Hallo,
um auch was was zum thema wohnheim zu sagen: jedem studenten wird eine
feste IPv4, ein login und ein password zugeteilt. der student baut von
seinem rechner eine ssh verbindung zu einem "loginserver" auf. solange
die ssh session steht wird die firewall fuer diese IP + zugehoerige MAC
aufgemacht.
bietet keine 100% sicherheit, aber die meisten angriffe gegen das
system lassen sich in einem geswitchtem netz doch relativ gut auf einen
nutzer zurueckfuehren. und ein hohes entdeckungsrisko schreckt ab ;-)
ist sicher nichts, was irgend einem standard entspricht, aber es
funktioniert. wenn man kein privacy verwendet ist das sicher auf ipv6
erweiterbar.
auch wenn das hier schon abgeleht wurde, ich wuerde eine solche oder eine
vpn-loesung bevorzugen. man kann ja den wohnheim-internen verkehr offen
lassen und nur die rausgehenden sachen filtern, damit hat man die
funkstrecke auch nicht doppelt belastet.
cu
Uwe
On Mon, 19 Feb 2007, Bernhard Schmidt wrote:
Date: Mon, 19 Feb 2007 14:28:53 +0100
From: Bernhard Schmidt <[EMAIL PROTECTED]>
To: Christian Strauf <[EMAIL PROTECTED]>
Cc: [email protected]
Subject: Re: [JOIN-IPv6] Verhalten bei RA-Messages mit
Christian Strauf schrieb:
Privacy-Extension deaktiviert wird (wie geht das eigentlich bei Vista?),
Wie meines Wissens bei XP SP2 auch
netsh interface ipv6 set privacy state=disabled
bei Vista kommt aber noch dazu, dass auch bei der dauerhaften Adresse der
Interface Identifier nicht nach EUI-64 gebildet, sondern bei der Installation
zufällig generiert wird (d.h. dauerhafte Adresse und Link-Local entsprechen
nicht der EUI-64 Bildungsvorschrift und haben mit der MAC-Adresse nix mehr zu
tun). Kann deaktiviert werden mit
netsh interface ipv6 set global randomizeidentifiers=disabled
Ansonsten danke für die ganzen Ideen. VPN-Concentrator oder PPPoE scheiden
für uns in den Wohnheimen erstmal aus. Wir haben viele Wohnheime die nur über
eine dünne Leitung (Richtfunk, WLAN) angebunden sind und einen signifikanten
Anteil an internem Verkehr haben, diesen zweimal über die Außenanbindung zu
einem zentralen VPN-Concentrator zu schicken macht die Leitung dicht,
dezentrale Systeme in jedem Wohnheim können/wollen wir nicht betreiben.
VLANs sind eine nette Idee, aber hier braucht man entsprechend
leistungsfähiges Equipment. Idealfall wäre etwas wie Cisco Catalyst 3560 mit
Routed Ports als Edge-Switch, aber das hat mit der Realität nicht viel zu tun
(3Com SuperStack, HP 25xx oder 26xx). Die Edge-Switches auf L2 und nen
zentralen Router auf L3 wäre auch eine Möglichkeit, das wird bei Linux aber
schnell unübersichtlich und ein Cisco-"Router" mit entsprechend Bumms
dahinter ist teuer.
ND-Watch wäre die Minimallösung, hat halt das kleine Problem dass nicht
zentral gepollt werden kann (mangels sauberer Unterstützung in SNMP),
dezentral ist es wieder aufwändig das zu betreiben.
Wie sieht es bei euch mit der Zuständigkeit für die Wohnheime aus? Bei uns
bekommen die Wohnheime einen Port und entsprechend IP-Adressen, das Setup im
Wohnheim ist Sache des Studentenwerks. Wir können uns daher leider nicht
einmischen und einfach mal IPv6 in einem Wohnheim aktivieren.
Bernhard
_______________________________________________
ipv6 mailing list
[email protected]
http://listserv.uni-muenster.de/mailman/listinfo/ipv6
_______________________________________________
ipv6 mailing list
[email protected]
http://listserv.uni-muenster.de/mailman/listinfo/ipv6
