whitecobra
Goto Top

Internetzugang abhängig von %Computername% und über Client steuerbar

Folgende Situation:

Schule mit 2 Computerräumen für den Unterricht (je 14 Clients + 1 Lehrerclient) und 1 Computerraum für eigenständiges Arbeiten. Alles in einer Domäne mit automatischer IP-Vergabe. In den Unterrichtsräumen soll der Internetzugang raumabhängig vom Lehrerclient aus an oder abgeschaltet werden können. Im anderen Raum soll das Internet immer laufen, jedoch über eine Whitelist.


Meine Idee:

Jana Server für jeden Computerraum einmal installieren. Die IP Adresse ist bei allen Jana-Servern die gleiche, der Port jedoch immer anders. Der für den Raum passende Jana-Server wird den Clients eines Raumes per Richtlinie zugeordnet. In dem Raum für selbstständiges Arbeiten bekommt der Jana die Whitelist verpasst. In den anderen beiden Räumen kann der Jana vom Lehrerclient aus an oder abgeschaltet werden.


Meine Fragen:

Ist das wirklich alles so einfach zu realisieren? Oder kommen sich die Janas dann wegen der selben IP in die Quere? Gibt es vielleicht eine elegantere Lösung mit nur einem Proxy, wo man das auch alles so regeln kann? Dann müßte das ganze halt computernamenspezifisch laufen, weil ich dynamische IPs verwende. Oder gibt es sogar Server, wo man sagen kann, daß spezielle Organisationseinheiten ins Internet dürfen oder nicht? Wichtig is bei der ganzen Sache halt immer, daß man das Internet pro Raum an und abschalten kann und nicht nur allgemein. Und es sollte per one-klick vom Lehrerclient machbar sein...nicht jeder Lehrer ist sehr computerbewandert ;)

Content-ID: 36658

Url: https://administrator.de/forum/internetzugang-abhaengig-von-computername-und-ueber-client-steuerbar-36658.html

Ausgedruckt am: 23.12.2024 um 12:12 Uhr

Metzger-MCP
Metzger-MCP 25.07.2006 um 19:05:32 Uhr
Goto Top
Welche Software habt ihr schon, welche Hardware habt Ihr schon, welche Betriebsysteme sollen in den Räumen sein.

Es gibt viele Möglichkeiten die zu einer Umsetzung führen können. Günstige, Teure, Gute, Schlechte...

Ich notiere mal Kurz Stichpunktartig.

Der DC ( DomainController ) ist DSL Router ( Routing Ras ) und Memberserver.
Hier könnten auch der DNS und der DHCP ggf auch der WINS Dienst sein.
Mit den Gruppen und User Profilen könnte die Internetmöglichkeit geregelt werden ( nur Domainuser ). Ein Firewall Proxy Server ( ISA ) könnte dann noch Protokolle und so weiter Filtern sowie die Userberechtigungen selbst fürs Internet steuern ( Computernamen ). Und so weiter... Der DC Router bindet dann die Räume an.

Möglichkeit 1

Alle Schülerclients incl Lehrer PC hängen an einem Switch der wiederum auch an einem DSL Router hängt. Der Router weist die DHCP Addis zu den Clients zu fertig. Soll Internet vorhanden sein, steckt das Kabel Internet im Router, wenn nicht, Kabel entfernen.

Möglichkeit 2

Der Lehrer PC fungiert mit ICS als Internet Router und DHCP Server ( Client ) oder es ist ein ServerBS drauf, und der regelt dann die Komunikation mit Routing /Ras.

Möglichkeit 3

Man baut einen Rechner auf der als Raum Router fungiert, legt die Routen per Script fest und ändert über ein Tool nur die IP Addresse der 2ten Lan Card ( falscher IP kein Inet, richtige IP Inat ist da )

Möglichkeit 4 .. 5 .. 6 .. 7

MFG Metzger
whitecobra
whitecobra 25.07.2006 um 21:27:11 Uhr
Goto Top
Mit großen Investitionen siehts an öffentlichen Stellen wie Schulen leider immer schlecht An Hardware ist schon alles vorhanden und da kann leider auch nicht mehr viel nachgekauft werden. Hier mal der momentane Aufbau:

DSL-Modem
|
|
PC mit 2 Netzwerkkarten und Jana (WinXP Prof)
|
|
Server (Win2003 Standard)
|
|
Switch
|
|
Clients (WinXP Prof)


Möglichkeit 1 entfällt, weil mit den kabeln würden manche Lehrer nicht zurecht kommen. Außerdem haben wir dafür zu wenig Switches und alles ist in einem Serverschrank, wofür nicht jeder den Schlüssel hat.

