Re: [lmn] Coovachilli und DHCP-Adressen: Einige Clients fest eintragen???
hallo, >> was dir vielleicht nicht klar ist: in der vm sind eigentlich 2 getrennte > Danke für die Mini-Fortbildung. War mir in der Tat *so* nicht klar! > Aber wieder gilt: Da der linuxmuster-chilli alles bereits unter einem > Dach vereint, würde ich den auch am liebsten so benutzen, wie es ist. ich denke eben, daß du dein system dadurch unnötig unsicherer machst. andrerseits will heutzutage kaum noch jemand wirklich wlan hacken. das wird sich bald dank vorratsdatenspeicherung wohl wieder ändern :-( > Zudem habe ich folgende Einträge in der /etc/chilli/config ergänzt -- > über die sich das System schon mal nicht beschwert: > > # Bereiche für statische und dynamische Adressen festlegen: > # 30 statische Adressen und 2046 dynamische Adressen ohne Überlappung: > HS_STATIP=172.20.8.0 > HS_STATIP_MASK=255.255.255.224 # 30 Adressen > HS_DYNIP=172.20.0.0 > HS_DYNIP_MASK=255.255.248.0 # 2046 Adressen weshalb sollte er sich auch bei korrekten keywords beschweren? :) > # statisches Gerät 1: Unifi-Controller > 92-D7-... Cleartext-Password := "92-D7-..." > Service-Type = Framed-User, > Framed-Protocol = PPP, > Framed-IP-Address = 172.20.8.1, > Framed-IP-Netmask = 255.255.255.224 > > > Leider wird dem Client mit dieser MAC aber weiterin eine Adresse aus dem > dynamsichen Bereich zugeordnet. Irgendwas stimmt also weiterhin nicht. > Vielleicht siehst du's ja auf einen Blick, was da fehlt oder falsch ist?? > (Ach ja: Dass ich die MAC-Adressen so geschrieben habe und nicht mit > einem Doppelpunkt, habe ich dieser Datei entnommen, die alle Logins > protokolliert: /var/log/freeradius/radacct/127.0.0.1/detail-20150530 ) deine mac notation ist korrekt. ich sehe dein problem eher bei den operatoren. ein einfaches = ist hier sogut wie immer falsch. da weiß ich auf anhieb auch fast nie, welcher da nun hinmuss. ich würde aber zumindest bei servicetype auf := tippen und bei den andren auf ein == das musst du aber ggf. nachsuchen, oder ausprobieren. auch halte ich das framed protocol für überflüssig bis falsch. die framed netmask wird schon von deinem chilli festgelegt. die gehört m.e. auch nicht in den radius. vielleicht führt dich dein fund des mac2ip moduls da schneller weiter. aber bedenke, daß dies dann auch nur die radiusseite ist und du evtl noch den anyip patch im chilli brauchst (und die normaluser länger auf einen connect warten müssen. ich fürchte fast, daß mal wieder die apple geräte dann probleme machen)... jonny ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Einrichtung Subnets - kein DHCP auf Clients
Hallo marcus, > Nach meinem Verständis der Anleitung müsstest du die "grüne" > Netzwerkkarte des VM-Hosts an den Switch-Port fürs VLAN Server hängen > und nicht an den Port VM-Host. .. das sehe ichauch so, wenn ich den Begriff "VM HOst" richtig deute. Welche virtualisierung verwendest du den? Das ganze ist nicht so einfach, da der Server die Pakete an die Räume schon getagged aus dem Server rausschickt: wenn du dazwischen einen virtuellen switch hast, dann muss er VLANs können, sonst nimmt er unter Umständen einfach den Tag weg und dann war es das mit den VLANs. Lass dich auch nicht davon ablenken, dass auf dem VM Host (wie in der Anleitung beschrieben: bei KVM) nur die VLANs 10 11 12 und 13 als VLANs auftauchen ( /etc/network/interfaces auf dem Host): das macht nichts, die Pakete kommen schon getagged. Das ist das eine Ende. Das andere Ende ist, dass auf dem Cisco für den DHCP sogenannte IP Helper (oder heißt das bei cisco DHCP Helper?) aktiv sein müssen. Desweiteren muß die Netzwerkmaske stimmen: 255.255.255.0, nicht mehr 255.240.0.0 Wenn du meinst, dass der Fehler nicht am VM Host liegt, dann empfehle ich dir, den cisco zu resetten auf Werkseinstellungen und ihn nochmal Schritt für Schritt nach der Anleitung von Thomas zu konfigurieren. Ist die neuste Firmware auf dem cisco? Das würde ich auf jeden Fall vorher machen. VIele Grüße Holger -- Mein öffentlicher PGP-key ist hier hinterlegt: pool.sks-keyservers.net ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Coovachilli und DHCP-Adressen: Einige Clients fest eintragen???
