Internetzugang abhängig von %Computername% und über Client steuerbar
Folgende Situation:
Schule mit 2 Computerräumen für den Unterricht (je 14 Clients + 1 Lehrerclient) und 1 Computerraum für eigenständiges Arbeiten. Alles in einer Domäne mit automatischer IP-Vergabe. In den Unterrichtsräumen soll der Internetzugang raumabhängig vom Lehrerclient aus an oder abgeschaltet werden können. Im anderen Raum soll das Internet immer laufen, jedoch über eine Whitelist.
Meine Idee:
Jana Server für jeden Computerraum einmal installieren. Die IP Adresse ist bei allen Jana-Servern die gleiche, der Port jedoch immer anders. Der für den Raum passende Jana-Server wird den Clients eines Raumes per Richtlinie zugeordnet. In dem Raum für selbstständiges Arbeiten bekommt der Jana die Whitelist verpasst. In den anderen beiden Räumen kann der Jana vom Lehrerclient aus an oder abgeschaltet werden.
Meine Fragen:
Ist das wirklich alles so einfach zu realisieren? Oder kommen sich die Janas dann wegen der selben IP in die Quere? Gibt es vielleicht eine elegantere Lösung mit nur einem Proxy, wo man das auch alles so regeln kann? Dann müßte das ganze halt computernamenspezifisch laufen, weil ich dynamische IPs verwende. Oder gibt es sogar Server, wo man sagen kann, daß spezielle Organisationseinheiten ins Internet dürfen oder nicht? Wichtig is bei der ganzen Sache halt immer, daß man das Internet pro Raum an und abschalten kann und nicht nur allgemein. Und es sollte per one-klick vom Lehrerclient machbar sein...nicht jeder Lehrer ist sehr computerbewandert ;)
Schule mit 2 Computerräumen für den Unterricht (je 14 Clients + 1 Lehrerclient) und 1 Computerraum für eigenständiges Arbeiten. Alles in einer Domäne mit automatischer IP-Vergabe. In den Unterrichtsräumen soll der Internetzugang raumabhängig vom Lehrerclient aus an oder abgeschaltet werden können. Im anderen Raum soll das Internet immer laufen, jedoch über eine Whitelist.
Meine Idee:
Jana Server für jeden Computerraum einmal installieren. Die IP Adresse ist bei allen Jana-Servern die gleiche, der Port jedoch immer anders. Der für den Raum passende Jana-Server wird den Clients eines Raumes per Richtlinie zugeordnet. In dem Raum für selbstständiges Arbeiten bekommt der Jana die Whitelist verpasst. In den anderen beiden Räumen kann der Jana vom Lehrerclient aus an oder abgeschaltet werden.
Meine Fragen:
Ist das wirklich alles so einfach zu realisieren? Oder kommen sich die Janas dann wegen der selben IP in die Quere? Gibt es vielleicht eine elegantere Lösung mit nur einem Proxy, wo man das auch alles so regeln kann? Dann müßte das ganze halt computernamenspezifisch laufen, weil ich dynamische IPs verwende. Oder gibt es sogar Server, wo man sagen kann, daß spezielle Organisationseinheiten ins Internet dürfen oder nicht? Wichtig is bei der ganzen Sache halt immer, daß man das Internet pro Raum an und abschalten kann und nicht nur allgemein. Und es sollte per one-klick vom Lehrerclient machbar sein...nicht jeder Lehrer ist sehr computerbewandert ;)
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 36658
Url: https://administrator.de/forum/internetzugang-abhaengig-von-computername-und-ueber-client-steuerbar-36658.html
Ausgedruckt am: 23.12.2024 um 12:12 Uhr
6 Kommentare
Neuester Kommentar
Welche Software habt ihr schon, welche Hardware habt Ihr schon, welche Betriebsysteme sollen in den Räumen sein.
Es gibt viele Möglichkeiten die zu einer Umsetzung führen können. Günstige, Teure, Gute, Schlechte...
