Re: [lmn] Zündende Idee für Bibliotheks-Ports?

2016-12-22 Diskussionsfäden Michael Hagedorn 
>... wo ist
> denn diese Einstellung zu finden?
Hab's glaube ich:
/etc/linuxmuster-chilli.conf

Dann klingt das ganze ja tatsächlich umsetzbar...




___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Zündende Idee für Bibliotheks-Ports?

2016-12-22 Diskussionsfäden Michael Hagedorn 
Hi.
Jetzt, wo das Problem klar ist, kann man den Gedanken ja mal weiter
spinenn

> Du mußt nur die Maschiene klonen, eine andere MAC vergeben, die IP
> anpassen und den Servernamen (in der /etc/hosts auf dem coova).
> Dann noch die Regeln im IPFire erweitern, falls sie, wie bei mir, auf
> eine einzelne IP in "coova-ipfire netz" gemünzt waren.

... noch eine Rückfrage dazu: Das Projekt p_wifi wird doch auf dem
Server gemanged (auf andere Weise als die anderen Projekte?). Wenn ich
ein zweites Projekt "p_bibliothek" einrichten würde, in dem dann alle
Klassen eingetragen sind, müsste der 2. coova dann aber auch wissen,
dass es jetzt um *dieses* Projekt bzgl der Freischaltung geht ... wo ist
denn diese Einstellung zu finden?

Vielleicht ist die Idee auch zu kompliziert gedacht ... bzw: Warum hat
sonst niemand das Problem? Oder ist bei euch das WLAN für jeden
jederzeit erreichbar?

Michael

___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Zündende Idee für Bibliotheks-Ports?

2016-12-22 Diskussionsfäden Michael Hagedorn 
Hi Holger,
> .. jetzt wird es mir klarer, wo das Problem liegt.
> Du willst garnicht, dass jeder sofort ohne auth rein kommt, sondern nur,
> dass jeder per auth rein kommt (anders als im WLAN, wo Schüler erstmal
> gesperrt sind).
Ganz genau :) Schön, dass das jetzt geklärt ist :) :)

> Das würde ich tatsächlich der Einfachheit halber, durch klonen den Coova
> erreichen.
> Dann hängen zwei coova am IPFire:
Ok -- wenn das tatsächlich auf diesem Weg klappt, klingt's ja doch noch
machbar. Ich hatte zwischendurch schon gedacht, dass ich die Idee wieder
aufgebe.

Aber versucht hat das noch niemand, wie sich's anhört?

Schönen Gruß,
Michael

___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Zündende Idee für Bibliotheks-Ports?

2016-12-22 Diskussionsfäden Holger Baumhof 
Hallo Michael,

> Das ist aber nicht die Lösung des Problems, denn wenn ich z.B. ein
> Projekt "Bib" einrichte und da div. Schüler dauerhaft aufnehme, haben
> diese Schüler *überall* in der Schule plötzlich dauerhaft WLAN, was sie
> ja gerade nicht haben sollen. Der Bereich "Bibliothek" soll sozusagen
> die Ausnahme der Regel darstellen -- hier soll es möglich sein, seinen
> Laptop einzustecken und direkt online sein zu können. Ohne weiteren
> Lehrer-Eingriff via SchuKo ... im Rest der Schule sollen die Laptops bei
> WLAN-Zugriff natürlich auch weiterhin nicht *immer* ins Internet können.

.. jetzt wird es mir klarer, wo das Problem liegt.
Du willst garnicht, dass jeder sofort ohne auth rein kommt, sondern nur,
dass jeder per auth rein kommt (anders als im WLAN, wo Schüler erstmal
gesperrt sind).

Das würde ich tatsächlich der Einfachheit halber, durch klonen den Coova
erreichen.
Dann hängen zwei coova am IPFire:
coova1
coova2
und der erste versorgt das WLAN und der zweite diese Dosen.
UNd da sind dann alle Klassen als erlaubt eingetragen und nciht nur
teachers und p_wifi ..

Du mußt nur die Maschiene klonen, eine andere MAC vergeben, die IP
anpassen und den Servernamen (in der /etc/hosts auf dem coova).
Dann noch die Regeln im IPFire erweitern, falls sie, wie bei mir, auf
eine einzelne IP in "coova-ipfire netz" gemünzt waren.

