boweeko
Goto Top

Netzwerklösung für Klassenraum mit WLAN (2 VLANs)

Einen schönen (Kinder)tag wünsch ich allen Administratoren face-wink
Ich betreue das Netzwerk einer Schule und habe folgende Herausforderung:

Ist-Situation:
Unser Netzwerk ist in 2 Bereiche (Verwaltung, Schulnetzwerk) unterteilt und mit VLAN´s getrennt.
In jedem Klassenraum steht ein Laptop mit dem die Lehrer auf das Verwaltungsnetzwerk (sensible Daten, personenbezogene Daten) zugreifen. Gleichzeitig wird dieser Laptop an eine interaktive Tafel angeschlossen um den Unterricht zu unterstützen. Die Anbindung an das Netzwerk erfolgt über einen WLAN-Accesspoint (SSID1, Verschlüsselung, Passwort1) der die VLAN-Kennung (VLAN1) generiert. Über den gleichen Accesspoint (SSID2, Verschlüsselung, Passwort2, VLAN2) sind die Schülerlaptops an das Schülernetzwerk angebunden.

Im Klassenraum befindet sich noch ein Drucker (Netzwerkdrucker mit LAN-Schnittstelle), der über ein LAN Kabel am Switch angeschlossen ist.

Soll-Situation:
Der Lehrer soll mit (s)einem Laptop wie gehabt auf das Verwaltungsnetzwerk zugreifen können (Mitarbeiter-Intranet, Klassenbuch schreiben, Vorbereitungen erarbeiten, Kommunikation mit den Eltern).
Darüber hinaus muss er aber auch während des Unterrichts auf Daten, Ordnerfreigaben und die Schüler-Laptops über das Schülernetzwerk zugreifen können. Drucken sollte sowohl vom Lehrer-Laptop als auch von den Schülerlaptops möglich sein. Über die Interaktive Tafel sollte je nach Situation der Windows Desktop des Lehrers (Verwaltungsnetz) oder der Desktop des Schülernetzwerkes zu sehen sein. Programme und Aufbau in den Netzwerken unterscheiden sich wesentlich. Manchmal muss man den Kindern an der interaktiven Tafel eine Abfolge von Arbeitsschritten zeigen. Da macht es sich besser, wenn sie an der Tafel den gleichen Desktop sehen wie auf ihren Laptops.

Als „nice to have“ wäre noch schön, wenn man eine gewisse Kontrolle über die Schülerlaptops bekommt. Als Bildschirmkontrolle habe ich mir italc angeschaut und für gut befunden. Darüber hinaus sollte der Lehrer Anwendungen (Word, Excel usw.) und Funktionen (drucken, Internet) im Live-Betrieb frei- bzw. abschalten können.


Notlösung
Im Moment stöpselt der Lehrer je nach Situation seinen Laptop ab und steckt einen Schülerlaptop an die interaktive Tafel. Das ist umständlich und stört den Unterrichtsablauf. Den Drucker kann ich entweder in VLAN1 oder VLAN2 betreiben. Ein gleichzeitiges Drucken aus beiden Netzen ist somit aber nicht möglich. Auch beim Drucker ist es umständlich (umstöpseln, IP ändern)…ein Vorgang den ich einem Lehrer nicht zumuten kann.


Frage:
Welche Lösung seht ihr für dieses Problem?
Hat jemand Erfahrungen mit so einer oder ähnlichen Situation?
Macht es Sinn italc in einem WLAN mit 22 Schüler-Laptops zu betreiben?


Hardware/Software im Überblick:
Gateway/Router: LANCOM 1711+ VPN
Server Verwaltungsnetz: Windows Server 2003 R2 (Domaincontroller)
Server Schülernetz: Linux
WLAN-Accesspoints: LANCOM L-54g Wireless

Content-Key: 167351

Url: https://administrator.de/contentid/167351

Ausgedruckt am: 28.03.2024 um 10:03 Uhr

Mitglied: kopie0123
kopie0123 01.06.2011 um 15:58:56 Uhr
Goto Top
Hey,

für dein "nice to have" schau dir mal INIS an:

