WLAN unabhängig vom Proxy

Hallo Chonta,

im Schulnetz (Netz Y, wie Du es nennst) haben alle Rechner feste IPs. Im "Routernetz" (Netz Z) ebenfalls. Die Router stellen dann ein WLAN (Netz X) zur Verfügung, in dem sich Jeder, der Kenntnis über das Passwort hat, problemlos anmelden kann. Hier vergibt DHCP die IPs. Wir haben aber nur Router, in denen kein Proxy eingestellt werden kann. So kann der Router nicht Teil von Netz Y sein. Daher verwenden wir Netz Z, das nicht über den Proxy und über den Filter geht.

Wenn es ohne echte Verbindung nicht geht, dann kann ich gegenwärtig nichts machen, da wir kein Geld zur Verfügung haben und Hardware ohnehin erst mit einem gewissen Vorlauf beantragt werden muss. Ich wollte halt den Kollegen im Haus B auch einen Internet-Zugang für ihre private Technik zur Verfügung stellen. Der Rechner, auf dem der Proxy-Server läuft, hat allerdings 2 Netzwerkkarten und gehört zu beiden Netzen. Sollte es da nicht eine Möglichkeit geben? Ich möchte jedenfalls nicht auf den Privatgeräten meiner Kollegen einen Proxy einstellen, das haben sie daheim ja auch nicht. Daher die Variante mit dem Netz X, auf dem alles per DHCP zugewiesen wird. Das funktioniert gut, so wie es soll.

Warum Privatgeräte in der Schule? Mobile Beamer habe ich für jedes Haus zwei. Dagegen steht nur ein (funktionierendes) Notebook für beide Häuser zusammen zur Verfügung. Also bringen die Lehrer ihre eigenen Notebooks/Tablets mit. Betriebe, die zwei oder drei Jahre alte Technik verschenken, gibt es leider auch nicht mehr. Alle leasen nur noch. Mit meiner Nachfrage beim Schulamt nach ein oder zwei Notebooks wurde ich mit "vielleicht im November" vertröstet. Vorher stehen für unsere Schule ein DIN-A-3-Drucker und ein verschließbarer Aktenschrank auf der Dringlichkeitsliste.

Gruß, GG.

Hallo Aqui,

wie gesagt, ich bin kein Profi. Und ich muss mit der vorhandenen Hardware arbeiten. Bestenfalls einen Router für 30 Euro oder so könnte ich noch im Budget für 2015 unterbringen. Im Haus B haben wir zwei HP Procurve 2324, die WLAN-Bridge läuft über Lancom L-54ag (noch kein WPA 2) und im Haus A haben wir D-Link DES 1026G. Der Lancom im Haus A hängt aber noch an einem D-Link DES 1005D, da sich zwar in den letzten Jahren die Zahl der Rechner erhöht hat, die Netzwerktechnik aber nicht mit gewachsen ist.

Mal sehen, ob wir da mit VLAN eine Chance haben. Ich werde mir Deinen Link mal zu Gemüte führen. Danke.

Gruß, GG.

Hallo Aqui,

mal sehen, ob ich da durchsteige.

Ich hatte ja zunächst angenommen, dass es auch so gehen könnte. Immerhin hat der Proxy zwei Netzwerkkarten. Mit der einen hängt er im 192.168.222er Netz, mit der anderen im 192.168.200er. Sollte der dann nicht als Router fungieren können? Außerdem könnte ich die Switche für die beiden Netze einfach per Kabel verbinden. So könnten ja eigentlich Anfragen, die an das 200er Netz gehen zunächst über das 222er Netz transportiert werden und kämen letztlich im 200er Netz an, dachte ich mir.

Vielleicht könnte/müsste man da mit der Netzwerkmaske etwas machen? Oder bin ich da auf dem falschen Dampfer? Bisher steht überall 255.255.255.0. Könnte man da auch 255.255.0.0 verwenden? Vielleicht sollte ich auch den WAN-Anschluss des WLAN-Routers nutzen und dem eine 222er IP geben und nicht über den LAN-Anschluss gehen? Als Standard Gateway könnte ich dann vielleicht den 200er versuchen. Mal sehen.

Danke und Gruß, GG.

