nmsbadhall
Goto Top

Schulnetzwerk aufteilen

Hallo!

Nachdem unser Schulnetzwerk ständig erweitert und erweitert wurde möchte ich das Netzwerk - falls es sinnvoll ist, neu aufbauen - aber dazu fehlt mir das Wissen. Daher versuche ich hier mein Glück:

IST-Stand

IT-Raum 1
25 Laptops, 1WLAN-Router (kein Passwort, MAC Authentifizierung)

IT-RAUM 2
15 PCs verkabelt

12 Klassen
mit je 1 Laptop, verkabelt

Konferenzzimmer
3 Laptops, 1 WLAN Router (Passwort nur für Lehrer)

Direktion
1 PC, verkabelt

10 diverse PCs und Laptops in Zweckräumen (z.T. verkabelt oder WLAN)

3 Netzwerkdrucker

1 Linux Server (Debian/Xubuntu)

Auf dem Linuxserver läuft dnsmasc.conf und verteilt an die Laptops und PCs in IT1 und IT2 fixe IPs aufgrund ihrer MAC-Adresse.


Wäre es nicht sinnvoll das Netz in Subnetze aufzuteilen?
Wäre es sinnvoller die IPs nicht fix zu vergeben sondern dynamisch?

Ich hoffe, hier einige Antworten und Tipps zu finden.
Vielen Dank im Voraus!

52a33b788c44bda58ff7ceda6e725522

Joachim

Content-ID: 283276

Url: https://administrator.de/contentid/283276

Ausgedruckt am: 16.11.2024 um 01:11 Uhr

michi1983
Lösung michi1983 18.09.2015, aktualisiert am 19.09.2015 um 01:42:32 Uhr
Goto Top
Hallo,

Bist du der Admin der Schule? Habt ihr einen Dienstleister der euch Hardware besorgt/besorgen kann?

Subnetze sind hier eher nicht notwendig, da die Anzahl der Geräte im Netzwerk jetzt nicht sonderlich groß ist.
Eventuell wären VLANs eine Option. Dazu muss aber wieder die Netzwerk-Hardware bereit stehen - von welcher du leider überhaupt nichts erwähnt hast.
Genau so wenig verätst du über das derzeitige Netz-Design? Ev. kannst du mal eine Zeichnung hier rein stellen welche die versch. Netze und IP-Bereiche erläutert.

Beim Thema WLAN kann man sicherlich einiges verbesseren. Reine MAC-basierte Authentifizierung? Wenn ein Schüler die MAC-Adresse seines Handies/Laptops ändert sperrt er einen Laptop aus?
Hier mal ein bisschen Lesestoff zum Thema WLAN.
WLAN Netzwerk mit einzelnen Usern

Mal abgesehen von den ganzen Sicherheitsaspekten, was genau stört dich am jetzigen Netz?

Gruß
119944
Lösung 119944 18.09.2015 aktualisiert um 14:24:38 Uhr
Goto Top
Moin Joachim,

Wäre es nicht sinnvoll das Netz in Subnetze aufzuteilen?
Sinnvoll ist eine Aufteilung des Netzwerkes in verschiedene Bereiche fast immer!
Dafür solltest du VLANs verwenden, benötigst dafür aber auch VLAN fähige Switches, APs und Router.

z.B.:
VLAN100 - IT-Raum 1
VLAN200 - IT-Raum 2
VLAN300 - alles andere
VLAN400 - Drucker
VLAN500 - Verwaltung / Direktion
VLAN700 - Smartphones
VLAN900 - Server

Wäre es sinnvoller die IPs nicht fix zu vergeben sondern dynamisch?
Fixe IPs verwenden wir eigentlich nur für Netzwerkgeräte, Drucker und Server oder spezielle Geräte.

1 Linux Server (Debian/Xubuntu)
Server mit GUI? face-wink

1WLAN-Router (kein Passwort, MAC Authentifizierung)
Oha, das geht eigentlich garnicht. Entweder ein Captive Portal dafür verwenden oder mit 802.1X eine Authentifizierung mit Zertifikaten verwenden.
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)

Hardware die du verwenden könntest:
Router:
Mikrotik
PfSense

Switche:
Cisco SG200 - Layer2
Cisco SG300 - Layer3
Cisco SG500 - Layer3 - stackbar
Cisco SG500X - Layer3 - stackbar - 10G

Subnetze sind hier eher nicht notwendig, da die Anzahl der Geräte im Netzwerk jetzt nicht sonderlich groß ist.
Eventuell wären VLANs eine Option.
Bei VLANs brauchst du eigene Subnetze und ein Gerät welches zwischen diesen routet face-wink

Weitere Lektüre:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch


Viele Grüße nach Österreich
Val
aqui
Lösung aqui 18.09.2015, aktualisiert am 19.09.2015 um 01:43:05 Uhr
Goto Top
Lesenswert dazu ist auch dieser Thread von einem der das erfolgreich für ein Schulnetz umgesetzt hat:
Mit PFSense Drucker in einem per VLAN getrennten WLAN Netz verfügbar machen

Grundlagen zu dem Thema sichere Segmentierung findest du hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
nmsbadhall
nmsbadhall 18.09.2015 aktualisiert um 14:24:15 Uhr
Goto Top
Mal abgesehen von den ganzen Sicherheitsaspekten, was genau stört dich am jetzigen Netz?