http://www.trinet.de/Produkte/INiS.html

Damit kannst Du alles in der Hinsicht erschlagen face-smile

Gruß
Mitglied: Cubic83
Cubic83 01.06.2011 um 16:04:06 Uhr
Goto Top
Hallo,

ich würde vermutlich bei so einer Konstruktion ein VPN Gate einrichten auf welches man aus dem Schulnetz zugreifen kann. Dann muss der Lehrer sich damit verbinden und kann auf die Daten zugreifen. Bei uns gilt prinzipiell dass die Lehrer keinen Zugriff auf das administrative Netzwerk haben. Bei uns ist es aber auch so, dass die Lehrer einen Zugang zu einer spezielles Software vom Ministerium haben, wo Sie zugriff auf alle Daten haben. Von daher würde ich sagen dass die beste Lösung in dem Fall über VPN wäre. Das Problem ist nämlich bei den Lehrern zu suchen. Da wird schnell mal eine Verbindung aufgebaut und dann wird der Lehrer ans Telefon gerufen und die Schüler gehen an den PC.

Idealerweise steht in jedem Sall ein eigener PC der an das Activboard angeschlossen wird und dort dauerhaft steht. Für sensible Daten sollte irgendwo ein PC bereit stehen (z.b im Lehrerzimmer oder in deren Büro) wo sie Zugriff auf das administrative Netz haben.

Mich würde es als Lehrer extremst stören irgendwelche Kabel umstecken zu müssen. Ich weiss nicht wie lange eine Schulstunde in DE ist aber bei uns sind 50 Minuten. Und wenn ich da jedesmal 10 Minuten verliere mit umstöpseln würde ich verrückt werden (von Problemen wenns dann doch mal nicht klappt) ganz zu schweigen.

Ich kenne italc nicht aber schau dir mal Netman for Schools an. Die benutzen wir und ist top. Inklusive Bildschirm spiegeln, Internet regeln, Programme regeln, etc....

mfG
Mitglied: Boweeko
Boweeko 01.06.2011 um 16:38:00 Uhr
Goto Top
Hallo StingerMAC, Hallo Cubic83,

danke für eure Infos.

INIS und auch Netman for Schools sehen auf den ersten Blick vielversprechend aus. Sie "erschlagen" wirklich umfangreich alle Anforderungen..."erschlagend" sind dann aber auch die Preise. Aber das muß ich mit unserem Träger abstimmen. Wobei viele Funktionen im Bereich Bildschirmübertragung von italc abgedeckt werden.

Aber weg vom "nice-to-have" zurück zum Kernproblem. Hier tendiere ich nach Cubic83´s Beitrag dazu, den Lehrer-Laptop (Mitglied in der Verwaltungsnetz-Domäne, fest am interaktiven Board angeschlossen) einfach als normaler Schülerlaptop aufzusetzen. Dein Beispiel vom unbeaufsichtigten PC, ist hier auch schon vorgekommen. Doch wie bekommt man jetzt die (VPN)-Verbindung möglichst anwenderfreundlich (One-Klick-Lösung) hin. VPN ist mir bis jetzt nur ein Begriff bei der Standortvernetzung. wie realisiere ich das in meinem Netzwerk?

Gruß Boweeko
Mitglied: Cubic83
Cubic83 01.06.2011 um 17:00:31 Uhr
Goto Top
Eben nicht. Der Lehrerpc ist ein "dummes Terminal" im Schulnetzwerk. Ein PC auf dem nur die Minimalsoftware installiert wird damit der Lehrer arbeiten kann (z.b Office Installation, Software für DVDs abzuspielen, Internet Browser und der ganze "Kram" den die sonst noch brauchen). Dieser PC könnte mit einem Standard Autologin konfiguriert sein, damit die Lehrer die einfach nur was zeigen möchten in den Sall kommen und los legen können.

In dem Moment wo der Lehrer mehr möchte wie z.b auf seine Dokumente zugreifen muss er sich dann indentifizieren. Top wäre es natürlich wenn du einen Terminalserver bereitstellen könntest, wo sich die Leute anmelden.

Vom Anwenderstandpunkt her, könntest du eine Batch erstellen, die zunächst die VPN verbindung herstellt dann die Laufwerk mappt und bei einer kurzen Idle Time die Verbindung kappt.

Vom technischen Punkt muss du das VPN Gate auf eurem Router konfigurieren. Dann fällt auch der VLAN Aufwand fürs Netzwerk weg.