VIele Grüße

Holger

-- 
Mein öffentlicher PGP-key ist hier hinterlegt: pool.sks-keyservers.net
___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Zündende Idee für Bibliotheks-Ports?

2016-12-22 Diskussionsfäden Holger Baumhof 
Hallo Michael,

.. ich bin verwirrt: ich kapier es wohl nicht, was du willst.

Da sind frei zugängliche Buchsen in der Bibliothek.
Und da soll nun ein Nutzer sein eigenes Gerät anstecken können und
surfen können: also -> Coova.
Alles super?
Wo ist das Problem?

Willst du etwa, dass die ohne authentifizierung surfen können?
Aber dann kannst du gar nicht sagen, wer es war: dann wirst du zum
Interentserviceprovider und mußt Voratsdatenspeicherung betreiben: ist
es das was du willst?

Willst du tatsächlich einen annonym verwendbaren ZUgang zum Internet
bereitstellen?
Ich habe da ja garnichts dagegen: das mache ich bei mir ZUhause auch so:
ganz ohne verschlüsselung, für jeden, der auf 20 meter an mein Haus ran
kommt, aber in der Schule?
 Über das Schulnetzt?
Besprich das mal lieber mit dem Schulleiter.

Mit meinem Schulleiter habe ich auch besprochen, wie es dan aussieht, ob
er es OK fände, wenn ich bei unserer Bibliothek und Mensa Freifunk
Router aufstellen würde: da sind auch immer mal Flüchtlinge, und die
können Internetzugriff ganz gut gebrauchen.
Der Schulleitung war das ein zu heises Eisen.

Auch die Gemeinde wollte nicht, dass ich sowas am Flüchtlingsheim
installiere...

Aber vielleicht machen die das bei dir?
Einen Freifunkrouter hin und die Ports mit seinen Ports verbinden:
fertig: schon kommt man ins Internet, ganz frei und so annonym, wie man
seinen Browser halten kann (das schaffen die wenigsten).
Freifunk bedeutet nämlich nicht zwingend WLAN: das geht auch per Kabel.
Den Freifunkrouter kannst du dann in Rot packen: was solls.

VIele Grüße

Holger
-- 
Mein öffentlicher PGP-key ist hier hinterlegt: pool.sks-keyservers.net
___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Zündende Idee für Bibliotheks-Ports?

2016-12-21 Diskussionsfäden Björn Sieper 

Hallo Michael,

wie wäre es mit folgender Idee. Du erstellst einen zweiten Coova, das 
hat den Vorteil, dass du hier auch anderer Regeln festlegen kannst. Im 
Gegenzug stellst du hier nicht die Gruppe p_wifi als berechtigt ein, 
sondern einfach alle Klassen. Dann öffnet sich beim ersten surfen auch 
ein captcha und alle können sich anmelden.


In Zeiten virtualisierter Server ist der Aufwand doch letztlich 
überschaubar.


Grüße
Björn

___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Zündende Idee für Bibliotheks-Ports?

2016-12-21 Diskussionsfäden Michael Hagedorn 

> Genau das kann der Administrator in der Schulkonsole bestimmten Klassen
> und Projekten dauerhaft erlauben.
Das ist aber nicht die Lösung des Problems, denn wenn ich z.B. ein
Projekt "Bib" einrichte und da div. Schüler dauerhaft aufnehme, haben
diese Schüler *überall* in der Schule plötzlich dauerhaft WLAN, was sie
ja gerade nicht haben sollen. Der Bereich "Bibliothek" soll sozusagen
die Ausnahme der Regel darstellen -- hier soll es möglich sein, seinen
Laptop einzustecken und direkt online sein zu können. Ohne weiteren
Lehrer-Eingriff via SchuKo ... im Rest der Schule sollen die Laptops bei
WLAN-Zugriff natürlich auch weiterhin nicht *immer* ins Internet können.