Danke erstmal für deine rasche Antwort, stören tut mich die Unübersichtlichkeit und, dass es meiner Meinung nach nicht professionell aufgesetzt wurde.
Außerdem habe wir hin und wieder Verbindungsschwierigkeiten mit den Laptops im WLAN, manchmal Geräte, die die selbe IP Adresse nutzen, .... das nervt mich. Ich weiß, dass diese Fehler hausgemacht sind, aber deshalb möchte ich es ja endlich mal ordentlich hinkriegen - als Kustos der Schule ist das ziemlich nervig, wenn ein paar mal pro Woche Probleme mit dem Netzwerk auftreten.

Du hast nach Hardware gefragt;

Der LinuxServer ist schon ein ca. 8 Jahre alt, aber als Fileserver leistete er bisher super Dienste - und außer dhcp hat der sonst keine Arbeit
Memory:        Total        Used        Free     Buffers                       
RAM:         3037800      596924     2440876       88464                       
Swap:        3100668           0     3100668                                   

Bootup: Fri Sep 18 11:41:34 2015   Load average: 0.26 0.08 0.06 1/179 4081     

user  :   00:01:00.25   0.3%  page in :           372453                       
nice  :   00:00:00.00   0.0%  page out:           128977                       
system:   00:00:15.91   0.1%  page act:            17186                       
IOwait:   00:01:14.54   0.4%  page dea:                0                       
hw irq:   00:00:00.00   0.0%  page flt:          2659704                       
sw irq:   00:00:00.33   0.0%  swap in :                0                       
idle  :   05:01:47.40  99.2%  swap out:                0                       
uptime:   02:32:12.49         context :           668603                       

irq   0:         45  timer               irq  18:          0  uhci_hcd:usb4    
irq   1:         10  i8042               irq  19:      20245  ata_piix, uhci_hc
irq   7:          7                      irq  23:          0  ehci_hcd:usb1, uh
irq   8:          1  rtc0                irq  40:          0  PCIe PME         
irq   9:          3  acpi                irq  41:          0  PCIe PME, pciehp 
irq  12:        158  i8042               irq  42:          0  PCIe PME, pciehp 
irq  14:          0  ata_piix            irq  43:      72318  eth0             
irq  15:          0  ata_piix            irq  44:          2  i915             
irq  16:      25639  uhci_hcd:usb5, et                                         

sda             9948r            6543w   sdb             1149r               6w

eth0        TX 3.89MiB       RX 4.65MiB       lo          TX 110.43KiB     RX 110.43KiB    
eth1        TX 23.23KiB      RX 2.12MiB               

der WLAN Router ist ein Netgear WNDAP660, der ist für den Laptopraum zuständig
im Konferenzzimmer ist ein Linksys WRT54G
außerdem haben wir noch einen Zyxcel in einem anderen Teil des Hauses
bei den Switches weiß ich momentan nicht was da drinnen steckt, muss ich nächste Woche checken.

die Lösung mit den VLANs klingt gut, muss ich mich etwas einlesen
aqui
Lösung aqui 18.09.2015, aktualisiert am 19.09.2015 um 01:43:09 Uhr
Goto Top
Es liegt auch nicht am Server.
Dein Problem ist wie du auch richtig selber erkannt hast die schlechte und falsch installierte und konfigurierte Infrastruktur !
Die Fehler im WLAN zeigen auf eine mehr als schlampinge Planung von Frequenzen und Ausleuchtung. Was da so alles bedacht werden musst steht unter anderem hier:
Seit WLAN Umstellung von Cisco WAP 200 auf Zyxel NWA3560-N schlechtere Verbindung

Das Drama mit dem DHCP zeigt das ebnso eindrucksvoll. Sowas sind absolute NoGos und zeigen das da generell was faul ist. Allein diese 2 Dinge sind schon erschreckend und man will dann lieber nicht wissen was da noch im Argen liegt...
Fazit: Bring die Infrastruktur sauber in Ordnung mit entsprechenden VLANs und Segmentierung und dann kannst du sicher sein das sich die Folgeprobleme daraus dann ganz von selber erledigen !

Grundlagen zu den VLAN Themen findest du hier:
http://www.schulnetz.info/vlan-einstieg-was-ist-ein-vlan/
und in dem oben bereits zitierten Forums Tutorial hier mit den zahllosen weiterführenden Links.
nmsbadhall
nmsbadhall 19.09.2015 um 01:31:52 Uhr
Goto Top
@michi1983: ja ich bin der admin
Habe heute nachmittag nachgesehen, die beiden Switches sind ein:

Netgear FS752TS und TP-LINK TL-SG2452

Kann ich die weiter verwenden und die VLANS einrichten?
Habe eine "Zeichnung" erstellt und als PDF auf meine Dropbox geladen:
-> hier ist der Link

@119944: lässt sich dein Vorschlag noch ergänzen?