... es ist möglicherweise alles viel einfacher als bisher angenommen: Gerade bin ich über diese Datei gestolpert: /etc/freeradius/sites-available/dhcp und /etc/freeradius/modules/mac2ip Da steht u.a.: ## # # This next section is a sample configuration for the "passwd" # module, that reads flat-text files. It should go into # radiusd.conf, in the "modules" section. # # The file is in the format , # # 00:01:02:03:04:05,192.168.1.100 # 01:01:02:03:04:05,192.168.1.101 # 02:01:02:03:04:05,192.168.1.102 # # This lets you perform simple static IP assignment. # ## -- Systemdaten: - virtualisiert mit Proxmox 2.3 - linuxmuster.net 6.0.46 - IPFire 2.15 - Linbo 2.1.10-0 - Ubuntu 14.04 Clients (trusty714-Vorlage) - leoclient1 mit WinXP im offline-Modus - Moodle 2.7.8 (extern mit LDAPS und openLML-Modul) - WLAN: Unifi-APs (UAP-AC) am CoovaChilli - Info-Boards: tabula.info Server + RasPi-Clients ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Coovachilli und DHCP-Adressen: Einige Clients fest eintragen???
Hi jonny. > wenn ich recht verstehe, betreibst du 2 portallösungen seriell? > die von unifi hinter chillispot? Ich nutze ja offenbar nicht alle Funktionen des Unifi-controllers, da der Coova das bereits mitbringt. Natürlich könnte ich es auch umgekehrt machen und z.b. die Lösung von Maurice installieren ... da aber im Prinzip schon alles fertig ist, würde ich es nur ungern wieder über den Haufen schmeißen. Ich glaube mittlerweile auch, dass es nur noch ne Kleinigkeit ist, denn das meiste scheint bereits zu gehen: > hat die unifi lösung nicht auch ebenfalls nas funktionalität? Wahrscheinlich. > was dir vielleicht nicht klar ist: in der vm sind eigentlich 2 getrennte Danke für die Mini-Fortbildung. War mir in der Tat *so* nicht klar! Aber wieder gilt: Da der linuxmuster-chilli alles bereits unter einem Dach vereint, würde ich den auch am liebsten so benutzen, wie es ist. >> dpkg-reconfigure schnell zu ändern sein. > hm, afaik hast du dir relevanten stellen schon gefunden, denn wenn ich Ja -- das scheint mittlerweile zu klappen! Das reconfigure lief erfolgreich durch -- ich bin jetzt mit den Adressen im "privaten Pool" angekommen :) Zudem habe ich folgende Einträge in der /etc/chilli/config ergänzt -- über die sich das System schon mal nicht beschwert: # Bereiche für statische und dynamische Adressen festlegen: # 30 statische Adressen und 2046 dynamische Adressen ohne Überlappung: HS_STATIP=172.20.8.0 HS_STATIP_MASK=255.255.255.224 # 30 Adressen HS_DYNIP=172.20.0.0 HS_DYNIP_MASK=255.255.248.0 # 2046 Adressen Das reicht hier mehr als locker! Nun habe ich unter /etc/freeradius/users folgenden Eintrag gemacht: (natürlich mit ausgeschriebener MAC) # statisches Gerät 1: Unifi-Controller 92-D7-... Cleartext-Password := "92-D7-..." Service-Type = Framed-User, Framed-Protocol = PPP, Framed-IP-Address = 172.20.8.1, Framed-IP-Netmask = 255.255.255.224 Leider wird dem Client mit dieser MAC aber weiterin eine Adresse aus dem dynamsichen Bereich zugeordnet. Irgendwas stimmt also weiterhin nicht. Vielleicht siehst du's ja auf einen Blick, was da fehlt oder falsch ist?? (Ach ja: Dass ich die MAC-Adressen so geschrieben habe und nicht mit einem Doppelpunkt, habe ich dieser Datei entnommen, die alle Logins protokolliert: /var/log/freeradius/radacct/127.0.0.1/detail-20150530 ) Michael -- Systemdaten: - virtualisiert mit Proxmox 2.3 - linuxmuster.net 6.0.46 - IPFire 2.15 - Linbo 2.1.10-0 - Ubuntu 14.04 Clients (trusty714-Vorlage) - leoclient1 mit WinXP im offline-Modus - Moodle 2.7.8 (extern mit LDAPS und openLML-Modul) - WLAN: Unifi-APs (UAP-AC) am CoovaChilli - Info-Boards: tabula.info Server + RasPi-Clients ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Coovachilli und DHCP-Adressen: Einige Clients fest eintragen???