>>> Ein Client an einer Dose in BLAU bekommt immer eine IP-Adresse, mit der
>>> er im Gegensatz zu in GRUEN auch raus kann. Deshalb
>>> Proxyauthentifizierung, wenn Du keinen unkontrollierten Internetzugang
>>> willst.
Vielleicht reden wir jetzt aneinander vorbei: Meinst *du* jetzt das
"echte" blaue Netz -- also das, in dem sich bei uns im Moment nur der
coova und der IPFire befinden?


> In diesem Fall griffe die
> Lösung mit p_wifi auch für Clients mit LAN-Kabel in LILA
Wie gesagt: die Lösung des Problems sehe ich damit trotzdem noch nicht.
Die Clients erhalten eine gültige IP --- aber mehr auch nicht.


>> DMZ bedeutet, das Fremde rein dürfen, nicht unbedingt raus.
>> Ein "gesetzesfreier" Raum ist sie nicht.
Wenn ein Rechner in orange von außen erreichbar ist, sendet der doch
auch wieder zurück. Also in beide Richtungen...

Michael


___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Zündende Idee für Bibliotheks-Ports?

2016-12-21 Diskussionsfäden Michael Hagedorn 

> Stecke doch die Ports in der Bibliothek ins "Lila" Netz des Coova. D.h.
> Zugang über WLAN-Kabel :)
Das Problem besteht ja nicht darin, an eine gültige IP-Adresse zu
gelangen sondern darin, dann auch *per default* online sein zu dürfen.
Das sind aber alle Clients im WLAN-Netz nicht per default, sondern sie
müssen zunächst über die Gruppe p_wifi berechtigt/aufgenommen werden...
Oder missverstehe ich dich?

Michael


___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Zündende Idee für Bibliotheks-Ports?

2016-12-21 Diskussionsfäden Michael Hagedorn 
Hi.
> was soll wie dauerhaft freigegeben werden?
Das ist zumindest die Idee für die paar Dosen in der Bib...
(ob sinnvoll oder nicht steht auf einem anderen Blatt ...)

> "Deine" Rechner sind doch in einem grünen segment: die willst du doch
> auch klonen.
Klar.
> Und wenn jemand was fremdes bringt, dann hat er Coova.
Ja, aber der kann ja nur dann ins Internet, wenn er sich auch in der
Gruppe p_wifi befindet und das tut er eben nicht per default. Wenn User
mit ihren eigenen Geräten an diesen Dosen *sofort* online sein sollen
(also ohne weiteren Eingriff eines Lehrers!), müssten die das
coova-Portal umgehen können.
Nach allem, was ich da bisher eingestellt habe, geht das nur (?) über
MAC-Auth, aber das bringt mir *hier* ja nix, da die Geräte ständig
wechseln. Daher dachte ich halt an das orange Netz + IP-Adresse...
Vielleicht reden wir auch aneinander vorbei aber die Lösung des Problems
sehe ich noch nicht :)
Michael

___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Zündende Idee für Bibliotheks-Ports?

2016-12-21 Diskussionsfäden Juergen Engeland 
Hallo Michael,

schau Dir die Schuko noch mal genau als Administrator an. Ich glaube
dort kannst Du ganz einfach einstellen, was Dir vorschwebt. Tobias hat
auch was mit LILA dazu geschrieben, womit er wahrscheinlich den gleichen
Gedanken hat. Weiteres unten ...