VLAN100 - IT-Raum 1
VLAN200 - IT-Raum 2
VLAN300 - 12 Klassen
VLAN400 - Drucker
VLAN500 - Verwaltung / Direktion
VLAN600 - private Lehrer-Laptops/Tablets
VLAN700 - alle Smartphones
VLAN900 - Server

werden die VLANs auf dem linux-server eingerichtet?

Danke und schönes Wochenende!
michi1983
michi1983 19.09.2015 aktualisiert um 08:47:16 Uhr
Goto Top
1. warum hast du den Beitrag schon auf gelöst gesetzt?
Damit verhinderst du gegebenenfalls, dass du weitere Hilfe für dein Vorhaben bekommst wenn sich jemand den Beitrag gar nicht mehr öffnet weil er sieht, dass der Beitrag gelöst ist.

2. Die Switche können beide VLANs

3. Der Netgear Switch hat keinen Support mehr von Seiten Netgear. Sein Lebenszyklus ist zu Ende.

4. Wenn dein Server auch der Router ist, dann kannst du die VLANs auch am Server einrichten.

5. Wenn du einen dezidierten Router hast, muss der auch VLANs (802.1q) unterstützen.

6. Das Konzept von Valexis kann natürlich erweitert/adaptiert werden so wie du es brauchst/möchtest.

7. Zeichnungen können hier direkt rein gestellt werden, dann sind keine externe Links nötig und die Zeichnungen bleiben erhalten für spätere Nachkommlinge.
Einfach die FAQs lesen, da steht auch drin wie man einen Beitrag wieder auf ungelöst stellt face-wink

Gruß
aqui
aqui 19.09.2015 aktualisiert um 16:14:32 Uhr
Goto Top
Habe eine "Zeichnung" erstellt und als PDF auf meine Dropbox geladen:
Der umständliche Umweg über Dropbox muss nicht sein denn man hätte es auf den ersten Blick für alle sichtbar hier in den Text einfügen können:
Das Forum hat selber eine wunderbare Bilder Upload Funktion. Die kann dir eigentlich nicht entgangen sein beim Erstellen deines Beitrags ?!
Wenn man die FAQs hier liest ist es kinderleicht:
  • Deinen Originalthread mit "Meine Fragen" auswählen und auf "Bearbeiten" klicken !
  • Nun kannst du oben den Button "Bilder" nicht übersehen. Anklicken und dein Bild hochladen jpg, png usw. Format.
  • Den nach dem Upload erscheinenden Bilder Link mit einem Rechtsklick und Copy und Paste sichern.
  • Diesen Bilder Link kannst du hier in jeglichen Text bringen ! Ja, auch Antworten..! Statt des Links kommt dann ...et voila.. Dein Bild im Browser!
Kann man übrigens wunderbar auch noch nachträglich machen face-wink

die beiden Switches sind ein: Netgear FS752TS und TP-LINK TL-SG2452
Hast du dir mal die Mühe gemacht und nur einmal einen Blick ins Handbuch oder Datenblatt geworfen ??
http://www.downloads.netgear.com/files/GDC/FS752TS/FS728_FS752TSS_20Mar ...
und
http://www.tp-link.com/at/products/details/?model=TL-SG2452#spec
Jeder Dummie hätte dir die Frage in max. 5 Sek. beantworten können. Sorry aber RTFM hilft wirklich !
werden die VLANs auf dem linux-server eingerichtet?
Nein, natürlich nicht ! NUR auf den Switches und diese mit einem Tagged Link verbunden, damit beide Switches die VLANs oben transparent bedienen können.
Daran flanschst du die Firewall an mit einem tagged Link und aktivierst die Firewall Regeln.
Ist doch alles in dem oben mehrfach zitierten Tutorial hier Schritt für Schritt auch für Laien verständlich beschrieben... Also ran und machen !!
Die technischen Voraussetzungen hast du auf beiden Switches perfekt dafür !

Ist das Thema jetzt gelöst weil du es selber auf gelöst geklickt hast ??
IT-Stefan
IT-Stefan 19.09.2015 aktualisiert um 17:10:14 Uhr
Goto Top
Aus Sicht eines Lehrers face-smile

Bezüglich deiner Infrastruktur würde ich, wenn es das Haushaltsjahr noch hergibt, folgendes bestellen:

1. Zwei identische Switches, da die VLAN Konfiguration bei jedem Gerät etwas anders ist
und dir somit Arbeit ersparst, auch die Fehlersuche ist deutlich einfacher
(ich persönlich habe die Netgear gs748tv5) Kosten für zwei ca. 700€

2. Mit einer Firewall zb. pfSense kann man die VLANs gut verwalten und entsprechende Probleme mit gleichen IPAdressen komplett vermeiden (DHCP verwenden), auch ist damit gewährleistet, dass die Netze nur soweit miteinander kommunizieren können, wie es nötig ist.
Meine Empfehlung wäre das Komplettsystem für den Einbau in einen Serverschrank (ca. 330€), da ersparst du dir auch die Installation der Software, da es schon vorab in einer Grundkonfiguration ist.
(Ich persönlich habe die kostenlose Software auf einem virtuellen Server installiert um Kosten zu sparen. Dies geht natürlich nur, wenn man einen teuren Server mit Virtualisierung betreibt face-smile )
Eine mögliche Bezugsquelle für pfsense Firewall für einen Serverschrank:
http://varia-store.com/Systeme-mit-Software/pfSense/pfSense-19-Komplett ...