hi, >> Das könnte es sein! > > > oder auch nicht, da in diesem Bsp. mit einer SQL-Datenbank > gearbeitet wird ... bei uns aber "nur" über die Datei > "/etc/freeradius/users", wenn ich's richtig verstanden habe. oh, echt? die users datei ist doch schon seit jahren als obsolet gekennzeichnet und ständig vom "rausfliegen" bedroht :-) aber du kannst (fast) alle sachen, die du über die sql datenbank machen kannst, auch über die users datei machen. dort musst du dir nur die rubriken zum eintragen der radius optionen von hand raussuchen... jonny ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Coovachilli und DHCP-Adressen: Einige Clients fest eintragen???
hi, Michael Hagedorn schrieb: > > Das könnte es sein! > > > http://coova.org/node/4248 das ist eine schritt für schritt anleitung zu dem von mir gesagten. ich denke allerdings, er hat da ein paar überflüssige sachen drin. ob anyip nötig ist weiß ich nicht (ist in meinem chilli nicht einkompiliert). und bei den groupresponses erscheinen mir punkt 1 und 3 überflüssig. das musst du im zweifel eben testen. jonny ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Coovachilli und DHCP-Adressen: Einige Clients fest eintragen???
hallo michael, > na ja ... das ginge ... vielleicht wäre aber auch einfach eine 2. NIC im > Unifi-Controller (wie gesagt: nur ne VM!) möglich, mit der ich z.B. im > grünen Netz hänge!?! wenn ich recht verstehe, betreibst du 2 portallösungen seriell? die von unifi hinter chillispot? du kannst sie natürlich auch parallel betreiben, eben indem du dem unifi ding eine "backdoor" in ein andres netz verpasst. ob das sicher ist kann ich nicht beurteilen, da ich deine vm und das produkt nicht kenne (außer vom überfliegen). du musst dir bei sowas eben überlegen, wie groß dein risiko ist und ob du das dann entsprechend sicher halten kannst. hat die unifi lösung nicht auch ebenfalls nas funktionalität? dann könnte sie ja als komerzielle alternative zu chiillispot dienen. sie erhielte dabei dann einfach ihre daten ebenfalls vom freeradius der chilli vm. was dir vielleicht nicht klar ist: in der vm sind eigentlich 2 getrennte funktionen drin. einmal der radius, der die nutzerdaten verwaltet und dann dem nas befiehlt, was er zu tun hat und einmal chillispot als nas, und schnittstelle zu den clients. ob die da dann per wlan oder lan angeschlossen sind, ist egal. auch ist dem radius egal, ob du chillispot oder irgend nen andren radiusnas dahinter hast. >> ich denke, ich hatte das damals bereits einmal angesprochen und der >> maintainer wollte das subnetz und die anleitung ändern. >> vielleicht hast du es vor dieser änderung installiert? > Wahrscheinlich ... ich hatte den CoovaChilli schon vor GAAANZ langer > Zeit installiert -- aber erst > jetzt richtig in Betrieb genommen. Es müsste ja mit einem > dpkg-reconfigure schnell zu ändern sein. hm, afaik hast du dir relevanten stellen schon gefunden, denn wenn ich mich recht erinnere, wird das wlan subnetz nur in der chilli.conf festgelegt. es sollte also genügen, wenn du es dort änderst. >> zur privaten nutzung sind lediglich die adressen zwischen 172.16 und > Belegt sind hier lediglich 172.16 172.18 und 172.19 > Da springt einem doch direkt das 172.17er Segment ins Auge! Hier würden > aber in der Tat locker 1000 Adressen für's WLAN reichen -- mit reichlich > Puffer von mir aus auch 2048 Adressen. > Also z.B. 172.17.0.0/21 müsste dann ja gehen... ja, wenn der 17er bereich bei dir sonst nicht benutzt wird, kannst du das. du musst dann eben die netzmaske auf 248.0 setzen und hast dann 2046 ips zur verfügung... jonny ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Einrichtung Subnets - kein DHCP auf Clients