Gruß Jürgen



Am 21.12.2016 um 19:58 schrieb Michael Hagedorn:
> Hallo Jürgen,
>> ein WLAN-Client bekommt mit WPA-Radius in BLAU (oder GRUEN) nur eine IP,
>> wenn eine Authentifizierung via LDAP mit einem Benutzer aus p_wifi
> Ok, hier ist es allerdings so, dass ja schon der Coova mit der
> Benutzer-Auth in Blau läuft. Ich nehme daher an, dass ich nicht einfach
> *zusätzlich* nochmal die Radius-Auth. im IPFire aktivieren kann/sollte.
>
>> Du kannst  als Administrator Gruppen (Projekte) definieren, die wie
>> teachers dauerhaft in p_wifi enthalten sind. In diese Gruppen kannst Du
>> beliebige Benutzer aufnehmen.
> Ja, genauso ist es hier auch. Allerdings mit der Einschränkung, dass ein
> Lehrer eine Person/Klasse/Gruppe in das Projekt p_wifi holt und diese
> ganzen User nach einer Stunde automatisch wieder rausfliegen, da sie
> sonst ja munter den ganzen Tag weiter im WLAN surfen könnten.
Genau das kann der Administrator in der Schulkonsole bestimmten Klassen
und Projekten dauerhaft erlauben.
Ob Du hierbei mit oder ohne coovachilli arbeitest, ist egal.
Dies wäre für Dich die einfachste  Lösung, wenn Du Deine Gäste ins WLAN
verweist.
>
>> Ein Client an einer Dose in BLAU bekommt immer eine IP-Adresse, mit der
>> er im Gegensatz zu in GRUEN auch raus kann. Deshalb
>> Proxyauthentifizierung, wenn Du keinen unkontrollierten Internetzugang
>> willst.
> Ok -- das Verfahren ist jetzt klar -- nur die konkrete Umsetzung noch nicht.
Dies geht nur, wenn der Proxy nicht transparent ist - was weder in GRUEN
noch in BLAU Standard ist.

Wenn BLAU bei Dir nur von coovachilli genutzt wird, der die übrigen
Clients trennt, dann baut erst der den Tunnel auf, durch den diese
Clients (aus LILA?) ins Netzwerk kommen. In diesem Fall griffe die
Lösung mit p_wifi auch für Clients mit LAN-Kabel in LILA
>  
>
>> ORANGE ist der Bereich für Server, die von GRUEN, BLAU und ROT
>> erreichbar sein sollen. Da hat ein Client nichts verloren.
> Das musst du nochmal erläutern ... ich dachte bisher, dass *gerade*
> orange als DMZ dafür optimal ist, wenn Geräte "fremder Herkunft"
> mitgebracht werden.
Keinesfalls.
>  (Der Zugriff klappt ja auf jeden Fall nur in eine
> Richtung von $Farbe nach orange aber nicht umgekehrt!).
Eben! Du willst aber raus und nicht rein, wenn ich Dich richtig verstehe.
>  Daher muss man
> sich imho gerade in orange nicht weiter darum kümmern, was die Geräte so
> anstellen???
DMZ bedeutet, das Fremde rein dürfen, nicht unbedingt raus.
Ein "gesetzesfreier" Raum ist sie nicht.
>
> Michael
>
>
> ___
> linuxmuster-user mailing list
> linuxmuster-user@lists.linuxmuster.net
> https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
>

___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Zündende Idee für Bibliotheks-Ports?

2016-12-21 Diskussionsfäden Holger Baumhof 
Hallo Michael,

> (nur nochmal zur Klärung: reden wird jetzt vom "echten" blauen Netz
> -aslo da, wo bisher als einziger Rechner nur der coova steckt- oder ist
> das WLAN-Netz dahinter gemeint (lila/transparent)?)

ich meine das Netz, in dem auch die APs hängen.
 Also das "End user" NEtzt, außerhalb des Coova, nicht zwischen Coova
und IPFire.

> Falls du das lila/transparente Netz meinst: Den Fall hatten wir
> irgendwann schon mal versehentlich: Ein Kabel steckte falsch und alle
> Rechner im Computerraum haben eine IP aus dem WLAN-Netz erhalten. 

.. dafür müßte man aber die eine Buchse mit der anderen Verbinden.. Das
ist dann schon Netzwerksabotage.
Steck Kabel rein und mach fettes Gewebeband drüber an der Buchse: bei ir
lassen dann die meisten die Finger davon.

> Beim
> Surfen erschien dann auch dort das Anmeldefenster vom coova. Das
> funktioniert also problemlos auch über ein Kabel -- trotzdem bleibt hier
> ja die Frage, wie die dauerhafte Freigabe bei Einsatz des coovas und
> meinem geschilderten Szenario am besten gelöst werden kann??

was soll wie dauerhaft freigegeben werden?
"Deine" Rechner sind doch in einem grünen segment: die willst du doch
auch klonen.
Und wenn jemand was fremdes bringt, dann hat er Coova.

VIele Grüße

Holger
-- 
Mein öffentlicher PGP-key ist hier hinterlegt: pool.sks-keyservers.net
___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Zündende Idee für Bibliotheks-Ports?

