergooglen können. Wäre über Hilfe sehr froh.

Gruß,
Biber3
Bitte warten ..
Mitglied: marsmars
21.09.2008 um 04:03 Uhr
Hallo, ich habe grade diesen Beitrag zufällig gefunden.
Ich bin Schüleradministrator und habe unteranderem eine Facharbeit mit diesem Thema geschrieben.
Das mit den Proxys ist keine gute idee, denn mit zum beispiel portabel firefox ist das leicht zu umgegehen.
Internet für Räume ein und ausschalten
1) Eine schöne Möglichkeit ist z.B. IPCop mit Advanced Proxy und dem CRE Modul, zur Vereinfachung sollte dann aber je Raum eine DHCP Server mit eigenem Subnet und einen Switch installiert werden, sowie einen Router zum Subnetz an dem der Server hängt. Alternativ
kann mit einem Addon (Name bitte selber suchen) auch mehrere grüne / graue Interfaces bei IPCop hinzugefügt werden, somit bräuchte man keine weiteren Router.
Dann kann per Website das Internet im Raum (=Subnet) sperren (Dies geschieht letztendlich mit IPtabels). Vorteil: betriebssystem unabhängig, Ersatzpcs werden egal wo sie aufgebaut werden richtig verwaltet durch IP subnet bereich
2) In vielen Schulen sind die PCWächter karten oder ein software schutz von DR Kaiser installiert, dort gibt es das kostenlose tool Lehrerconsol, Vorteil einerfreundlich, Nachteil: Schutzkarten etc kosten viel.

Computerraum für eigenständiges Arbeiten - Whitelist in einem Raum:
1) Ein weiterer Router (IPCOP mit Advanced Proxy und dem Modul für weitere grüne / graue Interfaces): Das Grüne Interface ist die Verbindung zum Switch des Raumes (mit eigenem Subnet), das graue (wie eine grünes Interface) die Verbindung zum Switch andem der Internetrouter und der Domaincontroller hängt. Auf diesem wird dann ein Transparenter Proxy auf Port 80 mit einer whitelist auf dem Grünen Interface installiert. Das wars...

2) eigener Proxy mit whitelist, der dann bei den Clietns eingetragen ist, nachteil: mit z.B. portabel firefox umgehbar...

Dies soll natürlich nur ein Überblick darstellen, sucht euch bitte passende Howtos raus, um zuverstehen wie ich das meine; Stichworte: IPCop, Advanced Proxy (CRE)

Da sich meine Facharbeit aber mehr um Sicherheit als um Klassenraum sperrung handelt habe ich mich für Endian entschieden, das leider kein CRE bot, dafür eine leicht zuverwaltende Firewall mit virenschutz und etc., daher steht die Debatte wieder bei mir an der Schule an, ich werde wahrschein IPCop dazwischen schalten ...
Bitte warten ..
Heiß diskutierte Inhalte
HTML
Ich brauche dringend Hilfe !
gelöst JulianpustVor 1 TagFrageHTML19 Kommentare

Hallo erstmal, ich habe großen Mist gebaut in der Firma wo ich gerade mal 2 Tage arbeite. Was ist passiert: Ich sollte von Gmail ...

LAN, WAN, Wireless
8 Geräte - verteilen oder auf einen Switch?
DoKi468Vor 1 TagFrageLAN, WAN, Wireless12 Kommentare

Hallo liebe Admins, eine kurze Frage: Ich habe hier eine FB 6190 Cable stehen sowie einen noch unmonitored switch mit 8 Anschlüssen. Momentan sieht ...

Windows Server
Server-Internetverbindung kurz trennen und wieder aktivieren
gelöst imebroVor 1 TagFrageWindows Server13 Kommentare

Hallo, wir haben im Moment fast täglich immer wieder Ausfälle unserer Internetverbindung. Unser Provider sagt, dass er kein Problem feststellen kann. Aber wenn vom ...

Windows Server
Windows Firewall: Alle öffentliche IPs sperren bis auf eine
SabSchapVor 1 TagFrageWindows Server7 Kommentare

Hallo, wir haben einen Windows 2019 Server. Wir nutzen diesen als Webserver. Nun haben wir die Webadresse www.test.de und möchten diese für alle öffentlichen ...

Netzwerke
Hardware-Firewall - NGFW - UTM für Privatgebrauch
LordVoodooVor 1 TagFrageNetzwerke7 Kommentare

Hallo liebe Community, seit mehreren Wochen beschäftige ich mich nun schon mit dem Thema Hardware-Firewall, ausgelöst durch Begriffe wie UTM / NGFW / Layer-7-DPI. ...

LAN, WAN, Wireless
"Ethernet verfügt über keine gültige IP-Konfiguration"
gelöst archITVor 10 StundenFrageLAN, WAN, Wireless18 Kommentare

Moin, folgendes Problem: Jedes mal, wenn ich meinen PC an mache, muss ich die Problembehandlung auf der Ethernet schnittstelle ausführen, dass ich Internet habe. ...

Hardware
Kabelfernsehen in anderen Raum "übertragen" ?
cramtroniVor 1 TagFrageHardware6 Kommentare

Guten Tag zusammen, ich hätte eine Frage und zwar gibt es in unserem Haus nur einen Kabelanschluss (Coax) für das Kabelfernsehen, nun hätte ich ...

Router & Routing
FritzBox VPN Zugriff auf anderes Subnetz hinter Mikrotik router nicht möglich
gelöst schleifpVor 1 TagFrageRouter & Routing11 Kommentare

Hallo zusammen, ich habe einen Mikrotik Router der 3 VLANs macht (FamilieA, FamilieB und Common) FamilieA und FamilieB haben jeweils einen eigenen Internetanschluss über ...