3. VLAN Fähige WLAN APs z.B. TP-Link TL-WA901ND für je 45€ (da kannst du ganz einfach bis zu 4 WLAN Netze mit einem Gerät betreiben)

Bezüglich der Strukturierung. Ich empfinde 9 VLANS als zu komplex ...
auch ist mir nicht klar weshalb du 100 200 etc. verwenden möchtest?
Mein Vorschlag mit 5VLANs:

DSL direkt an --> pfSense -->
a) VLAN4 - Internes Netz (Server und ITG1, Drucker und alle schulinternen Geräte die verkabelt sind)
b) VLAN5 - WLAN Lehrer (mit pfsene --> Captive Portal Seite mit Benutzer und PW)
c) VLAN6 - WLAN Schulgeraete (mit WLAN PW oder MAC)
d) VLAN7 - WLAN Schueler (mit pfsene --> Captive Portal Seite mit Ticketeingabe)
e) VLAN8 - Verwaltungsnetz (Direktor)

VLAN1 bis 3 würde ich frei lassen da diese oft für Video und Voice over Ip Verwendet werden. Auch würde ich alle VLANs mit fortlaufenden Zahlen wählen, da es dann einfacher beim Eintragen in die Switche ist. z.B.: Bei einem Uplink muss man nur 4-8 eintragen und nicht 100,200, ...

Alles in allem hängt es natürlich an den Finanzen der Schule. Mit ca. 1200€ kannst du das Netz sauber strukturieren. Ich habe auch die Ports im internen Netz (VLAN4) mit den VLANs 5,6,7 getagged damit man nicht aufpassen muss an welchen Port ein PC oder ein WLAN AP angeschlossen werden muss.
Verwaltung der Switches und WLAN APs würde ich im internen Netz vornehmen.
(Wenn man es sicherer machen möchte natürlich auf einem weiteren VLAN, bedeutet die Administration ist etwas schwieriger. Beispielsweise über einen Adminpc der im Schulnetz per Remotedesktop erreichbar ist und durch eine Netzwerkkarte per VLANTagging an VLAN4-8 angeschlossen ist kann mann dann alles verwalten)
nmsbadhall
nmsbadhall 19.09.2015 um 18:21:38 Uhr
Goto Top
Habe eine "Zeichnung" erstellt und als PDF auf meine Dropbox geladen:
Der umständliche Umweg über Dropbox muss nicht sein denn man hätte es auf den ersten Blick für alle sichtbar hier in den Text einfügen können:
Das Forum hat selber eine wunderbare Bilder Upload Funktion. Die kann dir eigentlich nicht entgangen sein beim Erstellen deines Beitrags ?!
Kann man übrigens wunderbar auch noch nachträglich machen face-wink

habe ich bereits eingefügt

Ist das Thema jetzt gelöst weil du es selber auf gelöst geklickt hast ??

auch das habe ich bereits geändert, sorry für die Fehler eines Neulings
nmsbadhall
nmsbadhall 19.09.2015 um 18:42:27 Uhr
Goto Top
Zitat von @IT-Stefan:

Aus Sicht eines Lehrers face-smile

danke face-smile

Bezüglich deiner Infrastruktur würde ich, wenn es das Haushaltsjahr noch hergibt, folgendes bestellen:

Problem: wir haben heuer den T-Link TL SG2452 angeschafft, der Netgear ist schon relativ alt aber noch funktionstüchtig, als krieg ich da sicher nichts zusätzlich (ansonsten wäre eine 2. T-Link SG2452 sinnvoll, denn der ist ganz neu)

ich weiß, blöde frage, muss ich das VLAN auf beiden switches konfigurieren?

Für weitere Hardware ist zur Zeit kein Geld vorhanden. Ich müsste also mit der bestehenden auskommen.
Werde wohl unseren Händler vor Ort bitten, dass er sich unseren Netzwerkproblemen beschäftigt, denn ich fürchte, dass dieses Thema meine Fähigkeiten übersteigt.
IT-Stefan
IT-Stefan 19.09.2015 um 19:51:48 Uhr
Goto Top
1. Du musst zunächst beide Switches die VLANs definieren:
z.B. Bei mir ist Belwue der DSL Anschluss und paedML das interne Netz.
b36c67fcf473d94e0273c62b5dcb511a

2. Ports den VLANs zuordnen

Um es herauszufinden wie es funktioniert musst du etwas mit deinen Switches experimentieren um
VLANs zu begreifen face-wink

a) Als erstes ein Port an einem Switch mit z.B. VLAN4 einrichten
b) dann noch die LWL Ports mit allen VLANs taggen
c) das gleiche an dem zweiten Switch
d) An beide Ports ein PC und entsprechend einen Ping versenden, dies müsste klappen, beim Umstecken eines PCs dürfte es nicht mehr gehen ...

