Netzwerklösung für Klassenraum mit WLAN (2 VLANs)
Einen schönen (Kinder)tag wünsch ich allen Administratoren
Ich betreue das Netzwerk einer Schule und habe folgende Herausforderung:
Ist-Situation:
Unser Netzwerk ist in 2 Bereiche (Verwaltung, Schulnetzwerk) unterteilt und mit VLAN´s getrennt.
In jedem Klassenraum steht ein Laptop mit dem die Lehrer auf das Verwaltungsnetzwerk (sensible Daten, personenbezogene Daten) zugreifen. Gleichzeitig wird dieser Laptop an eine interaktive Tafel angeschlossen um den Unterricht zu unterstützen. Die Anbindung an das Netzwerk erfolgt über einen WLAN-Accesspoint (SSID1, Verschlüsselung, Passwort1) der die VLAN-Kennung (VLAN1) generiert. Über den gleichen Accesspoint (SSID2, Verschlüsselung, Passwort2, VLAN2) sind die Schülerlaptops an das Schülernetzwerk angebunden.
Im Klassenraum befindet sich noch ein Drucker (Netzwerkdrucker mit LAN-Schnittstelle), der über ein LAN Kabel am Switch angeschlossen ist.
Soll-Situation:
Der Lehrer soll mit (s)einem Laptop wie gehabt auf das Verwaltungsnetzwerk zugreifen können (Mitarbeiter-Intranet, Klassenbuch schreiben, Vorbereitungen erarbeiten, Kommunikation mit den Eltern).
Darüber hinaus muss er aber auch während des Unterrichts auf Daten, Ordnerfreigaben und die Schüler-Laptops über das Schülernetzwerk zugreifen können. Drucken sollte sowohl vom Lehrer-Laptop als auch von den Schülerlaptops möglich sein. Über die Interaktive Tafel sollte je nach Situation der Windows Desktop des Lehrers (Verwaltungsnetz) oder der Desktop des Schülernetzwerkes zu sehen sein. Programme und Aufbau in den Netzwerken unterscheiden sich wesentlich. Manchmal muss man den Kindern an der interaktiven Tafel eine Abfolge von Arbeitsschritten zeigen. Da macht es sich besser, wenn sie an der Tafel den gleichen Desktop sehen wie auf ihren Laptops.
Als „nice to have“ wäre noch schön, wenn man eine gewisse Kontrolle über die Schülerlaptops bekommt. Als Bildschirmkontrolle habe ich mir italc angeschaut und für gut befunden. Darüber hinaus sollte der Lehrer Anwendungen (Word, Excel usw.) und Funktionen (drucken, Internet) im Live-Betrieb frei- bzw. abschalten können.
Notlösung
Im Moment stöpselt der Lehrer je nach Situation seinen Laptop ab und steckt einen Schülerlaptop an die interaktive Tafel. Das ist umständlich und stört den Unterrichtsablauf. Den Drucker kann ich entweder in VLAN1 oder VLAN2 betreiben. Ein gleichzeitiges Drucken aus beiden Netzen ist somit aber nicht möglich. Auch beim Drucker ist es umständlich (umstöpseln, IP ändern)…ein Vorgang den ich einem Lehrer nicht zumuten kann.
Frage:
Welche Lösung seht ihr für dieses Problem?
Hat jemand Erfahrungen mit so einer oder ähnlichen Situation?
Macht es Sinn italc in einem WLAN mit 22 Schüler-Laptops zu betreiben?
Hardware/Software im Überblick:
Gateway/Router: LANCOM 1711+ VPN
Server Verwaltungsnetz: Windows Server 2003 R2 (Domaincontroller)
Server Schülernetz: Linux
WLAN-Accesspoints: LANCOM L-54g Wireless
Ich betreue das Netzwerk einer Schule und habe folgende Herausforderung:
Ist-Situation:
Unser Netzwerk ist in 2 Bereiche (Verwaltung, Schulnetzwerk) unterteilt und mit VLAN´s getrennt.
