lipu
Goto Top

Subnetz Routing nur in eine Richtung?

Hallo zusammen,

ich habe mich bereirt erklärt, in unserer Gesamtschulechule ein komplettes Netzwerk einzurichten. Dabei muss ich beachten, dass Schüler und Lehrerdaten komplett getrennt sind (auf 2 verschiedenen Rechnern, da diese gesetzlich physikalisch getrennt sein müssen). Die Lehrer sollten jedoch auf die Schülerdaten zugreifen können, umgekehrt darf dies jedoch nicht möglich sein. Ich habe mir gedacht, das ich 2 verschiedene subnetzte erstelle, eins für die Lehrer und eins für die Schüler. Ist es möglich dass ich nur von einem ins andere Subnetzt routen kann und nicht umgekehrt? Damit wäre das Problem ja soweit gelöst. Ich möchte halt einen Domaincontroller nutzen, aber die Daten voneinander Trennen.
Ist mein Vorhaben realisierbar, und wenn wie?
Oder weiss jemandvielleicht eine bessere Lösung für mein Problem?

Ich danke euch im vorraus ;)

Grüsse - M. Schnabel

Content-ID: 43387

Url: https://administrator.de/contentid/43387

Ausgedruckt am: 22.11.2024 um 21:11 Uhr

erikro
erikro 30.10.2006 um 22:29:02 Uhr
Goto Top
Hallo zusammen,

komplett getrennt sind (auf 2 verschiedenen
Rechnern, da diese gesetzlich physikalisch
getrennt sein müssen). Die Lehrer

Diese gesetzliche Vorschrift erlaubt eigentlich auch keine Netzverbindung zwischen diesen Rechnern. Zumindest hier in Hamburg. Erkundige Dich nochmal, wie das bei Euch ist.

möglich dass ich nur von einem ins
andere Subnetzt routen kann und nicht
umgekehrt? Damit wäre das Problem ja
soweit gelöst. Ich möchte halt

Nö, damit wäre das Problem nicht gelöst. Du stellst Dir das so vor:

schueler.schule.local - router - lehrer.schule.local

Wenn nun eine Anfrage der Lehrer in das Schülernetz groutet wird, dann muss nolens volens auch die Antwort des Schülernetz in das Lehrernetz routen. Machst Du das nicht, dann kommt die Antwort nicht an und der Lehrer sieht trotzdem nicht, was der Schüler da so treibt. ;)

einen Domaincontroller nutzen, aber die Daten
voneinander Trennen.

Du brauchst zwei Domaincontroller. Einen für schuler.schule.local und einen für lehrer.schueler.local. Dazwischen setzt Du gerne auch einen Router und eine Firewall vor allem vor lehrer.schule.local. ;) Die Netzstruktur sähe dann so aus:

lehrer - firewall - router - firewall - schueler

An den Router kannst Du dann noch das Internet hängen, wenn Du möchtest. Ich würde immer eine Box bevorzugen, die das kann, als es selbst einzurichten. Das ist nicht ganz banal. Und wahrscheinlich ist die Box billiger, wenn man die Arbeitsstunden für das Einrichten gegenrechnet.

Das zauberwort heißt dann Vertrauensstellung. In beiden Domänen richtest du eine Vertrauensstellung ein. Für die Schüler eine eingehende und für die Lehrer eine ausgehende. Näheres findest Du hier:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/libra ...

Bitte auch die Links abklappern und lesen. ;)

Dann musst Du noch die Rechte geschickt setzen und schon geht das.

Ich habe da allerdings noch ein datenschutzrechtliches Bedenken. Die Schüler müssen auf jeden Fall darüber informiert werden, dass die Lehrer mitlesen können. Und sobald Du private Nutzung durch die Schüler erlaubst, müssen Sie, denke ich, auch einen nicht einsehbaren Bereich bekommen.

Liebe Grüße

Erik
Suschi
Suschi 30.10.2006 um 22:31:43 Uhr
Goto Top
Hi,

was für ein Betriebsystem soll den benutzt werden.
Was für Rechner sollen für die Speicherung benutzt werden?
Windows XP - Clients und Server 2003?
Dann ist es kein Problem schon mit NTFS Berechtigungen, Gruppen... die Dateien nur denen zugänglich zu machen, die dazu berechtigt sein sollen.
Das ist eigentlich der übliche und einfachste Weg.