Hallo Aqui,

ist tödlich nicht vielleicht etwas übertrieben? Keiner der mobilen Nutzer weiß, wie das Netz funktioniert. Sie sehen nur die IP-Nummer, die ihnen der WLAN-Router zugewiesen hat. Und diese gehört weder zum 222er noch zum 200er Netz. In diesen 99er Netzen gilt zudem eine 24-Bit-Netzmaske, so dass man nicht so einfach auf die anderen Netze kommt. Das 200er Netz ist nur für die WLAN-Router eingerichtet worden. (Im kabelgebundenen Netz ist DHCP abgeschaltet.)

Ich bin damals nur deshalb nicht über das 222er Netz gegangen, weil man im Router keinen Proxy einstellen kann. Dann müsste ich an jedem Privatrechner den Proxy einstellen und das wollte ich nicht. Der Zugriff soll unkompliziert mit jedem mobilen Endgerät funktionieren und allein die Kenntnis des (wechselnden) Passowrtes ausreichen.

Vielleicht könnte man mit Kenntnis des Schulnetz-IP-Bereiches auf diese Schulnetz-Rechner zugreifen, das können die Lehrer aber sowieso. Auf den Clients des Schulnetzes gibt es keine Freigaben. Maximal auf den Server könnte man dann. Hier sollten aber die Rechte so geregelt sein, dass man da auch nur mit einer gültigen Anmeldung irgendwas machen kann, da wir uns ja in einer Domäne befinden. Im schlimmsten Fall sollte sich also ein Nutzer unter seinem Account anmelden und damit auf sein eigenes Nutzerverzeichnis zugreifen können. Oder? Da für die Lehrer der Zugriff auf das Schulnetz über einen stationären Rechner aber ohnehin immer und viel einfacher möglich ist, ...

In den Netzen sind keine wirklichen Geheimnisse gespeichert. Alle Schüler und Lehrer haben ein passwortgeschütztes Home-Laufwerk, es gibt Passwort-Regeln, zusätzlich existieren Jahrgangsverzeichnisse, in denen die Lehrer Dateien für die Schüler zur Verfügung stellen können. Diese sind jeweils für eine Gruppe von Schülern lesend und die Lehrer auch schreibend zugänglich. Das Verwaltungsnetz (in dem auch Zeugnisdaten gespeichert werden) ist komplett vom Schulnetz getrennt. Da gibt es keine physikalische Verbindung. Naja, fast keine: die Switchracks stehen in verschiedenen Ecken desselben Raumes. ;)

Könnte es aber so funktionieren, wenn ich eine physikalische Verbindung zwischen beiden Switches stecke und dann im WAN-Bereich des Routers eine 200er Nummer vergebe? Würde dies durch das 222er Netz geroutet werden (ich denke, nicht) oder müsste ich eine 16-Bit-Netzmaske wählen, so dass es funktioniert (ich hoffe, ja)?

Es geht mir bei der Netztrennung im Prinzip vor allem darum, dass virenverseuchte Privatrechner mein Schulnetz nicht infizieren (obwohl wir aktuelle professionelle Antivirensoftware verwenden). Wenn Jemand den Server angreifen möchte, so könnte er das von einem stationären Rechner aus demselben IP-Bereich viel einfacher. Außerdem gibt es da eigentlich nichts Wertvolles, außer vielleicht ein paar Klassenarbeitsentwürfen von Lehrern, die aber jeder Lehrer selbst verwaltet. Man müsste also jedes Passwort einzeln knacken oder das Administratorpasswort.

Gruß, GG.

Das Schulhaus ist zwar im Umkreis von 100 m das einzige Haus, aber wenn man mit gewissen Tools von außen doch die Struktur herausbekommen kann, dann ist mir die Sache doch zu heiß. Bliebe nur eine zweite Verbindung zwischen den Häusern. Wie ich gehört habe, soll in den Sommerferien eine Glasfaserleitung zwischen beiden Häusern gelegt werden. Wenn wir die für das 222er Netz verwenden, dann könnte ich die Funkbrücke ja für das 200er Netz weiter nutzen. Dann bleiben beide Netze getrennt und wir haben trotzdem WLAN im B-Haus. Die paar Wochen werden die Kollegen auch noch warten können.