In jedem Klassenraum steht ein Laptop mit dem die Lehrer auf das Verwaltungsnetzwerk (sensible Daten, personenbezogene Daten) zugreifen. Gleichzeitig wird dieser Laptop an eine interaktive Tafel angeschlossen um den Unterricht zu unterstützen. Die Anbindung an das Netzwerk erfolgt über einen WLAN-Accesspoint (SSID1, Verschlüsselung, Passwort1) der die VLAN-Kennung (VLAN1) generiert. Über den gleichen Accesspoint (SSID2, Verschlüsselung, Passwort2, VLAN2) sind die Schülerlaptops an das Schülernetzwerk angebunden.
Im Klassenraum befindet sich noch ein Drucker (Netzwerkdrucker mit LAN-Schnittstelle), der über ein LAN Kabel am Switch angeschlossen ist.
Soll-Situation:
Der Lehrer soll mit (s)einem Laptop wie gehabt auf das Verwaltungsnetzwerk zugreifen können (Mitarbeiter-Intranet, Klassenbuch schreiben, Vorbereitungen erarbeiten, Kommunikation mit den Eltern).
Darüber hinaus muss er aber auch während des Unterrichts auf Daten, Ordnerfreigaben und die Schüler-Laptops über das Schülernetzwerk zugreifen können. Drucken sollte sowohl vom Lehrer-Laptop als auch von den Schülerlaptops möglich sein. Über die Interaktive Tafel sollte je nach Situation der Windows Desktop des Lehrers (Verwaltungsnetz) oder der Desktop des Schülernetzwerkes zu sehen sein. Programme und Aufbau in den Netzwerken unterscheiden sich wesentlich. Manchmal muss man den Kindern an der interaktiven Tafel eine Abfolge von Arbeitsschritten zeigen. Da macht es sich besser, wenn sie an der Tafel den gleichen Desktop sehen wie auf ihren Laptops.
Als „nice to have“ wäre noch schön, wenn man eine gewisse Kontrolle über die Schülerlaptops bekommt. Als Bildschirmkontrolle habe ich mir italc angeschaut und für gut befunden. Darüber hinaus sollte der Lehrer Anwendungen (Word, Excel usw.) und Funktionen (drucken, Internet) im Live-Betrieb frei- bzw. abschalten können.
Notlösung
Im Moment stöpselt der Lehrer je nach Situation seinen Laptop ab und steckt einen Schülerlaptop an die interaktive Tafel. Das ist umständlich und stört den Unterrichtsablauf. Den Drucker kann ich entweder in VLAN1 oder VLAN2 betreiben. Ein gleichzeitiges Drucken aus beiden Netzen ist somit aber nicht möglich. Auch beim Drucker ist es umständlich (umstöpseln, IP ändern)…ein Vorgang den ich einem Lehrer nicht zumuten kann.
Frage:
Welche Lösung seht ihr für dieses Problem?
Hat jemand Erfahrungen mit so einer oder ähnlichen Situation?
Macht es Sinn italc in einem WLAN mit 22 Schüler-Laptops zu betreiben?
Hardware/Software im Überblick:
Gateway/Router: LANCOM 1711+ VPN
Server Verwaltungsnetz: Windows Server 2003 R2 (Domaincontroller)
Server Schülernetz: Linux
WLAN-Accesspoints: LANCOM L-54g Wireless
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 167351
Url: https://administrator.de/forum/netzwerkloesung-fuer-klassenraum-mit-wlan-2-vlans-167351.html
Ausgedruckt am: 23.12.2024 um 09:12 Uhr
11 Kommentare
Neuester Kommentar
Hey,
für dein "nice to have" schau dir mal INIS an:
http://www.trinet.de/Produkte/INiS.html
Damit kannst Du alles in der Hinsicht erschlagen
Gruß
für dein "nice to have" schau dir mal INIS an:
http://www.trinet.de/Produkte/INiS.html
Damit kannst Du alles in der Hinsicht erschlagen
Gruß
Hallo,
ich würde vermutlich bei so einer Konstruktion ein VPN Gate einrichten auf welches man aus dem Schulnetz zugreifen kann. Dann muss der Lehrer sich damit verbinden und kann auf die Daten zugreifen. Bei uns gilt prinzipiell dass die Lehrer keinen Zugriff auf das administrative Netzwerk haben. Bei uns ist es aber auch so, dass die Lehrer einen Zugang zu einer spezielles Software vom Ministerium haben, wo Sie zugriff auf alle Daten haben. Von daher würde ich sagen dass die beste Lösung in dem Fall über VPN wäre. Das Problem ist nämlich bei den Lehrern zu suchen. Da wird schnell mal eine Verbindung aufgebaut und dann wird der Lehrer ans Telefon gerufen und die Schüler gehen an den PC.