2016-12-21 Diskussionsfäden Michael Hagedorn 
Hi.
> Sollen die Buchsen "frei" zugänglich und auch Nutzbar sein, dann sind
> sie im Blauen Netz.

Ok -- ich verstehe aber trodzem noch nicht, wie sie dann auch online
sind. Die IP aus blau zu bekommen ist klar ...

(nur nochmal zur Klärung: reden wird jetzt vom "echten" blauen Netz
-aslo da, wo bisher als einziger Rechner nur der coova steckt- oder ist
das WLAN-Netz dahinter gemeint (lila/transparent)?)
Falls du das "echte" blaue Netz meinst: Das läuft bisher bei uns
überhaupt nicht über einen "echten" Switch sondern wird rein virtuell
behandelt.
Falls du das lila/transparente Netz meinst: Den Fall hatten wir
irgendwann schon mal versehentlich: Ein Kabel steckte falsch und alle
Rechner im Computerraum haben eine IP aus dem WLAN-Netz erhalten. Beim
Surfen erschien dann auch dort das Anmeldefenster vom coova. Das
funktioniert also problemlos auch über ein Kabel -- trotzdem bleibt hier
ja die Frage, wie die dauerhafte Freigabe bei Einsatz des coovas und
meinem geschilderten Szenario am besten gelöst werden kann??

Oder sehe ich den Wald vor lauter Bäumen nicht?
Michael


___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Zündende Idee für Bibliotheks-Ports?

2016-12-21 Diskussionsfäden Holger Baumhof 
Hallo,

Hängen an der Dose Rechner von dir, kommen sie in ein grünes Netz (jetzt
hast du ja beliebig viele davon) in dem es keinen DHCP gibt.

Sollen die Buchsen "frei" zugänglich und auch Nutzbar sein, dann sind
sie im Blauen Netz.

Wer ein kabel abzieht und "enfremdet" bekommt erstmal nix angeboten,
außer einem Netzsegment, in dem er nicht glücklich wird.
Anders an der freien "blauen" Dose.

So mache ich es bei mir in der Schule in den Laptopsschränken
(inzwischen in jedem Zimmer).
Pro Schrank eine Doppeldose.
Die linke Buchse steckt im Laptop, die rechte ist mit einem 5m Kabel
verbunden, das im Schrank liegt und für ein eigenes Gerät benutzt werden
kann (Blaues Netz).

Viele Grüße

Holger

-- 
Mein öffentlicher PGP-key ist hier hinterlegt: pool.sks-keyservers.net
___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Zündende Idee für Bibliotheks-Ports?

2016-12-21 Diskussionsfäden T . Küchel 
Am 21.12.2016 um 19:58 schrieb Michael Hagedorn:
> Hallo Jürgen,
>> ein WLAN-Client bekommt mit WPA-Radius in BLAU (oder GRUEN) nur eine IP,
>> wenn eine Authentifizierung via LDAP mit einem Benutzer aus p_wifi
> Ok, hier ist es allerdings so, dass ja schon der Coova mit der
> Benutzer-Auth in Blau läuft. Ich nehme daher an, dass ich nicht einfach
> *zusätzlich* nochmal die Radius-Auth. im IPFire aktivieren kann/sollte.

Stecke doch die Ports in der Bibliothek ins "Lila" Netz des Coova. D.h.
Zugang über WLAN-Kabel :)

VG, Tobias
___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Zündende Idee für Bibliotheks-Ports?

2016-12-21 Diskussionsfäden Michael Hagedorn 
Hallo Jürgen,
> ein WLAN-Client bekommt mit WPA-Radius in BLAU (oder GRUEN) nur eine IP,
> wenn eine Authentifizierung via LDAP mit einem Benutzer aus p_wifi
Ok, hier ist es allerdings so, dass ja schon der Coova mit der
Benutzer-Auth in Blau läuft. Ich nehme daher an, dass ich nicht einfach
*zusätzlich* nochmal die Radius-Auth. im IPFire aktivieren kann/sollte.