Tolle Erklärung von aqui für alle üblichen Switches bzgl. VLAN:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
IT-Stefan
IT-Stefan 20.09.2015 um 09:19:14 Uhr
Goto Top
Bzgl. deiner Infrastruktur.

Dein TPLink sieht ja auch ganz gut aus, da würde ich auch nur einen zweiten kaufen (Kosten ca. 330€).

Nur eine VLAN Struktur bringt dich auch nicht weiter, denn wenn du rein alles in VLANs trennst können diese Netze nicht miteinander kommunizieren. Daher kannst du dann auch nicht ins Internet oder auf den Server zugreifen oder auf Drucker zugreifen, wenn diese
Elemente sich in einem anderen VLAN befinden. Dafür benötigst du eine Firewall, die entsprechend Internetzugriff, Querzugriffe auf anderen VLANs regelt (z.B. wie bei mir die Drucker die auch in einem WLAN Netz verfügbar sein sollten). Hierfür benötigst du
auch entsprechende Firewall wie beispielsweise schon oben erwähnt die pfsense. (Kosten ca. 330€)

Wenn du einen Händler beauftragst, kann der zwar dein alten Switch auch in entsprechende VLANs eintragen,
wird dafür aber mehr Zeit benötigen als dich ein neues Switch kosten würde face-wink .
Auch ist es dir dann nicht möglich kleinere Änderungen selbst vorzunehmen
und du wirst immer auf den Händler angewiesen sein ...

Ich persönlich würde mit meinem Rektor reden und sagen, dass das alte Switch
Probleme verursacht und ausgetauscht werden muss. Und ich in diesem Zug
aus Sicherheitsgründen eine Firewall installieren möchte.

Wenn du dann mit der Hardware nicht klar kommst, kann dir der Händler immer noch bei der Konfiguration helfen ...
Habt ihr keinen IT Fachmann der in der Stadtverwaltung arbeitet und dich eventuell unterstützen könnte?
Bei mir kommt ab und an (alle vier Wochen) einer von der Stadt vorbei und hilft mir mal eine Stunde und bei
Bedarf auch mal ein halben Tag, wenn ich total am verzweifeln bin face-smile
michi1983
michi1983 20.09.2015 um 09:30:37 Uhr
Goto Top
Zitat von @IT-Stefan:
Dafür benötigst du eine Firewall, die entsprechend Internetzugriff, Querzugriffe auf anderen VLANs regelt (z.B. wie bei mir die Drucker die auch in einem WLAN Netz verfügbar sein sollten).

Das bezweifle ich mal face-wink
Dafür benötigt er einen Router und keine Firewall.
Es gibt natürlich auch Firewalls (PfSense z.B.) die auch Routingfunktionen haben.
aqui
aqui 20.09.2015 aktualisiert um 11:58:54 Uhr
Goto Top
@michi1983
Vielleicht machts du hier einen gravierenden Denkfehler: Alle Firewalls können auch routen oder machen das per Default.
Der TO braucht hier also in jedem Fall besser eine Firewall.
OK ein Router mit entsprechender ACL Funktion geht auch aber eine SPI Firewall ist besser und sicherer. Gerade in einem Schulnetz !

Problem: wir haben heuer den T-Link TL SG2452 angeschafft, der Netgear ist schon relativ alt aber noch funktionstüchtig, als
Das muss auch nicht unbedingt sein ! Beide Switches sind für die Umsetzung der VLAN Infrastruktur bestens geeignet. Du hast also optimale Bedingungen wenn man von der fehlenden Firewall mal absieht aber das lässt sich für ca. 150 Euro ja beheben.
Kollege IT-Stefan hat natürlich recht, das baugleiche Hardware dir das Management erheblich vereinfacht, da besteht kein Zweifel.
Wenn aber Budget technisch das bei dir nicht geht, geht es auch mit der unterschiedlichen HW. 802.1q VLANs sind weltweit standartisiert, du musst dann eben halt nur zwischen den Setup GUIs "umschalten".
Zum Rest hat Kollege IT-Stefan ja schon alles gesagt !
michi1983
michi1983 20.09.2015 um 11:58:44 Uhr
Goto Top
Zitat von @aqui:

@michi1983
Vielleicht machts du hier einen gravierenden Denkfehler: Alle Firewalls können auch routen oder machen das per Default.
Der TO braucht hier also in jedem Fall besser eine Firewall.
OK ein Router mit entsprechender ACL Funktion geht auch aber eine SPI Firewall ist besser und sicherer. Gerade in einem Schulnetz !

Ev hab ich mich falsch ausgedrückt.
IT-Stefan hatte ja gesagt, dass der TO eine Firewall benötigt damit die VLANs untereinander kommunizieren v können.

Ich wollte damit eigentlich sagen, dass für die reine Kommunikation zwischen den VLANs einfach ein Gerät benötigt welches Routing beherrscht, aber eben nicht zwingend explizite eine Firewall.