Ich notiere mal Kurz Stichpunktartig.
Der DC ( DomainController ) ist DSL Router ( Routing Ras ) und Memberserver.
Hier könnten auch der DNS und der DHCP ggf auch der WINS Dienst sein.
Mit den Gruppen und User Profilen könnte die Internetmöglichkeit geregelt werden ( nur Domainuser ). Ein Firewall Proxy Server ( ISA ) könnte dann noch Protokolle und so weiter Filtern sowie die Userberechtigungen selbst fürs Internet steuern ( Computernamen ). Und so weiter... Der DC Router bindet dann die Räume an.
Möglichkeit 1
Alle Schülerclients incl Lehrer PC hängen an einem Switch der wiederum auch an einem DSL Router hängt. Der Router weist die DHCP Addis zu den Clients zu fertig. Soll Internet vorhanden sein, steckt das Kabel Internet im Router, wenn nicht, Kabel entfernen.
Möglichkeit 2
Der Lehrer PC fungiert mit ICS als Internet Router und DHCP Server ( Client ) oder es ist ein ServerBS drauf, und der regelt dann die Komunikation mit Routing /Ras.
Möglichkeit 3
Man baut einen Rechner auf der als Raum Router fungiert, legt die Routen per Script fest und ändert über ein Tool nur die IP Addresse der 2ten Lan Card ( falscher IP kein Inet, richtige IP Inat ist da )
Möglichkeit 4 .. 5 .. 6 .. 7
MFG Metzger
Es gibt viele Möglichkeiten die zu einer Umsetzung führen können. Günstige, Teure, Gute, Schlechte...
Ich notiere mal Kurz Stichpunktartig.
Der DC ( DomainController ) ist DSL Router ( Routing Ras ) und Memberserver.
Hier könnten auch der DNS und der DHCP ggf auch der WINS Dienst sein.
Mit den Gruppen und User Profilen könnte die Internetmöglichkeit geregelt werden ( nur Domainuser ). Ein Firewall Proxy Server ( ISA ) könnte dann noch Protokolle und so weiter Filtern sowie die Userberechtigungen selbst fürs Internet steuern ( Computernamen ). Und so weiter... Der DC Router bindet dann die Räume an.
Möglichkeit 1
Alle Schülerclients incl Lehrer PC hängen an einem Switch der wiederum auch an einem DSL Router hängt. Der Router weist die DHCP Addis zu den Clients zu fertig. Soll Internet vorhanden sein, steckt das Kabel Internet im Router, wenn nicht, Kabel entfernen.
Möglichkeit 2
Der Lehrer PC fungiert mit ICS als Internet Router und DHCP Server ( Client ) oder es ist ein ServerBS drauf, und der regelt dann die Komunikation mit Routing /Ras.
Möglichkeit 3
Man baut einen Rechner auf der als Raum Router fungiert, legt die Routen per Script fest und ändert über ein Tool nur die IP Addresse der 2ten Lan Card ( falscher IP kein Inet, richtige IP Inat ist da )
Möglichkeit 4 .. 5 .. 6 .. 7
MFG Metzger
Also Router sind keine Proxy ! Das sind 2 ganz unterschiedliche Dinge !
Zwa kann ein Proxy eine gewisse Routingfunktionalität haben, aber kein Router ein Proxy.
Das heist also du hast ein Switch ( im Schrank ) und da gehen alle Kabel aus den 3 Räumen hin ?
Ob die Lehrer damit überforder sind 1 Netzwerkkabel aus einem Netzwerkgerät herraus und wieder herrein zu stecken, bezweifele ich aber das ist auch nicht die beste Lösung.
Also kann ich festhalten, alle Schüler und Lehrer haben XP Pro, es gibt ein Server mit 2003, der das alles regeln soll, ein Switch an Centraller Stelle für alle Räume und das War es ?
Welches Version des Server 2003 BS ist das ? Hat es ein ISA Server drin ?