Suschi
erikro
erikro 30.10.2006 um 22:36:03 Uhr
Goto Top
Mir fällt noch eine preiswerte Lösung für die Konstruktion ein:

Drei ganz normale DSL-Router mit guter Firewall:

lehrer - router1 - router2 - router3 - schueler

An router2 kommt das Internet. Diese Firewall wird dicht gemacht, so dass Angriffe von außen abgewehrt werden. Router1 und router3 werden über ihren jeweiligen WAN-Port an router2 angeschlossen. Die jeweiligen firewalls werden entsprechend den Bedürfnissen des lokalen Netzes konfiguriert.

Das sollte, wenn man nicht zu hohe Ansprüche stellt, reichen.

Liebe Grüße

Erik
brammer
brammer 30.10.2006 um 23:30:34 Uhr
Goto Top
Hallo,

Drei Router ?
Ein Router und ein Switchmit 2 VLAN tut dasselbe.
Ist ja sehrwahrscheinlich auch eine Kostenfrage...
Wieviele PCs sollen denn überhaupt angeschlossen werden?
datasearch
datasearch 31.10.2006 um 03:44:59 Uhr
Goto Top
lehrer..................(192.168.0.0/24)
|..................................|
|.............................[RTNIC1]
|.......................NAT/FW Router
|.............................[RTNIC2]
|..................................|
[snic1]............................|
SERVER [snic2] <--> schueler (192.168.1.10-99/24)
|
[DSL-Router] (192.168.1.3)

servernic 1: 192.168.0.2
servernic 2: 192.168.1.2
routernic1: 192.168.0.1
routernic2: 192.168.1.1 (firewall/nat)

die lehrer sehen den server im lokalem subnetz, die schüler ebenfalls was sämtliche windows-funktionen sicherstellt (AD, RPC usw.) Auf dem server darf KEIN routing aktiviert werden, sonst haben die netze wieder direkten zugriff. Auf NIC1 bindest du den DHCP-Bereich
192.168.0.10-99/24 mit standart-GW 192.168.0.1. Auf NIC2 legst du einen bereich mit standart-gw 192.168.1.3. Den router konfigurierst du mit standart-gw und dns-server 192.168.1.3. Auf dem server gibst du als forward-dns ebenfalls 192.168.1.3 an. Damit können die lehrer und die schüler DNS über den server auflösen, alle können ins internet aber nur die lehrer auf die schüler pc´s ..... hoffe das hilft.

folgende IP´s sollten dann vom DHCP zugewiesen werden:
lehrer-pc : 192.168.0.11/24 DNS: 192.168.0.2 GW: 192.168.0.1
schühler-pc: 192.168.1.11/24 DNS: 192.168.1.2 GW: 192.168.1.3
27119
27119 31.10.2006 um 06:33:34 Uhr
Goto Top
Das mit dem Routing ist so ne Sache - jede Route braucht auch eine Rückroute, darauf basiert ja TCP/IP. Das was du vorhast wäre allerdings mit einer Statefull Inspection Firewall zu machen - sie lässt alles raus, aber sie lässt nur das wieder zurückkommen, was zb. vom lehrernetz angefordert wurde. In Verbindung mit NAT könnte aus dem "Schüler" Netz dann auch NUR auf das "Lehrersubnetz" zugegriffen werden, wenn dazu explizit Port Forwarding konfiguriert wäre auf de Statefull Inspection Firewall.

Wer das Gesetz (wenn es ein solches gibt) verabschiedet hat, dass Schüler und Lehrerdaten auf versch. Rechnern liegen müssen - hat wohl schon irgendwo seinen Sinn. Wenn man gewisse Dinge nicht befolgt ist es jedoch unerheblich, auch übers Netz kann man auf einen ungesicherten Rechne sehr einfach zugreifen. Räumliche Trennung (keiner sollte lokal an den Lehrer Rechner drankommen, eine Subnetztrennung und Firewallregeln zwischen den Subnetzen sind wohl das Minimum was man machen sollte, wenn man es langfristig richtig machen will.