> Du kannst  als Administrator Gruppen (Projekte) definieren, die wie
> teachers dauerhaft in p_wifi enthalten sind. In diese Gruppen kannst Du
> beliebige Benutzer aufnehmen.
Ja, genauso ist es hier auch. Allerdings mit der Einschränkung, dass ein
Lehrer eine Person/Klasse/Gruppe in das Projekt p_wifi holt und diese
ganzen User nach einer Stunde automatisch wieder rausfliegen, da sie
sonst ja munter den ganzen Tag weiter im WLAN surfen könnten.

> Ein Client an einer Dose in BLAU bekommt immer eine IP-Adresse, mit der
> er im Gegensatz zu in GRUEN auch raus kann. Deshalb
> Proxyauthentifizierung, wenn Du keinen unkontrollierten Internetzugang
> willst.
Ok -- das Verfahren ist jetzt klar -- nur die konkrete Umsetzung noch nicht.

> ORANGE ist der Bereich für Server, die von GRUEN, BLAU und ROT
> erreichbar sein sollen. Da hat ein Client nichts verloren.
Das musst du nochmal erläutern ... ich dachte bisher, dass *gerade*
orange als DMZ dafür optimal ist, wenn Geräte "fremder Herkunft"
mitgebracht werden. (Der Zugriff klappt ja auf jeden Fall nur in eine
Richtung von $Farbe nach orange aber nicht umgekehrt!). Daher muss man
sich imho gerade in orange nicht weiter darum kümmern, was die Geräte so
anstellen???

Michael


___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Zündende Idee für Bibliotheks-Ports?

2016-12-21 Diskussionsfäden Juergen Engeland 
Hallo Michael,

ein WLAN-Client bekommt mit WPA-Radius in BLAU (oder GRUEN) nur eine IP,
wenn eine Authentifizierung via LDAP mit einem Benutzer aus p_wifi
möglich ist.
http://www.linuxmuster.net/wiki/anwenderwiki:benutzerrechner:wlan:radius-accesspoint-blau

Du kannst  als Administrator Gruppen (Projekte) definieren, die wie
teachers dauerhaft in p_wifi enthalten sind. In diese Gruppen kannst Du
beliebige Benutzer aufnehmen. So mache ich es z. B. für einzelne
StudienstufenschülerInnen oder externe MitarbeiterInnen. Mit coovachilli
müsste dies genauso gehen wie bei mir ohne.

Ein Client an einer Dose in BLAU bekommt immer eine IP-Adresse, mit der
er im Gegensatz zu in GRUEN auch raus kann. Deshalb
Proxyauthentifizierung, wenn Du keinen unkontrollierten Internetzugang
willst.

ORANGE ist der Bereich für Server, die von GRUEN, BLAU und ROT
erreichbar sein sollen. Da hat ein Client nichts verloren.

Gruß Jürgen



Am 21.12.2016 um 17:43 schrieb Michael Hagedorn:
> Hi.
>> p_wifi enthält Benutzer, keine Rechner.
> Ja, hast natürlich Recht, aber die Schüler-Accounts fliegen bei uns
> automatisch nach einer Stunde wieder raus ... das soll natürlich so
> bleiben.
>
>> Den Internetzugang könntest Du mit Authentifizierung am Proxy via LDAP
>> regeln.
> Auch in orange?
>
>> Wenn Du den Netzwerkzugang regeln willst, bietet sich OpenVPN an.
> Ok -- dann würden aber 99,5% der User auf dem Schlauch stehen --- bzw
> hätte ich wieder zusätzliches Gerenne.
>
>> Ich würde keine offenen Dosen anbieten. Privatrechner sind meist mobile
>> und können über WLAN kommen.
> Ja, WLAN wäre ja ebenfalls das blaue bzw "transparente/lila" Netz
> (hinter dem coova). Ob die IP nun aus der Dose oder "aus der Luft
> kommt", ist in dem Fall ja egal. Die Schüler könnten trotzdem auf diesem
> Weg nicht ins Internet, weil ihr Account nicht freigegeben ist 
> damit scheidet blau eigentlich aus??
> Es sei denn es gibt da einen Schleichweg?
>
> Michael
>
> ___
> linuxmuster-user mailing list
> linuxmuster-user@lists.linuxmuster.net
> https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
>

___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Zündende Idee für Bibliotheks-Ports?

2016-12-21 Diskussionsfäden Michael Hagedorn 
Hi.
> p_wifi enthält Benutzer, keine Rechner.
Ja, hast natürlich Recht, aber die Schüler-Accounts fliegen bei uns
automatisch nach einer Stunde wieder raus ... das soll natürlich so
bleiben.