Meine Formulierung war wohl nicht die Beste face-wink
Für das oben genannte Szenario einer Schule mag das schon stimmen, dass die FW die bessere Option ist.
aqui
aqui 20.09.2015 um 11:59:40 Uhr
Goto Top
OK, so stimmt das dann technisch wieder face-wink
Dr.Bit
Dr.Bit 21.09.2015 um 11:38:14 Uhr
Goto Top
Hi Folks,

nur mal so nebeinbei bemerkt:

Ich habe gesehen, das der Rektor und das Kollegium auch über die Leitung ins Internet geht.
Wenn das ein "Schulen ans Netz" Anschluß von der Telekom ist und dieser dann auch noch der kostenlose, dann dürfen die Lehrer, per Vertrag mit der Telekom, diesen Anschluß gar nicht nutzen.
Dafür gibte es, hier bei uns in SH, das IQSH bzw. Landesnetz. Hier dürfen dann auch personenbezogene Daten übers Internet versendet werden, da die Anschlüsse per VPN mit den Servern in Kiel verbunden sind.
Wenn dem nicht so ist, und der Anschluß bezahlt wird, müssen die Rechner des Kollegiums physikalisch!!! vom Rest des Netzwerks getrennt sein. Da reicht kein VLAN.

Gruß
Stephan
aqui
aqui 21.09.2015 um 15:46:11 Uhr
Goto Top
dann dürfen die Lehrer, per Vertrag mit der Telekom, diesen Anschluß gar nicht nutzen.
Sorry aber wer denkt sich denn so einen Blödsinn aus. Das ist doch in der Praxis gar nicht durchführbar. Wenn die Lehrer in der Schule sind und mit den Schülern was recherchieren muss der Lehrer PC per Accesslliste blockiert werden ?
Wie weltfremd ist denn sowas ?
Das würde ja erzwingen das jede Schule sich einen zweiten Provider Account zulegen muss über den dann Lehrer und Direktor arbeiten. Die Sekrärin und Putzfrau dürfen dann aber gnädigerweise das Schulnetz nutzen, oder ?
Auch eine zwangsweise wirklich physiskaliche Trennung kostet die Schule dann eine vollständige 2te Netzwerk Infrastruktur. Utopisch...
Vermutlich ist moderne Netzwerktechnik (VLANs sind auch eine physische Trennung wenn man so will) und eine praxisorientierte Schulvernetzung im Agrarland SH und der Landeshauptstadt hinterm Deich noch nicht angekommen.
Da hat die Behörde wohl noch einen erheblichen Schulungsbedarf und sollte selber nochmal die (Netzwerk) Schulbank drücken.
So hinterm Mond kann man doch heutzutage eigentlich nicht mehr leben und sich so zum Gespött der gesamten Schülerschaft machen.
Dr.Bit
Dr.Bit 21.09.2015 um 21:45:36 Uhr
Goto Top
Hi,

@aqui

meines Wissens, und ich kann mich natürlich irren, ist Bundesweit der Zugrif für den Lehrkörper und die Verwaltung bei den kostenlosen Anschlüssen untersagt.
Die Telekom geht davon aus, das jeder Lehrer einen Internetzugang hat, bzw. von der Schule die Möglichkeit geschaffen wird das Internet zu nutzen.
Wozu bei uns, im übrigen, jede Schule gezwungen ist und auch hat. Hier bekommt jeder Lehrer der rektor, der Schulleiter und die Sekretärin einen eigenen Account im AD des Landesnetzes und kann dann das Internet nutzen, Statistiken übertragen und alles Andere auch noch, was zur Erfüllung des Bildungsauftrages von Nöten ist.
Das dies in der Praxis vollkommen unsinnig ist, steht auf einem anderen Blatt.
Und eine tatsächlich physikalische Trennung ist per VLAn nun einmal nicht möglich.
Man sollte im Auge behalten, das sich dann, in dem physikalischen Netz, personenbezogene Daten befinden. Das gilt es um jeden Preis auszuschließen. Bei einem VLAn ist das schlicht nicht möglich ( vergessen Serverschrank abzuschließen und irgendeiner geht rein und steckt an einem VLAN fähigen Switch ein Patchkabel um), schon sind die Daten im falschen Netz.( habe ich schon mehrfach gehabt, da gab es das Landesnetz noch nicht an jeder Schule)
Die Serverschränke für das Verwaltungsnetz (Landesnetz) müssen verschlossen sein und es gibt in der Schule oder sonstwo keinen Schlüssel für den Schrank, außer beim IQSH.
Unter Datenschutzgesichtspunkten sehe ich die nicht hinterm Deich, sondern extrem weit vorne. Ich finde jede Landesregierung, bzw. jeder Schulträger,. der das nicht so oder so ähnlich löst, und der zulässt, das personenbezogene Daten in die falschen Hände gelangen könnten, (falsch Verkabelung) handelt grob fahrlässig, wenn er nicht alles technisch machbare zur Abwendung eines solchen Scenarios unternimmt.
Natürlich kann die Abschottung auch durch interne Firewalls und diverse VPN´s lösen. Allerdings sehe ich hier einen erheblich höheren Verwaltungsaufwand und damit deutlich höhere Kosten, als die 20,- EURONEN im Monat für den zweiten DSL´ er.
Die Lehrer PC´s sind auch nicht gesperrt, wie Du bereits angemerkt hast, ist es weltfremd. Und während des Unterricht´s kann ich das Argument auch nachvollziehen und gehe da mit Dir konform. Ich denke mal, es geht der Telekom auch mehr um die Unterrichtsvorbereitung.
Und ja, wir haben, hier an den Schulen, eine komplette zweite Netzwerkinfrastrucktur.