Idealerweise steht in jedem Sall ein eigener PC der an das Activboard angeschlossen wird und dort dauerhaft steht. Für sensible Daten sollte irgendwo ein PC bereit stehen (z.b im Lehrerzimmer oder in deren Büro) wo sie Zugriff auf das administrative Netz haben.
Mich würde es als Lehrer extremst stören irgendwelche Kabel umstecken zu müssen. Ich weiss nicht wie lange eine Schulstunde in DE ist aber bei uns sind 50 Minuten. Und wenn ich da jedesmal 10 Minuten verliere mit umstöpseln würde ich verrückt werden (von Problemen wenns dann doch mal nicht klappt) ganz zu schweigen.
Ich kenne italc nicht aber schau dir mal Netman for Schools an. Die benutzen wir und ist top. Inklusive Bildschirm spiegeln, Internet regeln, Programme regeln, etc....
mfG
ich würde vermutlich bei so einer Konstruktion ein VPN Gate einrichten auf welches man aus dem Schulnetz zugreifen kann. Dann muss der Lehrer sich damit verbinden und kann auf die Daten zugreifen. Bei uns gilt prinzipiell dass die Lehrer keinen Zugriff auf das administrative Netzwerk haben. Bei uns ist es aber auch so, dass die Lehrer einen Zugang zu einer spezielles Software vom Ministerium haben, wo Sie zugriff auf alle Daten haben. Von daher würde ich sagen dass die beste Lösung in dem Fall über VPN wäre. Das Problem ist nämlich bei den Lehrern zu suchen. Da wird schnell mal eine Verbindung aufgebaut und dann wird der Lehrer ans Telefon gerufen und die Schüler gehen an den PC.
Idealerweise steht in jedem Sall ein eigener PC der an das Activboard angeschlossen wird und dort dauerhaft steht. Für sensible Daten sollte irgendwo ein PC bereit stehen (z.b im Lehrerzimmer oder in deren Büro) wo sie Zugriff auf das administrative Netz haben.
Mich würde es als Lehrer extremst stören irgendwelche Kabel umstecken zu müssen. Ich weiss nicht wie lange eine Schulstunde in DE ist aber bei uns sind 50 Minuten. Und wenn ich da jedesmal 10 Minuten verliere mit umstöpseln würde ich verrückt werden (von Problemen wenns dann doch mal nicht klappt) ganz zu schweigen.
Ich kenne italc nicht aber schau dir mal Netman for Schools an. Die benutzen wir und ist top. Inklusive Bildschirm spiegeln, Internet regeln, Programme regeln, etc....
mfG
Eben nicht. Der Lehrerpc ist ein "dummes Terminal" im Schulnetzwerk. Ein PC auf dem nur die Minimalsoftware installiert wird damit der Lehrer arbeiten kann (z.b Office Installation, Software für DVDs abzuspielen, Internet Browser und der ganze "Kram" den die sonst noch brauchen). Dieser PC könnte mit einem Standard Autologin konfiguriert sein, damit die Lehrer die einfach nur was zeigen möchten in den Sall kommen und los legen können.
In dem Moment wo der Lehrer mehr möchte wie z.b auf seine Dokumente zugreifen muss er sich dann indentifizieren. Top wäre es natürlich wenn du einen Terminalserver bereitstellen könntest, wo sich die Leute anmelden.