Hallo Marcus, vorweg: ich habe das subnetting nicht eingerichtet, d.h. ich kann nicht auf praktische Erfahrungen zurückgreifen. Nach meinem Verständis der Anleitung müsstest du die "grüne" Netzwerkkarte des VM-Hosts an den Switch-Port fürs VLAN Server hängen und nicht an den Port VM-Host. Am Port VM-Host wird in getaggtes Signal erwartet, das müsste im linuxmuster-Server eingerichtet werden. Der Switch-Port fürs VLAN Server erwartet hingegen kein getagtes Signal. Wenn du jetzt einen weiteren Port des Switches dem VLAN Server untagged zuordnest und daran ein Notebook hängt müsste dieses ein IP bekommen, da es sich im selben Subnetz wie der Server befindet. Wenn das funktioniert kannst du das Notebook in ein anderes Subnetz hängen, dann musst der Switch DHCP-Relaying einrichten, da DHCP-Request sonst nicht von Subnetz des Notebooks ins das Subnetz des Servers weitergereicht werden. Grüße, Sven On Sat, 30 May 2015 17:25:39 +0200 "skyfir...@t-online.de" wrote: Hallo zusammen, ich habe mich heute an das Einrichten der Subnets gewagt und bin eigentlich ganz gut durchgekommen (nachdem ich die Funktionsweise des Cisco-Switches kapiert habe). Das Problem ist, die Geräte, die am Cisco-Switch hängen, bekommen keine IP per DHCP-Signal. Der Cisco-Switch ist konfiguriert nach den Vorgaben der Anleitung, allerdings sind die Umstände bei uns etwas anders: Wir haben einen VM-Host mit 3 Netzwerkkarten. Ich wollte, um das ganze nicht zu kompliziert werden zu lassen, vorerst nicht bündeln. Router, WLAN-Netz und 'Grünes Netz' haben jeweils eine Netzwerkkarte zugeordnet, Firewall und Server teilen sich die für das grüne Netz. Die Leitung dieser grünen Netzwerkkarte geht nun in den Port 'VM-Host' auf dem Cisco, ein anderer Port geht in den einen Backbone-Switch, den wir im Serverraum stehen haben. Einen Port für den Router (VLAN Internet) brauche ich ja nicht, am Port fürs VLAN Server ist noch nichts angeschlossen. Also sind nur 2 Ports am Cisco in Gebrauch. Auf dem Backbone-Switch ist der Port, in den die Leitung geht, die vom Cisco kommt, getaggt mit den VLANS des pädagogischen Netzes, aber nicht mit dem Server-Netz. Die Ports, die direkt in den einen PC-Raum gehen, sind alle ungetaggt für das zugehörige VLAN. Ich kann vom Server den Switch nicht anpingen, obwohl ich auf seiner Website sehe, dass er die korrekte IP per DHCP bekommen hat (bin über ein Notebook an einem anderen Port drin). Die PCs im PC-Raum erhalten kein DHCP-Signal. Und wenn ich ein Notebook direkt an den Cisco anschließe (an die Leitung, die eigentlich in den Backbone geht), erhalte ich da auch keine IP, also muss irgendwas verhindern, dass der Cisco die IPs im Netzwerk verteilt. Kann natürlich sein, dass ich irgendwo nen Fehler gemacht habe und ich es nun einfach nicht mehr sehe... Hat jemand evtl. ne Idee, wie ich das ganze zum Laufen bringen kann? Vielen Dank fürs Mitdenken! Viele Grüße, Marcus ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
[lmn] Einrichtung Subnets - kein DHCP auf Clients
Hallo zusammen, ich habe mich heute an das Einrichten der Subnets gewagt und bin eigentlich ganz gut durchgekommen (nachdem ich die Funktionsweise des Cisco-Switches kapiert habe). Das Problem ist, die Geräte, die am Cisco-Switch hängen, bekommen keine IP per DHCP-Signal. Der Cisco-Switch ist konfiguriert nach den Vorgaben der Anleitung, allerdings sind die Umstände bei uns etwas anders: Wir haben einen VM-Host mit 3 Netzwerkkarten. Ich wollte, um das ganze nicht zu kompliziert werden zu lassen, vorerst nicht bündeln. Router, WLAN-Netz und 'Grünes Netz' haben jeweils eine Netzwerkkarte zugeordnet, Firewall und Server teilen sich die für das grüne