Gruß
Stephan
nmsbadhall
nmsbadhall 21.09.2015 um 23:57:00 Uhr
Goto Top
Zitat von @Dr.Bit:

Hi Folks,

nur mal so nebeinbei bemerkt:

Ich habe gesehen, das der Rektor und das Kollegium auch über die Leitung ins Internet geht.
Wenn das ein "Schulen ans Netz" Anschluß von der Telekom ist und dieser dann auch noch der kostenlose, dann dürfen die Lehrer, per Vertrag mit der Telekom, diesen Anschluß gar nicht nutzen.
Dafür gibte es, hier bei uns in SH, das IQSH bzw. Landesnetz. Hier dürfen dann auch personenbezogene Daten übers Internet versendet werden, da die Anschlüsse per VPN mit den Servern in Kiel verbunden sind.
Wenn dem nicht so ist, und der Anschluß bezahlt wird, müssen die Rechner des Kollegiums physikalisch!!! vom Rest des Netzwerks getrennt sein. Da reicht kein VLAN.

Gruß
Stephan

Ich glaube, du schreibst aus deutscher Sichtweise ... ich weiß nicht, ob ich anfangs erwähnt habe, dass ich aus Österreich bin und ich meine, dass bei uns dieses Thema noch nicht so dramatisch gesehen wird. Unsere Firewall ist derzeit die, die im Breitband-Router (Arris TG862) unseres Kabelanbieters integriert ist. Danke jedenfalls an alle, die sich an der Diskussion beteiligt haben, insbesondere an IT-Stefan.
Dr.Bit
Dr.Bit 22.09.2015 um 08:51:24 Uhr
Goto Top
Guten Morgen,

@nmsbadhall

ich glaube das hattest Du nicht erwähnt. Ok, dann bin ich raus.

@alle Deutschen

Ich empfehle Euch meinen Kommentar zu beachten - spart ne Menge Ärger. Und so viel Mehraufwand ist das gar nicht. 1 Rektor, eine Sekretärin, ein Stellvertredender Schulleiter und vielleicht noch drei Lehrerarbeitsplätze, sind sechs Cat Dosen und zwei kleine 19" Schränke zzgl. Verkabelung. Ich finde das ist überschaubar und man ist auf der sicheren Seite. Für einen guten Elektriker 2 Tage mit 2 Mann. Und ca,- 2000,- Euro für Lohn und Material. Das sollte einem die Sicherheit schon wert sein.

Gruß
Stephan
aqui
aqui 22.09.2015 aktualisiert um 09:28:19 Uhr
Goto Top
Und eine tatsächlich physikalische Trennung ist per VLAn nun einmal nicht möglich.
Warum bitte ist das deiner meinung nach nicht möglich ? Das ist der technische Standardweg das zu lösen.
Und wo liegt da deiner Meinung nach der Unterschied zu einer physisch getrennten Infrastruktur die auf einem anderen Switch läuft der dadrunter steht.
Das ist doch Kasperkram und fern jeder technischen Realität, denn ganz genau diese Punkte die von dir angeführt werden (vergessen Serverschrank abzuschließen und irgendeiner geht rein und steckt an einem VLAN fähigen Switch ein Patchkabel um) gelten ja genau auch für eine getrennte Infrastruktur die nebeneinander steht.
Völlig weltfremd hier anzunehmen das sowas nicht passiert.
Außerdem kann man solche VLANs mit entsprechender technik kinderleicht davor schützen (Thema Port Security, PVLANs, Mac Security) Sehr schwache Argumente also für eine 2te Infrastruktur.
Das ist meistens das sanfte Ruhekissen was fachfremde Entscheider dann als "sicher" erachten....aber egal.
Vielleicht solltest du mal einen Blick auf Krankenhaus Netze werfen oder solche der Polizei um mal einen Blick in die wirkliche Realität zu bekommen. Die personenbezogenen Daten die hier verarbeitet werden sind um ein vielfaches brisanter als die wo Klein Fritzchen ene 6 im Diktat hat und eine 1 in Sport. Getrennte Infrastrukturen stehen hier weit jenseits jeder Realität. Eben genau aus dem Grunde weil das magementmässig nicht handlebar ist. Wirkliche Sicherheit realisiert man eben anders als mit 2 Netzen die aus billigen Chinakomponeten bestehen.
Aber lassen wir das...
Es ist immer ein Streiten um des Kaisers Bart. Der eine so der andere so. Es gibt halt viele Wege so etwas sicher zu lösen. Sowie (deutsche) Verwaltungsvorschriften aber sowas verzerren wird es immer skurril. Über eine Forendiskussion löst man das so oder so niemals. Der Kommentar vom Kollegen almera oben sagt ja alles face-wink
Fazit: Österreich und das andere europäische Ausland ist D mal wieder meilenweit voraus....
Bleibt dann nur dem Kollegen @nmsbadhall gutes Gelingen zu wünschen. Er ist jedenfalls auf dem richtigen Weg das gut umzusetzen !!!
IT-Stefan
IT-Stefan 22.09.2015 um 22:22:21 Uhr
Goto Top
Hallo Stephan,

ich konnte es einfach nicht unterlassen als Lehrer aus Deutschland mich einzumischen face-wink .