Vom Anwenderstandpunkt her, könntest du eine Batch erstellen, die zunächst die VPN verbindung herstellt dann die Laufwerk mappt und bei einer kurzen Idle Time die Verbindung kappt.
Vom technischen Punkt muss du das VPN Gate auf eurem Router konfigurieren. Dann fällt auch der VLAN Aufwand fürs Netzwerk weg.
Du möchtest ja eigentlich 2 "Standorte" (oder Netzwerke) miteinander vernetzen. Auch wenn diese Netzwerke im gleichen Standort liegen.
mfG
In dem Moment wo der Lehrer mehr möchte wie z.b auf seine Dokumente zugreifen muss er sich dann indentifizieren. Top wäre es natürlich wenn du einen Terminalserver bereitstellen könntest, wo sich die Leute anmelden.
Vom Anwenderstandpunkt her, könntest du eine Batch erstellen, die zunächst die VPN verbindung herstellt dann die Laufwerk mappt und bei einer kurzen Idle Time die Verbindung kappt.
Vom technischen Punkt muss du das VPN Gate auf eurem Router konfigurieren. Dann fällt auch der VLAN Aufwand fürs Netzwerk weg.
Du möchtest ja eigentlich 2 "Standorte" (oder Netzwerke) miteinander vernetzen. Auch wenn diese Netzwerke im gleichen Standort liegen.
mfG
Die Lösung ist kinderleicht:
Du benutzt einen (oder mehrere) WLAN Access Points die ESSIDs also virtuelle SSIDs supporten.
Wie man sowas dann ganz einfach löst erklärt dir dieses Tutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
bzw.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
In Kombination mit einer kleinen und für Schulen erschwinglichen Firewall die man auch im Informatikunterricht selbst einrichten kann:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Kann der Lehrer sich dann mit einem einfachen Mausklick entweder ins eine oder andere WLAN einloggen.
Um dieses Lehrer und Verwaltungsnetz wirklich wasserdicht und absolut Schüler sicher zu machen hast du zusätzlich die Option dieses ESSID WLAN entsprechend zu sichern:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Mit den ESSIDs hat man die Option billig und schnell mehrere WLANs über ein und dieselbe Hardware zu bedienen ohne alles doppelt anzuschaffen.
Letztlich genau das was du willst laut deiner o.a. Beschreibung ! Mit diesen Tools ist die Umsetzung ein Kinderspiel.
Du benutzt einen (oder mehrere) WLAN Access Points die ESSIDs also virtuelle SSIDs supporten.
Wie man sowas dann ganz einfach löst erklärt dir dieses Tutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
bzw.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
In Kombination mit einer kleinen und für Schulen erschwinglichen Firewall die man auch im Informatikunterricht selbst einrichten kann:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Kann der Lehrer sich dann mit einem einfachen Mausklick entweder ins eine oder andere WLAN einloggen.
Um dieses Lehrer und Verwaltungsnetz wirklich wasserdicht und absolut Schüler sicher zu machen hast du zusätzlich die Option dieses ESSID WLAN entsprechend zu sichern:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Mit den ESSIDs hat man die Option billig und schnell mehrere WLANs über ein und dieselbe Hardware zu bedienen ohne alles doppelt anzuschaffen.
Letztlich genau das was du willst laut deiner o.a. Beschreibung ! Mit diesen Tools ist die Umsetzung ein Kinderspiel.
Hallo aqui,
ich wage es ja eigentlich nicht dir zu widersprechen, aber...
Diese Lösung ist technisch korrekt ohne Zweifel. Aber wir haben hier ungefähr 200 Lehrer. 95% würde ich es nicht zutrauen das WLAN zu wechseln. Hinzu kommt der Faktor Mensch. Wenns klingelt "hauen" die Lehrer (genauso wie die Schüler) ab und lassen den PC in dem WLAN in dem es sich befindet. (Was ich jetzt ehrlicherweise nicht weiss ist ob es möglicht ist, eine Zwangstrennung zu machen nach X Sekunden Timeout). Ich denke auch an den Admin, der das verwaltet (nämlich mich ;) ) und möchte den Hilfeaufwand so weit wie möglich reduzieren. Mit dieser Methode wird jede Stunde das Telefon klingeln.