Möglichkeit 2 entfällt auch, weil der Serverschrank inkl. DSL Anschluß räumlich bald getrennt sein wird.

Möglichkeit 3 hört sich ja ähnlich wie meine Idee an, bloß das ich halt Proxy-Server statt Routern verwenden wollte und quasi alle Raum-Proxys/Router auf dem selben Rechner installieren wollte. Was wäre überhaupt der Vorteil, einen Softwarerouter zu verwenden anstatt einem Proxy-Server? Welcher Software Router wäre am besten geeignet? Wichtig is halt die One-Klick Lösung. Das scheint aber ja über ein Skript realisierbar zu sein. Ich könnte ja dann einfach die IP des Proxys/Routers über ein Skript ändern und schon würde das Inet nicht mehr funktionieren.
Metzger-MCP
Metzger-MCP 26.07.2006 um 09:23:35 Uhr
Goto Top
Also Router sind keine Proxy ! Das sind 2 ganz unterschiedliche Dinge !

Zwa kann ein Proxy eine gewisse Routingfunktionalität haben, aber kein Router ein Proxy.

Das heist also du hast ein Switch ( im Schrank ) und da gehen alle Kabel aus den 3 Räumen hin ?

Ob die Lehrer damit überforder sind 1 Netzwerkkabel aus einem Netzwerkgerät herraus und wieder herrein zu stecken, bezweifele ich aber das ist auch nicht die beste Lösung.

Also kann ich festhalten, alle Schüler und Lehrer haben XP Pro, es gibt ein Server mit 2003, der das alles regeln soll, ein Switch an Centraller Stelle für alle Räume und das War es ?

Welches Version des Server 2003 BS ist das ? Hat es ein ISA Server drin ?

Sofern es nicht zu sehr eilt ( mal 2 Tage ) kann ich dir vielleicht eine Interresannte Lösung erstellen.

Mfg Metzger
whitecobra
whitecobra 26.07.2006 um 11:43:16 Uhr
Goto Top
Das Router keine Proxy sind is mir eigentlich schon klar. Der Router bekommt doch eine IP, die dann bei den Clients als Gateway eingetragen wird. Somit funktioniert alles an Internetsachen, ohne daß ich in den Programmen speziell was einstellen muß, oder? Bei einem Proxy muß ich ja in allen Programmen, die ins Internet wollen, den Proxy entsprechend eintragen. Da gibts also sozusagen nicht eine Eintragmöglichkeit an zentraler Stelle im Windows, die dann für alle Programme gilt. In der Erklärung sind jetzt bestimmt nicht ale Unterschiede aufgeführt, aber das is das, was ich als relativer Laie sofort erkenne :D

Von der verfügbaren Hardware sieht es genau so aus. Alles leider etwas dürftig. OK einen Rechner auf dem der Jana läuft haben wir auch noch (WinXP Prof). Von Win2003 ist es die Standardversion. Microsoft-Lizenzen bekommen wir von der Stadt immer massig. Wir dürfen den Server so oft installieren wie wir wollen und WinXp Prof sowieso. Probleme macht immer nicht MS Zusatzsoftware, weil dafür kein Geld da ist.

Die Sache eilt erstmal überhaupt nicht...vor dem 08.08. läuft da erstmal eh nix wegen Ferien

Ich hab mich auch nochmal ein wenig im Internet umgeschaut und würde von meinem Stand der Dinge momentan folgendes Probieren: Auf dem zusätzlichen Rechner im Serverschrank wird Jana installiert und der Rechner bekommt die feste IP 192.168.0.2. Dieser Jana wählt sich ganz normal über DFÜ ein. Der Server und die ganzen Lehrerrechner können jetzt über diesen Proxy immer online gehen. Jeder Lehrerrechner erhält jetzt ebenfalls eine feste IP. Auch wird auf jedem Lehrerrechner Jana installiert und die IP 192.168.0.2 als vorgelagerter Proxy eingetragen. Auf den Desktop würd ich zwei Batchdateien legen, mit denen sich der Jana-Dienst auf dem Lehrerrechner starten/stoppen läßt. Den ganzen Schülerrechnern wird bei Anmeldung per Gruppenrichtlinie je nach Raum die passende IP des Lehrerrechners als Proxy zugeordnet. Hab ich da irgendwelche Denkfehler drin oder würde das funktionieren?