Du möchtest ja eigentlich 2 "Standorte" (oder Netzwerke) miteinander vernetzen. Auch wenn diese Netzwerke im gleichen Standort liegen.

mfG
Mitglied: aqui
aqui 10.06.2011, aktualisiert am 18.10.2012 um 18:47:12 Uhr
Goto Top
Die Lösung ist kinderleicht:
Du benutzt einen (oder mehrere) WLAN Access Points die ESSIDs also virtuelle SSIDs supporten.
Wie man sowas dann ganz einfach löst erklärt dir dieses Tutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
bzw.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
In Kombination mit einer kleinen und für Schulen erschwinglichen Firewall die man auch im Informatikunterricht selbst einrichten kann:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Kann der Lehrer sich dann mit einem einfachen Mausklick entweder ins eine oder andere WLAN einloggen.
Um dieses Lehrer und Verwaltungsnetz wirklich wasserdicht und absolut Schüler sicher zu machen hast du zusätzlich die Option dieses ESSID WLAN entsprechend zu sichern:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Mit den ESSIDs hat man die Option billig und schnell mehrere WLANs über ein und dieselbe Hardware zu bedienen ohne alles doppelt anzuschaffen.
Letztlich genau das was du willst laut deiner o.a. Beschreibung ! Mit diesen Tools ist die Umsetzung ein Kinderspiel.
Mitglied: Cubic83
Cubic83 10.06.2011 um 20:54:13 Uhr
Goto Top
Hallo aqui,

ich wage es ja eigentlich nicht dir zu widersprechen, aber... face-smile

Diese Lösung ist technisch korrekt ohne Zweifel. Aber wir haben hier ungefähr 200 Lehrer. 95% würde ich es nicht zutrauen das WLAN zu wechseln. Hinzu kommt der Faktor Mensch. Wenns klingelt "hauen" die Lehrer (genauso wie die Schüler) ab und lassen den PC in dem WLAN in dem es sich befindet. (Was ich jetzt ehrlicherweise nicht weiss ist ob es möglicht ist, eine Zwangstrennung zu machen nach X Sekunden Timeout). Ich denke auch an den Admin, der das verwaltet (nämlich mich ;) ) und möchte den Hilfeaufwand so weit wie möglich reduzieren. Mit dieser Methode wird jede Stunde das Telefon klingeln.

Weitere Punkte:
- Ich würde niemals das Administrative Netzwerk an ein WLAN hängen. Man sollte bedenken dass hier höchst sensible Daten gespeichert werden. Egal ob 802.1X oder WPA2 oder wie auch immer. Das ist irgendwann immer alles "knackbar". Wenn auch durch einen Fehler vom Admin.
- Dass das billig würde wage ich zu bezweifeln, da du ja einen oder mehrere AP's bräuchtest die entweder mehrere NICs haben oder VLAN unterstützen. Und da bist Du auch schon im im Pro-Segment würd ich meinen.

mfG
Mitglied: aqui
aqui 11.06.2011 um 14:15:05 Uhr
Goto Top
@Cubic83
Zuallererst ist 802.1x nicht knackbar, da liegst du komplett falsch. Dadurch das es ja eben wirklich wasserdicht ist ist es ja prädestiniert für diesen Einsatz in gesicherten Umgebungen !
Zweitens können auch mittlerweile auch preiswerte Consumer APs im Preisbereich um die 30 Euro solche ESSID VLANs abbilden und sind damit automatisch auch VLAN fähig. Das o.a. Tutorial beschreibt die Lösung mit solch einem AP (Edimax) was du vermutlich übersehen hast.
So lassen sich auch im Billigpreis Segment solche relaitv sicheren WLANs oder LANs aufbauen.
Drittens hat keiner behauptet das es Sinn macht administrative Netzwerke darauf abzubilden. Das hängt (und da hast du Recht) immer vom individuellen Netzwerk und den Anforderungen ab bzw. der Abwägung zw. Sicherheit und Bequemlichkeit.
Das zur rein technischen Seite der Lösung so einer Infrastruktur.
Was den Rest anbetrifft stimme ich dir zu, zeigt aber dann gleichzeitig auf in welchem Dilemma sich der TO befindet.
Unter Annahme der von dir zitierten Voraussetzungen und Benutzerverhalten ist dann aber mit nochsoviel Technik und Verschlüsselung niemals eine befriedigende Lösung zu erreichen, denn die Schwachstelle ist hier das Interface Mensch.
Solche Verhaltens Umfelder wären dann nur mit ganz rigiden Einschränkungen zu steuern die das Arbeiten in so einem Netz dann schwer oder unmöglich machen.
Im Hinblick auf dieses spezifische Umfeld ist aber dann eine sinvolle und sichere Lösung für den TO ohne entsprechende Abstriche so gut wie unmöglich !
Mitglied: Cubic83
Cubic83 11.06.2011 um 17:24:12 Uhr
Goto Top
Hallo,

ich meinte das auch theoretisch. Theoretisch ist irgendwann alles zu knacken mit entsprechendem Aufwand. Wir setzen selbst 802.1X ein.