Wenn du einen Domaincontroller einsetzen willst, dann ist das EIN Rechner, auf dem sowohl Lehrer als auch Schülerdaten liegen würden. Der Vorteil des DC ist jedoch, dass du genaue Berechtigungen zentral vewalten kannst, wer auf welche Daten bzw. Ordner zugreifen darf. Das geht über User- und Gruppenkonten, denen dann Berechtigungen zugeteilt werden können. Genau das ist ja der SINN eines Domänencontrollers. Zentral gesteuerte Berechtigungen. Wenn schon Firmen auf dieses Konzept vertrauen, u. beispielsweise Personaldaten und ´Firmendokumente auf einem Domaincontroller lagern - wiso soll das für eine hamburger Schule zu unsicher sein?

Letztendlich kann man jedoch - egal wie man es macht - einiges falsch machen, hängt freilich auch von der Grösse der Schule ab, wie komplex das wird. Und es wird wohl über kurz oder lang immer findige Schüler geben, die diese Fehler finden und ausnutzen werden.
Das Gesamtkonzept sollte daher duchaus stimmig und durchdacht sein. Nimm am besten noch einen IT-Profi dazu, vier Augen sehen mehr als zwei. Du scheinst das so nebenbei zu machen, da passieren Fehler noch schneller. Beim erlaubten Internetzugriff der Schüler solltet ihr auf jeden Fall einen Proxy einsetzen, mit URL Filterung, SPAM Schutz, Aktive Inhalte verbieten. Filesharing ist nämlich wohl das erste woran ein Schüler denkt, wenn ihm die Schule einen Internetzugang gewährt. face-wink
Fungo
Fungo 31.10.2006 um 08:07:42 Uhr
Goto Top
Halloooo,
mich würde als erstes interessieren wieviel PC's es sind die du vernetzen musst. Wenn du einen Domänencontroller aufsetzt brauchst du die ganze Routinggeschichten nicht. Richte deine Lehrer als "Domänen Admins" ein und jeden anderen Benutzer als "Domänen Benutzer. Damit hast du die Zugriffsrechte schon gelöst. Lehrer dürfen alles, Schüler wie immer nix face-smile Dann kannst du auch Freigaben auf dem Server erstellen in dem die Schüler freien Zugriff haben. Für die Lehrer dementsprechend das gleiche. Vorsicht- Berechtigungen richtig setzen!!! Das ganze über Routing zu machen wäre bei einem so kleinen Netz überflüssig und du bräuchtest mehr Hardware. Um die Schüler PC's zu beobachten und gegebenfalls zu steuern empfehle ich dir das Prog "Net support Manager". Das ist ein Remotetool welches auch eine Lehrerfunktion beinhaltet. Damit du gleichzeitig mehrere Schüler beobachten kannst. Es gibt auch die Option "Benutzerbestätigung", damit wären die Rechtlichen Dinge auch erledigt. Denke einfach mal drüber nach. Hoffe ich konnte ein wenig helfen.


MfG Fungo
lipu
lipu 31.10.2006 um 09:05:14 Uhr
Goto Top
Hallo zusammen,
erstmal Dank an alle für die vielen schnellen Vorschläge und Erklärungen ;)
Ich werde mit der Schulleitung die Antworten einmal durchgehen, es ist natürlich auch alles eine Kostenfrage bei einer Schule. Es werden insgesamt ca. 180 Clients (Xp und 2000) an dem Netzwerk angeschlossen sein. Als Server kommt ein Windows 2003 Server zum Einsatz.
Vielleicht gibt sich die Schulleitung ja damit zufrieden wenn die Daten der Schüler und Lehrer auf 2 verschiedenen Rechner hinterlegt werden und die Zugriffe durch vernünftige Rechtevergabe geregelt wird. Wenn ich genaueres weiss wie ich weiter vorgehen kann (darf) werde ich mich nochmal melden face-smile

Gruss aus Köln - M.Schnabel

edit: Wir haben auch 12 MAC's , die in der Dömäne integriert werden sollen, ist das ohne weitere drittanbietersoftware möglich? (Halt wichtig wäre die Anmelde-Autentifizierung über den windows -Server und das automatische Verbinden des Home-Ordners des angemeldeten Benutzers).
Danke nochmal im vorraus face-smile
erikro
erikro 31.10.2006 um 10:01:16 Uhr
Goto Top
Hallo zusammen,

Drei Router ?
Ein Router und ein Switchmit 2 VLAN tut
dasselbe.
Ist ja sehrwahrscheinlich auch eine
Kostenfrage...