Persönlich würde ich das Geld lieber anderweitig investieren. Ob VLAN oder Lan Trennung ist Geschmackssache, macht aber das Netz weder unsicherer noch sicherer. Zwei Serverschränke empfinde ich als äußerst fragwürdig. Bei vielen Schulen sind nicht einmal zwei DSL Anschlüsse vorhanden (soll bei uns seit Jahren geändert werden ...), daher kann auch nur "virtuell" durch zwei Router von "belwue" getrennt werden. Wo ist da die physikalische Trennung geblieben?

@aqui: Ich gebe aqui recht, dass eine saubere VLAN Trennung keinen Nachteil, sondern nur Vorteile bringt!

Wenn man ganz auf Nummer Sicher gehen möchte montiert man ein neues Schloss an den Serverschrank, markiert alle Verwaltungspatchfelder mit einer Farbe, verwendet entsprechend farbige LAN Kabel und markiert am Switch noch entsprechende Ports mit der Farbe und gibt nur autorisierten Personen Zugang. (Ich persönlich versuche alles nach Farben zu sortieren, beim Neukauf der LANKabel)

Bei mir an der Schule habe ich alles per VLAN getrennt. Auch der ITler der Stadt ist damit zufrieden. Man darf nur nicht bei der Konfiguration an Standorten die nicht mit der Verwaltung zusammenhängen, Ports der Verwaltung auf ein Switch ausgeben, sondern nur per LWL weitergeben face-smile .

Gruß
Stefan
aqui
aqui 23.09.2015 um 09:49:53 Uhr
Goto Top
Wenn man ganz auf Nummer Sicher gehen möchte....
Macht man zusätzlich noch eine Port Authentisierung mit dynamischer VLAN Zuweisung nach 802.1x und wer will noch in Kombination mit einer Mac Adress Abfrage. Mehr Sicherheit geht dann nicht.
Dr.Bit
Dr.Bit 23.09.2015 um 14:22:28 Uhr
Goto Top
Hi Folks,

nun, eine Netztrennung mit eigenen Serverschränken, von denen der Schlüssel nicht bei der Schule liegt, und somit nur der Netzbetreiber des, in diesem Falle, Landesnetzes den Schlüssel hat, ist definitiv sicherer als VLAN mit noch so vielen Filtern, weil nunmal nur der Netzbetreiber an den Switch und den Router herankommt. Da kann nichts falsch gesteckt werden. By the Way - die Polizei, Staatsanwaltschaft und Gerichte hängen auch alle im Landesnetz. Des Datenschutzes wegen.
Ich gebe Euch vollkommen recht, das dies nicht immer praktikabel ist, und zum Teil auch völlig unsinnig. Nichts destro trotz ist es nunmal, durch die Verträge mit der Telekom verboten, das die Verwaltung und Lehrkräfte über den kostenlosen!!! Anschluß ins Internet gehen. Dieser dient nur Unterrichtszwecken.

Is ja auch egal, ich wollte nur darauf aufmerksam machen, daß es nicht erlaubt ist.

Gruß
Stephan
IT-Stefan
IT-Stefan 25.09.2015 um 12:08:06 Uhr
Goto Top
Diesbezüglich habe ich heute eine gegenteilige Meldung vom

M I N I S T E R I U M F Ü R K U L T U S , J U G E N D U N D S P O R T B A D E N - W Ü R T T E M B E R G

Auszug aus dem Netzbrief:

"Das Kultusministerium empfiehlt aufgrund des technologischen Fortschritts und der
Anforderungen von Schulen die Einrichtung einer dreistufigen Netzinfrastruktur,
welche aus einer lokalen informationstechnischen Arbeitsumgebung für die Schulleitung,
einer Umgebung für die Lehrkräfte und einer informationstechnischen Unterrichtsumgebung
besteht. Zwischen diesen Netzen dürfen unter bestimmten Bedingungen
Übergänge eingerichtet sein. Die Einrichtung von sog. VLANs (virtuellen
Netzen) oder die Nutzung von Virtuellen Maschinen ist zulässig."

Damit sind VLANs auch von ganz oben erlaubt,
auch benötigt man keine mehreren Server,
sondern kann alles über virtuelle Server mit VLAN-Trennung
für Verwaltung und pädagogisches Netz lösen.

Gruß
Stefan
Dr.Bit
Dr.Bit 25.09.2015 um 17:15:46 Uhr
Goto Top
Hi,

OK nice to know. Würde mich interessieren, wie die anderen Bundesländer das regeln.
In SH ist es nach, Aussage des IQSH, als oberste Stelle der Landes IT, nicht erlaubt.

Gruß
Stephan