Vielen Dank, daß du dir soviel Zeit nimmst.
Gruß, Thomas
Biber3
Biber3 13.12.2006 um 20:13:18 Uhr
Goto Top
So etwas wie das zuletzt von whitecobra vorgeschlagene versuche ich auch gerade zu implementieren. Also: 2 Unterrichtsräume, jeweils 1 Lehrer-PC auf dem Jana läuft, jeweils 20 Schüler-PCs auf denen der Jana des jeweiligen Raumes als Proxy eingetragen ist. Der Lehrer kann Jana starten, dann wird der Internetzugriff des Schüler-IE auf den Gateway des gesamten Netzwerks geroutet und wenn der Lehrer auf trennen klickt, laufen die Zugriffe ins Leere.

Ist da inzwischen was realisiert worden? Würde mich sehr interessieren.

Mein aktuelles Problem dabei:
Ich kann die Proxyeinstellungen per Gruppenrichtlinie nicht Computerkonten zuweisen, sondern nur Benutzern. Das bringt mir aber nichts, weil der Zugang Raumweise und nicht Benutzerweise gesperrt werden soll. Hab dazu schon viele Fragen aber keine Antwort ergooglen können. Wäre über Hilfe sehr froh.

Gruß,
Biber3
marsmars
marsmars 21.09.2008 um 04:03:36 Uhr
Goto Top
Hallo, ich habe grade diesen Beitrag zufällig gefunden.
Ich bin Schüleradministrator und habe unteranderem eine Facharbeit mit diesem Thema geschrieben.
Das mit den Proxys ist keine gute idee, denn mit zum beispiel portabel firefox ist das leicht zu umgegehen.
Internet für Räume ein und ausschalten
1) Eine schöne Möglichkeit ist z.B. IPCop mit Advanced Proxy und dem CRE Modul, zur Vereinfachung sollte dann aber je Raum eine DHCP Server mit eigenem Subnet und einen Switch installiert werden, sowie einen Router zum Subnetz an dem der Server hängt. Alternativ
kann mit einem Addon (Name bitte selber suchen) auch mehrere grüne / graue Interfaces bei IPCop hinzugefügt werden, somit bräuchte man keine weiteren Router.
Dann kann per Website das Internet im Raum (=Subnet) sperren (Dies geschieht letztendlich mit IPtabels). Vorteil: betriebssystem unabhängig, Ersatzpcs werden egal wo sie aufgebaut werden richtig verwaltet durch IP subnet bereich
2) In vielen Schulen sind die PCWächter karten oder ein software schutz von DR Kaiser installiert, dort gibt es das kostenlose tool Lehrerconsol, Vorteil einerfreundlich, Nachteil: Schutzkarten etc kosten viel.

Computerraum für eigenständiges Arbeiten - Whitelist in einem Raum:
1) Ein weiterer Router (IPCOP mit Advanced Proxy und dem Modul für weitere grüne / graue Interfaces): Das Grüne Interface ist die Verbindung zum Switch des Raumes (mit eigenem Subnet), das graue (wie eine grünes Interface) die Verbindung zum Switch andem der Internetrouter und der Domaincontroller hängt. Auf diesem wird dann ein Transparenter Proxy auf Port 80 mit einer whitelist auf dem Grünen Interface installiert. Das wars...

2) eigener Proxy mit whitelist, der dann bei den Clietns eingetragen ist, nachteil: mit z.B. portabel firefox umgehbar...

Dies soll natürlich nur ein Überblick darstellen, sucht euch bitte passende Howtos raus, um zuverstehen wie ich das meine; Stichworte: IPCop, Advanced Proxy (CRE)

Da sich meine Facharbeit aber mehr um Sicherheit als um Klassenraum sperrung handelt habe ich mich für Endian entschieden, das leider kein CRE bot, dafür eine leicht zuverwaltende Firewall mit virenschutz und etc., daher steht die Debatte wieder bei mir an der Schule an, ich werde wahrschein IPCop dazwischen schalten ...