Ich danke Dir für die ausführliche Beratung.

Gruß, GG.

Das mit dem VLAN habe ich mir bisher nur kurz ansehen können. Wenn man dazu noch spezielle Switches benötigt, geht es finanziell nicht. Außerdem scheint mir der Einrichtungsaufwand höher zu sein. Ich hatte bisher noch Null-Komma-Nix mit VLANs zu tun. Ich bin wie gesagt kein Profi sondern Lehrer und bekomme für das Netzwerk eine Stunde pro Woche bezahlt. Die Zeit geht normalerweise schon für Kleinreparaturen und Updates drauf.

Ich werde also die Leute vom MPZ um Unterstützung bitten. Die sind Profis und haben zudem die Glasfaser verlegt. Ich habe vorhin schon angefragt. Antwort: "Was fehlt, ist die "Anschluss-Verbindung" vom Keller im Haus 2 in die darüber liegenden Etagen. Dies soll aber "in den nächsten Tagen" erfolgen. Damit ließe sich auch ein separates Internet-Netz realisieren."

Mal sehen, wie man das umsetzt.

Gruß, GG.

30 Euro sind noch drin, hoffe ich. Du kennst aber unsere Situation nicht. Ich muss wirklich um jeden Euro betteln.

Wir bekommen die PCs mit Windows von der Stadt. Das ist die einzige MS-Bezahl-Software, die wir verwenden. Einfluss darauf kann ich so gut wie keinen nehmen. Windows ist aber ohnehin das von Schülern und Lehrern am häufigsten verwendete PC-Betriebssystem. Bzgl. Hardware gibt es spezielle Ausschreibungsverfahren nach bestimmten EU-Normen. Das ist nicht wie in der freien Wirtschaft. Wir dürfen unser Zubehör nur bei einer bestimmten Firma kaufen, die zuvor ein Ausschreibungsverfahren gewonnen hat. Was die nicht auf der Liste haben, gibt es nicht. Ansonsten verwenden wir freie Software: LibreOffice, Firefox, Gimp, Inkscape, GeoGebra, VLC-MP, Audacity, Lazarus, Stellarium, ...

Die Links zu den Tutorials hatte ich mir schon gespeichert. Wie gesagt, ich habe eine Wochenstunde für die Betreuung eines Netzwerks mit 90 Computern zur Verfügung. Größere Arbeiten sind immer etwas für die Ferien. Da kann ich in jedes Zimmer und auch zwischendurch mal den Server neu starten oder Teilnetze abklemmen.

Hallo,

der Aufbau ist nicht konfus. Wir haben in beiden Häusern jeweils ein Sternnetz. 2007 habe ich beide Netze durch eine Funkbrücke miteinander verbunden. 2012 bis 2014 habe ich (je nach Finanzsituation) einige Leitungen im Haus A heraus genommen und zu einem weiteren Stern mit anderem IP-Bereich verknüpft, um ein vom Schulnetz unabhängiges WLAN bereit zu stellen. Für WLAN-Nutzung im Rahmen des Schulnetzes gibt es AccessPoints, die je nach Bedarf eingeschaltet werden. Die Funkbrücke wird in den nächsten Tagen durch eine Glasfaserverbindung abgelöst.

Ich habe für morgen ein Telefonat mit einem Netzwerker vom MPZ (Medienpädagogisches Zentrum) vereinbart, mit dem ich dann die WLAN-Problematik im Haus B bespreche. Die Stadt beschäftigt dort für 160 Schulen genau drei professionelle Techniker. Jede Schule hat neben dem Unterrichtsnetz noch ein Verwaltungsnetz. Insgesamt gilt es also 300 Netze mit mehr als 5.000 Computern zu betreuen.

Gruß, GG.

Hallo,

nun hat das Gespräch stattgefunden. Es gibt zwischen beiden Häusern ein Kabel mit 8 Fasern von denen 6 für 3 Netze verwendet werden: Unterrichtsnetz, Verwaltungsnetz und WLAN-Netz. Es müssen nur noch die Medienkonverter installiert und Leitungen zu den jeweiligen Switches gezogen werden und dies soll in den nächsten Tagen geschehen. In diesem Jahr bekomme ich kein Geld für die Ubiquity-UniFi-AccessPoints (die hat mir übrigens auch unser Netzwerker empfohlen), da bringt man uns erst mal 3 "normale" AccessPoints aus der Medienstelle mit (kostet die Schule also nix). Für das nächste Jahr habe ich Bedarf für zunächst 1 Dreierset angemeldet, was der Chef auch genehmigt hat. Wenn die Firma, die die Kabel verlegt wirklich in den nächsten Tagen kommt, schaffen wir das noch vor den Ferien.