Weitere Punkte:
- Ich würde niemals das Administrative Netzwerk an ein WLAN hängen. Man sollte bedenken dass hier höchst sensible Daten gespeichert werden. Egal ob 802.1X oder WPA2 oder wie auch immer. Das ist irgendwann immer alles "knackbar". Wenn auch durch einen Fehler vom Admin.
- Dass das billig würde wage ich zu bezweifeln, da du ja einen oder mehrere AP's bräuchtest die entweder mehrere NICs haben oder VLAN unterstützen. Und da bist Du auch schon im im Pro-Segment würd ich meinen.
mfG
ich wage es ja eigentlich nicht dir zu widersprechen, aber...
Diese Lösung ist technisch korrekt ohne Zweifel. Aber wir haben hier ungefähr 200 Lehrer. 95% würde ich es nicht zutrauen das WLAN zu wechseln. Hinzu kommt der Faktor Mensch. Wenns klingelt "hauen" die Lehrer (genauso wie die Schüler) ab und lassen den PC in dem WLAN in dem es sich befindet. (Was ich jetzt ehrlicherweise nicht weiss ist ob es möglicht ist, eine Zwangstrennung zu machen nach X Sekunden Timeout). Ich denke auch an den Admin, der das verwaltet (nämlich mich ;) ) und möchte den Hilfeaufwand so weit wie möglich reduzieren. Mit dieser Methode wird jede Stunde das Telefon klingeln.
Weitere Punkte:
- Ich würde niemals das Administrative Netzwerk an ein WLAN hängen. Man sollte bedenken dass hier höchst sensible Daten gespeichert werden. Egal ob 802.1X oder WPA2 oder wie auch immer. Das ist irgendwann immer alles "knackbar". Wenn auch durch einen Fehler vom Admin.
- Dass das billig würde wage ich zu bezweifeln, da du ja einen oder mehrere AP's bräuchtest die entweder mehrere NICs haben oder VLAN unterstützen. Und da bist Du auch schon im im Pro-Segment würd ich meinen.
mfG
@Cubic83
Zuallererst ist 802.1x nicht knackbar, da liegst du komplett falsch. Dadurch das es ja eben wirklich wasserdicht ist ist es ja prädestiniert für diesen Einsatz in gesicherten Umgebungen !
Zweitens können auch mittlerweile auch preiswerte Consumer APs im Preisbereich um die 30 Euro solche ESSID VLANs abbilden und sind damit automatisch auch VLAN fähig. Das o.a. Tutorial beschreibt die Lösung mit solch einem AP (Edimax) was du vermutlich übersehen hast.
So lassen sich auch im Billigpreis Segment solche relaitv sicheren WLANs oder LANs aufbauen.
Drittens hat keiner behauptet das es Sinn macht administrative Netzwerke darauf abzubilden. Das hängt (und da hast du Recht) immer vom individuellen Netzwerk und den Anforderungen ab bzw. der Abwägung zw. Sicherheit und Bequemlichkeit.
Das zur rein technischen Seite der Lösung so einer Infrastruktur.
Was den Rest anbetrifft stimme ich dir zu, zeigt aber dann gleichzeitig auf in welchem Dilemma sich der TO befindet.
Unter Annahme der von dir zitierten Voraussetzungen und Benutzerverhalten ist dann aber mit nochsoviel Technik und Verschlüsselung niemals eine befriedigende Lösung zu erreichen, denn die Schwachstelle ist hier das Interface Mensch.
Solche Verhaltens Umfelder wären dann nur mit ganz rigiden Einschränkungen zu steuern die das Arbeiten in so einem Netz dann schwer oder unmöglich machen.
Im Hinblick auf dieses spezifische Umfeld ist aber dann eine sinvolle und sichere Lösung für den TO ohne entsprechende Abstriche so gut wie unmöglich !
Zuallererst ist 802.1x nicht knackbar, da liegst du komplett falsch. Dadurch das es ja eben wirklich wasserdicht ist ist es ja prädestiniert für diesen Einsatz in gesicherten Umgebungen !