Sofern es nicht zu sehr eilt ( mal 2 Tage ) kann ich dir vielleicht eine Interresannte Lösung erstellen.
Mfg Metzger
Zwa kann ein Proxy eine gewisse Routingfunktionalität haben, aber kein Router ein Proxy.
Das heist also du hast ein Switch ( im Schrank ) und da gehen alle Kabel aus den 3 Räumen hin ?
Ob die Lehrer damit überforder sind 1 Netzwerkkabel aus einem Netzwerkgerät herraus und wieder herrein zu stecken, bezweifele ich aber das ist auch nicht die beste Lösung.
Also kann ich festhalten, alle Schüler und Lehrer haben XP Pro, es gibt ein Server mit 2003, der das alles regeln soll, ein Switch an Centraller Stelle für alle Räume und das War es ?
Welches Version des Server 2003 BS ist das ? Hat es ein ISA Server drin ?
Sofern es nicht zu sehr eilt ( mal 2 Tage ) kann ich dir vielleicht eine Interresannte Lösung erstellen.
Mfg Metzger
So etwas wie das zuletzt von whitecobra vorgeschlagene versuche ich auch gerade zu implementieren. Also: 2 Unterrichtsräume, jeweils 1 Lehrer-PC auf dem Jana läuft, jeweils 20 Schüler-PCs auf denen der Jana des jeweiligen Raumes als Proxy eingetragen ist. Der Lehrer kann Jana starten, dann wird der Internetzugriff des Schüler-IE auf den Gateway des gesamten Netzwerks geroutet und wenn der Lehrer auf trennen klickt, laufen die Zugriffe ins Leere.
Ist da inzwischen was realisiert worden? Würde mich sehr interessieren.
Mein aktuelles Problem dabei:
Ich kann die Proxyeinstellungen per Gruppenrichtlinie nicht Computerkonten zuweisen, sondern nur Benutzern. Das bringt mir aber nichts, weil der Zugang Raumweise und nicht Benutzerweise gesperrt werden soll. Hab dazu schon viele Fragen aber keine Antwort ergooglen können. Wäre über Hilfe sehr froh.
Gruß,
Biber3
Ist da inzwischen was realisiert worden? Würde mich sehr interessieren.
Mein aktuelles Problem dabei:
Ich kann die Proxyeinstellungen per Gruppenrichtlinie nicht Computerkonten zuweisen, sondern nur Benutzern. Das bringt mir aber nichts, weil der Zugang Raumweise und nicht Benutzerweise gesperrt werden soll. Hab dazu schon viele Fragen aber keine Antwort ergooglen können. Wäre über Hilfe sehr froh.
Gruß,
Biber3
Hallo, ich habe grade diesen Beitrag zufällig gefunden.
Ich bin Schüleradministrator und habe unteranderem eine Facharbeit mit diesem Thema geschrieben.
Das mit den Proxys ist keine gute idee, denn mit zum beispiel portabel firefox ist das leicht zu umgegehen.
Internet für Räume ein und ausschalten
1) Eine schöne Möglichkeit ist z.B. IPCop mit Advanced Proxy und dem CRE Modul, zur Vereinfachung sollte dann aber je Raum eine DHCP Server mit eigenem Subnet und einen Switch installiert werden, sowie einen Router zum Subnetz an dem der Server hängt. Alternativ
kann mit einem Addon (Name bitte selber suchen) auch mehrere grüne / graue Interfaces bei IPCop hinzugefügt werden, somit bräuchte man keine weiteren Router.
Dann kann per Website das Internet im Raum (=Subnet) sperren (Dies geschieht letztendlich mit IPtabels). Vorteil: betriebssystem unabhängig, Ersatzpcs werden egal wo sie aufgebaut werden richtig verwaltet durch IP subnet bereich
2) In vielen Schulen sind die PCWächter karten oder ein software schutz von DR Kaiser installiert, dort gibt es das kostenlose tool Lehrerconsol, Vorteil einerfreundlich, Nachteil: Schutzkarten etc kosten viel.