Ich habe deine Tuts schon alle gelesen, aber jetzt habe ich wirklich nur die Überschrift gelesen um zu sehen was du umsetzen wolltest. Hast aber Recht, das Argument fällt somit flach.

Man ist als Admin eines solchen Netzes immer in der Zwickmühle. Zum einem wird man gedrängt die Sachen um zu setzen und auf auf der anderen Seite muss man auf die Sicherheit achten. Der TO muss halt extrem aufpassen wie er es umsetzt. Wäre (leider) nicht das erste Mal dass Klausuren vorher schon im Umlauf sind.

mfG
Mitglied: aqui
aqui 16.06.2011 um 09:01:31 Uhr
Goto Top
@Boweeko
Wenns das denn nun war für dich bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Mitglied: Boweeko
Boweeko 16.06.2011 um 16:22:35 Uhr
Goto Top
Hallo aqui,

das war´s leider noch nicht. Aus Zeitmangel (es gibt bald Zeugnisse) und wegen den letzten Feiertagen geht´s hier nur zögerlich weiter.

Zu deinem Beitrag vom 10.06.2010: Wir setzen Access-Points von Lancom (L-54g Wireless) ein. Die können von Haus aus mehrere SSID und haben auch einen Radius-Server onboard. Leider benötigt man für die Konfiguration der Lancom-Geräte ein Master-Studium face-wink - mir jedenfalls erschließen sich die Einstellungen nicht wirklich. Da sind mache Consumer-Geräte weit einfacher, schneller und besser zu konfigurieren.

Deine Lösung deckt leider nicht die Anforderung ab, dass der Laptop des Lehrers im Prinzip 2 Desktops haben muß.
1. Desktop ist identisch mit dem Desktop der Schüler und wird über das Smartboard angezeigt. Der 2. Desktop ist dann nach den Vorlieben des Lehrers eingerichtet und enthält mehr / andere Programme. Deine Schlagworte (Radius, Authentifizierung) haben mir aber gezeigt, das unser WLAN-Konzept noch Verbesserungspotential hat.

Cubic83s Ansatz vom VPN bzw. Terminalserver kann ich im Hinblick auf die Anforderung "2 Desktops" nachvollziehen. Aber muß es VPN sein? Kann ich nicht einfach einen Remotedesktop vom Lehrer-PC (dummes Terminal mit Schüler Desktop) aufmachen und mich z.b. mit einem virtuellen PC (vmware-server) auf unserem Domaincontroller verbinden? Vorraussetzung wäre natürlich, dass ich eine Route für den Lehrer-Laptop vom VLAN2 (Schülernetzwerk) ins VLAN1 (Verwaltungsnetzwerk) hinbekomme. In die Materie Terminal-Server müßte ich mich erst einarbeiten...habe ich noch keine Erfahrungen.

Das unser Verwaltungsnetz über WLAN erreichbar sein soll, ist eine Vorgabe des Trägers.

Ich werde mir jetzt die Links von aqui durcharbeiten, mögliche Terminalserverlösung suchen und auch auf Antwort auf diesen Beitrag warten.

Im Moment versuche ich gerade den Drucker mittels Route in beiden VLANs erreichbar zu machen. Doch die Konfiguration des Routers / Gateways (Lancom 1711+VPN) ist nicht mal so gemacht. Leider sind Anfragen beim Lancom-Endkunden-Support sehr unbefriedigend. Gefühlte 30 Mal angerufen...keiner da - ein E-Mail Ticket eröffnet...keine Antwort seit 48 Stunden. face-sad
Mitglied: aqui
aqui 16.06.2011 um 16:28:42 Uhr
Goto Top
OK, das ist dann aber ein Lancom Problem. Die o.a. Tutorials die dir die ESSID Aufteilung für WLAN Nutzung zeigen gelten analog auch für alle anderen Accesspoints, natürlich auch Lancom, denn das Prinzip ist immer das gleiche bei allen Herstellern.
Du bist dann aber mit ESSID WLANs und Radius Authentifizierung auf dem richtigen Weg was das Netzwerk selber angeht.
Der Rest mit den "Terminals" ist dann eher Client bezogen, weniger Netzwerk Infrastruktur !