Zweitens können auch mittlerweile auch preiswerte Consumer APs im Preisbereich um die 30 Euro solche ESSID VLANs abbilden und sind damit automatisch auch VLAN fähig. Das o.a. Tutorial beschreibt die Lösung mit solch einem AP (Edimax) was du vermutlich übersehen hast.
So lassen sich auch im Billigpreis Segment solche relaitv sicheren WLANs oder LANs aufbauen.
Drittens hat keiner behauptet das es Sinn macht administrative Netzwerke darauf abzubilden. Das hängt (und da hast du Recht) immer vom individuellen Netzwerk und den Anforderungen ab bzw. der Abwägung zw. Sicherheit und Bequemlichkeit.
Das zur rein technischen Seite der Lösung so einer Infrastruktur.
Was den Rest anbetrifft stimme ich dir zu, zeigt aber dann gleichzeitig auf in welchem Dilemma sich der TO befindet.
Unter Annahme der von dir zitierten Voraussetzungen und Benutzerverhalten ist dann aber mit nochsoviel Technik und Verschlüsselung niemals eine befriedigende Lösung zu erreichen, denn die Schwachstelle ist hier das Interface Mensch.
Solche Verhaltens Umfelder wären dann nur mit ganz rigiden Einschränkungen zu steuern die das Arbeiten in so einem Netz dann schwer oder unmöglich machen.
Im Hinblick auf dieses spezifische Umfeld ist aber dann eine sinvolle und sichere Lösung für den TO ohne entsprechende Abstriche so gut wie unmöglich !
Hallo,
ich meinte das auch theoretisch. Theoretisch ist irgendwann alles zu knacken mit entsprechendem Aufwand. Wir setzen selbst 802.1X ein.
Ich habe deine Tuts schon alle gelesen, aber jetzt habe ich wirklich nur die Überschrift gelesen um zu sehen was du umsetzen wolltest. Hast aber Recht, das Argument fällt somit flach.
Man ist als Admin eines solchen Netzes immer in der Zwickmühle. Zum einem wird man gedrängt die Sachen um zu setzen und auf auf der anderen Seite muss man auf die Sicherheit achten. Der TO muss halt extrem aufpassen wie er es umsetzt. Wäre (leider) nicht das erste Mal dass Klausuren vorher schon im Umlauf sind.
mfG
ich meinte das auch theoretisch. Theoretisch ist irgendwann alles zu knacken mit entsprechendem Aufwand. Wir setzen selbst 802.1X ein.
Ich habe deine Tuts schon alle gelesen, aber jetzt habe ich wirklich nur die Überschrift gelesen um zu sehen was du umsetzen wolltest. Hast aber Recht, das Argument fällt somit flach.
Man ist als Admin eines solchen Netzes immer in der Zwickmühle. Zum einem wird man gedrängt die Sachen um zu setzen und auf auf der anderen Seite muss man auf die Sicherheit achten. Der TO muss halt extrem aufpassen wie er es umsetzt. Wäre (leider) nicht das erste Mal dass Klausuren vorher schon im Umlauf sind.
mfG
@Boweeko
Wenns das denn nun war für dich bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Wenns das denn nun war für dich bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
OK, das ist dann aber ein Lancom Problem. Die o.a. Tutorials die dir die ESSID Aufteilung für WLAN Nutzung zeigen gelten analog auch für alle anderen Accesspoints, natürlich auch Lancom, denn das Prinzip ist immer das gleiche bei allen Herstellern.
Du bist dann aber mit ESSID WLANs und Radius Authentifizierung auf dem richtigen Weg was das Netzwerk selber angeht.
Der Rest mit den "Terminals" ist dann eher Client bezogen, weniger Netzwerk Infrastruktur !
Du bist dann aber mit ESSID WLANs und Radius Authentifizierung auf dem richtigen Weg was das Netzwerk selber angeht.
Der Rest mit den "Terminals" ist dann eher Client bezogen, weniger Netzwerk Infrastruktur !