Besten Dank für die Beratung.

Gruß, GG.

Zum Verlegen des Glasfaserkabels wurde der Hof aufgestemmt (Asphalt). Das hat wohl mehr als Tausend Euro gekostet. Da habe ich mich ein bisschen (sinnlos) aufgeregt. Das Kabel war da nicht der höchste Kostenfaktor.

Das Angebot stammte sicherlich von der Firma (Lecos), die den letzten Ausschreibungswettbewerb gewonnen hat, und die sind natürlich Preis-bewusst. ;)

Edit:

Ich habe allerdings eben im Netz Medienkonverter/GBICs gefunden, die für 20 Euro zu haben sind. Das wäre dann so unser Preissegment. Ein Verlegekabel mit 8 Adern wird für 1,60 € pro Meter angeboten. Bei uns sind es vielleicht 30 Meter, also für das Kabel 48 Euro. Zweiadriges kostet gerade 12 Euro weniger. So richtig verschwenderisch finde ich das jetzt nicht. Für die Konfiguration des VLANs hätte die Firma sicherlich eine Arbeitsstunde berechnet und die liegt so um die 100 Euro. Die zusätzlichen 4 GBICs und die 12 Euro für das dickere Kabel kommen zusammen auf 92 Euro. Und so hat man Reserven, falls eine Faser fehlerhaft ist. Nochmal aufbuddeln wäre erheblich teurer, auch wenn man Garantie auf das Kabel hätte.

Ich hätte das Kabel allerdings durch die Röhre gezogen, die an einem Spanndraht zwischen den beiden Häusern seit 1992 besteht. Vielleicht gibt es dafür aber neue Vorschriften (Höchstbelastung o.ä.). Die Erdarbeiten sind das Teure bei der Aktion. Vielleicht hat man dafür aber städtisches Personal genommen. Die bekommen ihren Lohn ja ohnehin, ob sie nun ein Stück Hof aufstemmen und wieder verschließen oder Schlaglöcher auf der Straße beseitigen. Am Ende hat man die Aktion vielleicht doch vorher gründlicher durchdacht, als wir annehmen.

Ich werde mal beim MPZ-Netzwerker nachfragen, wie das gelaufen ist. Mal sehen, ob er was weiß. Ich bin jedenfalls nicht informiert oder gefragt worden und habe durch Zufall erfahren, dass man bereits vor Monaten zwischen den beiden Häusern ein Glasfaserkabel verlegt hat.

GG

Ich habe die verlegte Technik bisher noch nicht gesehen, da sie sich in für mich unzugänglichen Räumen befindet. Daher wissen wir beide nicht, was da eingesetzt werden muss/soll.

Wenn wir nicht die richtigen Switche haben (immerhin teilweise schon 13 Jahre alt), ginge es ja sowieso nicht (ohne zusätzliche Anschaffungen). Zudem gibt es eine Vorschrift, die vorsieht, dass Unterrichtsnetz und Verwaltungsnetz (mit Personen bezogenen Daten von Schülern und Lehrern) physikalisch von einander getrennt sein müssen.

Dann ist vielleicht Folgendes erforderlich?

https://www.reichelt.de/Medienkonverter-GBICs/TPLINK-MC200CM/3/index.htm ...

Gruß, GG.

Naja, VLANs sind vielleicht in der Rechtsprechung nicht "physikalisch" getrennt.

Wenn ich einen Umbau des Netzwerkes vor hätte, würde ich mich vermutlich erst einmal hier beraten lassen. Ich bin aber nur für die Technik zuständig, die "nach" dem Server kommt. Allerdings pflege ich den Server meist gleich mit.

Gruß, GG.

Weltfremdheit im Zusammenhang mit Informationstechnologie ist in der Rechtssprechung aber verbreitet. ;)