Eben. Das war ein preiswerter Vorschlag. Wenn ich ganz viel Geld habe, dann realisiere ich das sogar in einer Box. Ein VLAN-fähiger Switch ist aber afaik teurer als zwei DSL-Router.

Liebe Grüße

Erik
datasearch
datasearch 04.11.2006 um 13:11:30 Uhr
Goto Top
OK, doch ein paar mehr clients face-wink

Ich würd das ganze folgendermaßen machen (bei der anzahl clients)

grundsicherung:
1 DC für stammdomäne zb. schule.lan im subnetz 192.168.0.1/24
1 DC subdomäne zb. schueler.schule.lan im subnetz 192.168.1.0/24

per gpo lokalen und netzzugriff auf lehrer-pc´s verweigern
per gpo zugriff auf freigaben des lehrer-DC´s verweigern
per firewall sämtliche verbindungsversuche von 192.168.1.0/24 nach 192.168.0.0/24 verweigern.

Du benötigst eine Firewall um die regeln zu konfigurieren, einen DC für das lehrer-netz und einen DC für das schüler-netz.

dc1 192.168.0.5/24 GW 192.168.0.1/24
router/firewall interface 1 192.168.0.1/24
router/firewall interface 2 192.168.1.1/24
dc2 192.168.1.5/24 GW 192.168.1.1/24

An allen DC´s routing deaktivieren. An der Firewall direkten zugriff von 192.168.0.5 nach 192.168.1.5 und umgekehrt erlauben um AD replikation usw. zu ermöglichen. An DC1 DHCP-Range 192.168.1.50-192.168.1.150/24 mit GW 192.168.0.1, DNS/WINS/NTP 192.168.1.5 einrichten. Am DC2 DHCP-Range 192.168.1.50-192.168.1.150/24 mit GW 192.168.1.1, DNS/WINS/NTP 192.168.1.5 einrichten. An der Firewall als default-GW den internet-router/Proxy angeben. An der Firewall regeln definieren die den verbindungsaufbau von 192.168.1.50-150/24 verbieten. Aktive, von der gegenseite aufgebaute verbindungen akzeptieren. Per Gruppenrichtlinie in beiden Domänen einen grundschutz auf Dateisysteme, netzwerkanmeldung usw. konfigurieren. Sämtliche zugriffe auf IP-Konfigurationen auf den windows-clients verbieten. Zusätzlich solltest du am Switch die Schüler-PC´s fest auf die ports binden, entweder primitiv mit MAC-Filtern und inaktive ports deaktivieren oder per LAN-Auth (benötigt hochwertigen switch) um fremd-PC´s rauszuschmeißen.
Das ist aber nur das was unbedingt erforderlich ist um das netz einigerßen sicher zu halten. Wende dich UNBEDINGT an einen Netzwerk-spezialisten was die planung der gesammtstruktur angeht. Das geht ja dann auch weiter mit WSUS-Servern, Internet security/content filtering und und und ....

Die MAC-Rechner würde ich mit in das schüler-netz legen, auf dem schüler-server die passenden protokolle installieren um Authentifizierung und Netzwerkzugriff zu ermöglichen. ICh kenne mich mit mac´s zwar nicht aus, aber die leute fordern meistens appletalk, NIS, NFS oder sonstwas von den windows-servern, was auch problemlos funktioniert. Was man da aber auf dem mac einrichten muss das die anmeldung klappt weiß ich nicht. Bei linux-machinen verwende ich personönlich per CIFS oder NFS gemountete windows-Freigaben, einige scripte auf den clients um die home-ordner autom. zu verbindedn und winbind oder NIS zur authentifizierung der benutzer. Bis auf einige macken klappt das ganz gut.