> Den Internetzugang könntest Du mit Authentifizierung am Proxy via LDAP
> regeln.
Auch in orange?

> Wenn Du den Netzwerkzugang regeln willst, bietet sich OpenVPN an.
Ok -- dann würden aber 99,5% der User auf dem Schlauch stehen --- bzw
hätte ich wieder zusätzliches Gerenne.

> Ich würde keine offenen Dosen anbieten. Privatrechner sind meist mobile
> und können über WLAN kommen.
Ja, WLAN wäre ja ebenfalls das blaue bzw "transparente/lila" Netz
(hinter dem coova). Ob die IP nun aus der Dose oder "aus der Luft
kommt", ist in dem Fall ja egal. Die Schüler könnten trotzdem auf diesem
Weg nicht ins Internet, weil ihr Account nicht freigegeben ist 
damit scheidet blau eigentlich aus??
Es sei denn es gibt da einen Schleichweg?

Michael

___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Zündende Idee für Bibliotheks-Ports?

2016-12-21 Diskussionsfäden juergen.engel...@t-online.de 
Hallo Michael,
p_wifi enthält Benutzer, keine Rechner.
Den Internetzugang könntest Du mit Authentifizierung am Proxy via LDAP 
regeln.
Wenn Du den Netzwerkzugang regeln willst, bietet sich OpenVPN an.
Ich würde keine offenen Dosen anbieten. Privatrechner sind meist mobile und 
können über WLAN kommen.
Gruß Jürgen



Gesendet mit der Telekom Mail App




--- Original-Nachricht ---
Von: Michael Hagedorn
Betreff: [lmn] Zündende Idee für Bibliotheks-Ports?
Datum: 21.12.2016, 16:00 Uhr
An: linuxmuster





Hi.
Wir haben *endlich* den ersten großen Schritt in Sachen Umstellung auf
6.1 mit VLANs und Subnetting hinter uns. Die ersten Switche laufen jetzt
im "neuen" Netz -- und es funktioniert!
Es liegen allerdings noch weitere 14 Switche oder so vor uns ...

Bei der Zuordnung verschiedener Ports für die Bibliothek fragten wir
uns, wie ihr das an "öffentlichen" Ports bei euch geregelt habt. Gibt es
bei euch Ports, an denen sich Schüler/Lehrer/$Jeder anklinken kann?
In welchem Netz? Welche IPs?

Konkret geht's mir um die Schulibliothek, in der an ein paar
Arbeitsplätzen "freie" Wanddosen liegen. Ich zähle mal die Möglichkeiten
auf, die mir hier einfallen:

Oranges Netz:
Vorteil: Die Laptops hätten sofort Internetzugang (DHCP läuft dank des
Pi-Nets!) Nachteil: Keine Filterung; keine User-Anmeldung.

Blaues Netz:
Vorteil: Anmeldung notwendig.
Nachteil: Rechner sind nicht online, da sie sich nicht in p_wifi befinden!

Das grüne und rote Netz fällt sowieso aus.

Alternative:
Weiteres Subnet extra für die paar Dosen? Dort einen DHCP-Bereich
schalten? Dann hätte man aber unter'm Strich den gleichen Effekt wie bei
orange, oder?

Danke für's Mitplanen :)
Michael


--
Systemdaten:

- virtualisiert mit Proxmox 4.3
- linuxmuster.net  6.0.46
- IPFire 2.19 (core 105)
- Linbo 2.1.10-0
- Ubuntu 14.04 Clients (trusty714-Vorlage)
- leoclient1 mit WinXP im offline-Modus
- Moodle 2.7 (extern mit LDAPS und openLML-Modul)
- WLAN: Unifi-APs (UAP-AC) am CoovaChilli
- Info-Boards: tabula.info  Server + RasPi-Clients
___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net 
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user