Computerraum für eigenständiges Arbeiten - Whitelist in einem Raum:
1) Ein weiterer Router (IPCOP mit Advanced Proxy und dem Modul für weitere grüne / graue Interfaces): Das Grüne Interface ist die Verbindung zum Switch des Raumes (mit eigenem Subnet), das graue (wie eine grünes Interface) die Verbindung zum Switch andem der Internetrouter und der Domaincontroller hängt. Auf diesem wird dann ein Transparenter Proxy auf Port 80 mit einer whitelist auf dem Grünen Interface installiert. Das wars...
2) eigener Proxy mit whitelist, der dann bei den Clietns eingetragen ist, nachteil: mit z.B. portabel firefox umgehbar...
Dies soll natürlich nur ein Überblick darstellen, sucht euch bitte passende Howtos raus, um zuverstehen wie ich das meine; Stichworte: IPCop, Advanced Proxy (CRE)
Da sich meine Facharbeit aber mehr um Sicherheit als um Klassenraum sperrung handelt habe ich mich für Endian entschieden, das leider kein CRE bot, dafür eine leicht zuverwaltende Firewall mit virenschutz und etc., daher steht die Debatte wieder bei mir an der Schule an, ich werde wahrschein IPCop dazwischen schalten ...
Ich bin Schüleradministrator und habe unteranderem eine Facharbeit mit diesem Thema geschrieben.
Das mit den Proxys ist keine gute idee, denn mit zum beispiel portabel firefox ist das leicht zu umgegehen.
Internet für Räume ein und ausschalten
1) Eine schöne Möglichkeit ist z.B. IPCop mit Advanced Proxy und dem CRE Modul, zur Vereinfachung sollte dann aber je Raum eine DHCP Server mit eigenem Subnet und einen Switch installiert werden, sowie einen Router zum Subnetz an dem der Server hängt. Alternativ
kann mit einem Addon (Name bitte selber suchen) auch mehrere grüne / graue Interfaces bei IPCop hinzugefügt werden, somit bräuchte man keine weiteren Router.
Dann kann per Website das Internet im Raum (=Subnet) sperren (Dies geschieht letztendlich mit IPtabels). Vorteil: betriebssystem unabhängig, Ersatzpcs werden egal wo sie aufgebaut werden richtig verwaltet durch IP subnet bereich
2) In vielen Schulen sind die PCWächter karten oder ein software schutz von DR Kaiser installiert, dort gibt es das kostenlose tool Lehrerconsol, Vorteil einerfreundlich, Nachteil: Schutzkarten etc kosten viel.
Computerraum für eigenständiges Arbeiten - Whitelist in einem Raum:
1) Ein weiterer Router (IPCOP mit Advanced Proxy und dem Modul für weitere grüne / graue Interfaces): Das Grüne Interface ist die Verbindung zum Switch des Raumes (mit eigenem Subnet), das graue (wie eine grünes Interface) die Verbindung zum Switch andem der Internetrouter und der Domaincontroller hängt. Auf diesem wird dann ein Transparenter Proxy auf Port 80 mit einer whitelist auf dem Grünen Interface installiert. Das wars...
2) eigener Proxy mit whitelist, der dann bei den Clietns eingetragen ist, nachteil: mit z.B. portabel firefox umgehbar...
Dies soll natürlich nur ein Überblick darstellen, sucht euch bitte passende Howtos raus, um zuverstehen wie ich das meine; Stichworte: IPCop, Advanced Proxy (CRE)
Da sich meine Facharbeit aber mehr um Sicherheit als um Klassenraum sperrung handelt habe ich mich für Endian entschieden, das leider kein CRE bot, dafür eine leicht zuverwaltende Firewall mit virenschutz und etc., daher steht die Debatte wieder bei mir an der Schule an, ich werde wahrschein IPCop dazwischen schalten ...