BITTE kontaktiere aber trotzdem jemanden aus deiner gegend der sich das ganze mal anschaut und die netzplanung durchführt, das klingt zwar jetzt alles einfach, aber glaub mir, das ist wesentlich komplexer.
datasearch
datasearch 04.11.2006 um 13:11:45 Uhr
Goto Top
OK, doch ein paar mehr clients face-wink

Ich würd das ganze folgendermaßen machen (bei der anzahl clients)

grundsicherung:
1 DC für stammdomäne zb. schule.lan im subnetz 192.168.0.1/24
1 DC subdomäne zb. schueler.schule.lan im subnetz 192.168.1.0/24

per gpo lokalen und netzzugriff auf lehrer-pc´s verweigern
per gpo zugriff auf freigaben des lehrer-DC´s verweigern
per firewall sämtliche verbindungsversuche von 192.168.1.0/24 nach 192.168.0.0/24 verweigern.

Du benötigst eine Firewall um die regeln zu konfigurieren, einen DC für das lehrer-netz und einen DC für das schüler-netz.

dc1 192.168.0.5/24 GW 192.168.0.1/24
router/firewall interface 1 192.168.0.1/24
router/firewall interface 2 192.168.1.1/24
dc2 192.168.1.5/24 GW 192.168.1.1/24

An allen DC´s routing deaktivieren. An der Firewall direkten zugriff von 192.168.0.5 nach 192.168.1.5 und umgekehrt erlauben um AD replikation usw. zu ermöglichen. An DC1 DHCP-Range 192.168.1.50-192.168.1.150/24 mit GW 192.168.0.1, DNS/WINS/NTP 192.168.1.5 einrichten. Am DC2 DHCP-Range 192.168.1.50-192.168.1.150/24 mit GW 192.168.1.1, DNS/WINS/NTP 192.168.1.5 einrichten. An der Firewall als default-GW den internet-router/Proxy angeben. An der Firewall regeln definieren die den verbindungsaufbau von 192.168.1.50-150/24 verbieten. Aktive, von der gegenseite aufgebaute verbindungen akzeptieren. Per Gruppenrichtlinie in beiden Domänen einen grundschutz auf Dateisysteme, netzwerkanmeldung usw. konfigurieren. Sämtliche zugriffe auf IP-Konfigurationen auf den windows-clients verbieten. Zusätzlich solltest du am Switch die Schüler-PC´s fest auf die ports binden, entweder primitiv mit MAC-Filtern und inaktive ports deaktivieren oder per LAN-Auth (benötigt hochwertigen switch) um fremd-PC´s rauszuschmeißen.
Das ist aber nur das was unbedingt erforderlich ist um das netz einigerßen sicher zu halten. Wende dich UNBEDINGT an einen Netzwerk-spezialisten was die planung der gesammtstruktur angeht. Das geht ja dann auch weiter mit WSUS-Servern, Internet security/content filtering und und und ....

Die MAC-Rechner würde ich mit in das schüler-netz legen, auf dem schüler-server die passenden protokolle installieren um Authentifizierung und Netzwerkzugriff zu ermöglichen. ICh kenne mich mit mac´s zwar nicht aus, aber die leute fordern meistens appletalk, NIS, NFS oder sonstwas von den windows-servern, was auch problemlos funktioniert. Was man da aber auf dem mac einrichten muss das die anmeldung klappt weiß ich nicht. Bei linux-machinen verwende ich personönlich per CIFS oder NFS gemountete windows-Freigaben, einige scripte auf den clients um die home-ordner autom. zu verbindedn und winbind oder NIS zur authentifizierung der benutzer. Bis auf einige macken klappt das ganz gut.

BITTE kontaktiere aber trotzdem jemanden aus deiner gegend der sich das ganze mal anschaut und die netzplanung durchführt, das klingt zwar jetzt alles einfach, aber glaub mir, das ist wesentlich komplexer.
datasearch
datasearch 04.11.2006 um 13:13:01 Uhr
Goto Top
könnte bitte jemand das doppel-posting entfernen und des session-timeout ETWAS erhöhen? grrrrrrrrrr.