Netz. Die Leitung dieser grünen Netzwerkkarte geht nun in den Port 'VM-Host' auf dem Cisco, ein anderer Port geht in den einen Backbone-Switch, den wir im Serverraum stehen haben. Einen Port für den Router (VLAN Internet) brauche ich ja nicht, am Port fürs VLAN Server ist noch nichts angeschlossen. Also sind nur 2 Ports am Cisco in Gebrauch. Auf dem Backbone-Switch ist der Port, in den die Leitung geht, die vom Cisco kommt, getaggt mit den VLANS des pädagogischen Netzes, aber nicht mit dem Server-Netz. Die Ports, die direkt in den einen PC-Raum gehen, sind alle ungetaggt für das zugehörige VLAN. Ich kann vom Server den Switch nicht anpingen, obwohl ich auf seiner Website sehe, dass er die korrekte IP per DHCP bekommen hat (bin über ein Notebook an einem anderen Port drin). Die PCs im PC-Raum erhalten kein DHCP-Signal. Und wenn ich ein Notebook direkt an den Cisco anschließe (an die Leitung, die eigentlich in den Backbone geht), erhalte ich da auch keine IP, also muss irgendwas verhindern, dass der Cisco die IPs im Netzwerk verteilt. Kann natürlich sein, dass ich irgendwo nen Fehler gemacht habe und ich es nun einfach nicht mehr sehe... Hat jemand evtl. ne Idee, wie ich das ganze zum Laufen bringen kann? Vielen Dank fürs Mitdenken! Viele Grüße, Marcus___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Win 7 auf Lenovo T410 SLIC Nutzung?
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hallo Holger, Am 28.05.2015 um 19:55 schrieb Holger Baumhof: > das geht nur, wenn das Laptop selbst schon SLIC im BIOS hat. Der > Key und das Cert sind tatsächlich identisch pro Hersteller und pro > Windowsversion (Home/Pro/Ultimate..) jetzt stellt sich für mich doch die Frage, ob es Sinn macht, T410 zu kaufen, wenn diese kein SLIC im BIOS haben... Ok, das würde mit LMN 6.1 dann imo eh keine Rolle mehr spielen, weil Linbo dann in der Lage ist, einen in der workstations hinterlegten Key rein zu patchen... Viele Grüße Steffen - -- Wir sind nicht nur nett, wir sind sogar linuxmuster.net Mein System: - - virtualisiert mit Proxmox 3.4 - - linuxmuster.net 6.0 - - IPFire 2.17 - - Linbo 2.1.10-0 - - Ubuntu 12.04-Client - - Erweiterungen: Chillispot, Pykota, MRBS und OpenSchulportfolio - - Moodle extern (Belwue) per ldaps angebunden Note: No Microsoft programs were used in the creation or distribution of this message. If you are using a Microsoft program to view this message, be forewarned that I am not responsible for any harm you may encounter as a result. - Diese E-Mail ist mit OpenPGP signiert. Der öffentliche Schlüssel zur Überprüfung der Signatur ist hier hinterlegt: pool.sks-keyservers.net - -BEGIN PGP SIGNATURE- Version: GnuPG v1 iQEcBAEBAgAGBQJVaYv2AAoJEBhc6lDKYVtJZloIAJmF52oh/dwVUt5EyyQ07kP+ qVxrgWd6KoiBEXOe1uwLHwiT/NZOrWFmA8pWIM13eDd8vLQpOfmHlLU7cJMRUIbd qJ3IXGVJUXOk/raakhka5JlfEknalCuIzmDROE7jabhEcGudLPhwwXdkaOzhSbwv 4J3cOBb+Ekd6wd65G1qYHlFbixHORPgdQJTP5DsaIL9TLqWmtLCQFIMOjX6b90Kg X21+EXE8U1/flTZhtCU/6gBZhUUyKcwHwrecjzuw+CG7saFraiTJvhS+ZWuYqjRD uK/P5BtQJ3A5vg6JLcyTBW+iqA1kHfcteY2twd8YBPSMVX98qblvsa99v04xLEU= =HRzF -END PGP SIGNATURE- ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Coovachilli und DHCP-Adressen: Einige Clients fest eintragen???
> Das könnte es sein! > oder auch nicht, da in diesem Bsp. mit einer SQL-Datenbank gearbeitet wird ... bei uns aber "nur" über die Datei "/etc/freeradius/users", wenn ich's richtig verstanden habe. Das Prinzip wird aber allmählich klar :) ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Coovachilli und DHCP-Adressen: Einige Clients fest eintragen???
Das könnte es sein! > http://coova.org/node/4248 (unten) ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user