Re: [lmn] IP-Bereiche Coova
Hallo Wolfgang, Am 22.11.2014 um 10:54 schrieb Wolfgang Höfer hoeferw...@t-online.de: Hall Jesko, erstmal danke für deine ausführliche Antwort. Land unter schein gerad zu grassieren :( geht mir genauso) willkommen im Club. Ich werde mir die Mail bei nächster Gelegenheit genau durchlesen. ALLERDINGS ... 1) Ich bin nicht der Herr der vsphere - muss das also machen lasssen die Konfiguration, die ich meine, dauert -wenn ich weiß, was ich tue- 2 Minuten. 2) Das mit dem Zugriff auf das 172er Netz Eigentlich habe so etwas schon geplant. Das ist aber illegal. Nach dem aktuellen Netzbrief darf zwar ein Zugriff VOM Lehrerzimmer aus IN das pädagogische Netz möglich sein, aber KEINESFALLS andersherum. Ich möchte nämlich die Lehrer-Rechner (=Lehrerzimmer) als Ubuntus im Unterrichtsnetz haben (Raum Lehrerzimmer). Da sie aber Noten in den Notenmanager eintragen müssen und das eine oder andere Dokument verfassen sollen, das dürfen sie nicht, wenn man vom Unterrichtsnetz auf diese zugreifen kann. würde ich diesen Raum gerne über den Leo-Client auf einen gemeinsamen Ordner zugreifen lassen, der nur von diesen Maschinen gemountet ist. Dafür muss ich diesen Raum aber durch die Firewall schleusen. das klingt mir sehr nach meiner alten Lösung. Da kann ich nur meine Meinung sagen: Es ist sehr aufwändig, das einigermaßen Wasserdicht zu konfigurieren und dieser Aufwand steht in keinem Verhältnis zu dem, was du hinterher hast: Eine Lösung, die zwar funktioniert, aber den Anforderungen des Netzbriefes widerspricht. Meiner Meinung nach schlauer ist es, diese Zeit in eine ordentliche Konfiguration des Netzes zu stecken. Einen Switch für 180Euro anschaffen, und die verschiedenen Räume in verschiedene VLANs stecken und dann per ACL im Layer3-Switch festzulegen, dass vom Pädagogischen Netz ins Lehrerzimmer verboten ist. Dann kannst du alles das machen, was du vorhast (z.B. auch ein NAS ins Lehrerzimmer stellen (also in das Netz, das kann schon im Serverraum sein) wo die Noten drauf sind, ohne Angst zu haben, dass ein findiger Schüler sich an die Shares spooft. So 100%ig steht das Szenario noch nicht, aber solange wir kein dediziertes Lehrernetz haben (Ja - es gibt eine Anleitung irgendwo im Wiki, ich weiß :) ) aber gerade eben ... Land unter :( eben... und deshalb nicht Arbeit reinstecken, wo sie umsonst ist ;) Klar ist das Szenario hackbar aber ich weiß ganz genau, dass DAS unsere Kids nicht drauf haben :) Ja, aber auch wenn du ganz genau weißt, dass sie dir deinen Geldbeutel (deine Daten) nicht aus der Tasche klauen, lässt du einen FREMDEN Geldbeutel (fremde Daten) nicht in dieser Tasche, wenn du den Raum verlässt. Wenn jemand eine Alternative dazu einfällt ... Leider kann ich die musterlösung nicht in der Verwaltung einführen, weil die zukünftig nicht mehr mein Zuständigkeitsbereich sein soll. Die (meiner Meinung nach einzigen) beiden Alternativen sind: 1. Keine pers.bez.Daten im Lehrerzimmer verarbeiten. 2. Das Netz segmentieren wie im Netzbrief beschrieben und hier erklärt: http://www.linuxmuster.net/wiki/tcpbob 1. ist sehr einfach umzusetzen aber sehr unpraktisch (wozu dann überhaupt Rechner im Lehrerzimmer...) 2. ist etwas umständlicher, man lässt da vermutlich auch einen Fachmann ran oder weiß, was man tut. Man hat in jedem Falle keinen Stress mit dem Datenschutz und auch nicht mit der Firewall :) Viele Grüße, Jesko ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] IP-Bereiche Coova
Hi, Ich kürze mal eben etwas hier ... 1) Ich bin nicht der Herr der vsphere - muss das also machen lasssen die Konfiguration, die ich meine, dauert -wenn ich weiß, was ich tue- 2 Minuten. Ich darf nichts konfigurieren :) 2) Das mit dem Zugriff auf das 172er Netz Eigentlich habe so etwas schon geplant. Das ist aber illegal. Nach dem aktuellen Netzbrief darf zwar ein Zugriff VOM Lehrerzimmer aus IN das pädagogische Netz möglich sein, aber KEINESFALLS andersherum. Verwaltung und Unterricht müssen durch geeignete Maßnahmen voneineder getrennt sein (BY) Geeignet Klar ist sicherer besser Ich möchte nämlich die Lehrer-Rechner (=Lehrerzimmer) als Ubuntus im Unterrichtsnetz haben (Raum Lehrerzimmer). Da sie aber Noten in den Notenmanager eintragen müssen und das eine oder andere Dokument verfassen sollen, das dürfen sie nicht, wenn man vom Unterrichtsnetz auf diese zugreifen kann. Meiner Meinung nach schlauer ist es, diese Zeit in eine ordentliche Konfiguration des Netzes zu stecken. Einen Switch für 180Euro anschaffen, und die verschiedenen Räume in verschiedene VLANs stecken und dann per ACL im Layer3- Switch festzulegen, dass vom Pädagogischen Netz ins Lehrerzimmer verboten ist. Es sollte nicht das PRoblem sein, das Lehrerzimmer in ein eigenes VLAN zu packen. Der Switch wo das Zimmer dran hängt kann das. Nur Ich will, dass die Lehrerrechner genau wie die Schülerrechner sind. Damit habe ich eine homogene Kollegenlösung. = Zugang zum 10er Netz nötig, wegen Linbo. Gleichzeitig müssen aber Noten und Klassencharakteristiken geschrieben werden können = 172er Netz Wenn schon 10er Netz, dann aber natürlich auch gleich LDAP, Eigener Ordner, Wenn ich das auf Seiten der Musterlösung über ein VLAN-Szenario realisieren kann - gernst :) Steht das in der Doku? Hatte noch keine Zeit sie zu lesen ... Dann kannst du alles das machen, was du vorhast (z.B. auch ein NAS ins Lehrerzimmer stellen (also in das Netz, das kann schon im Serverraum sein) wo die Noten drauf sind, ohne Angst zu haben, dass ein findiger Schüler sich an die Shares spooft. eben... und deshalb nicht Arbeit reinstecken, wo sie umsonst ist ;) * seufz * Klar ist das Szenario hackbar aber ich weiß ganz genau, dass DAS unsere Kids nicht drauf haben :) Ja, aber auch wenn du ganz genau weißt, dass sie dir deinen Geldbeutel (deine Daten) nicht aus der Tasche klauen, lässt du einen FREMDEN Geldbeutel (fremde Daten) nicht in dieser Tasche, wenn du den Raum verlässt. Du hast Geld? Toll :( Muss ich mir auch anschaffen VG Wolfgang ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] IP-Bereiche Coova
Hallo Wolfgang, Kannst Du zur Klärung mal die IP und die Netzmaske der roten Karte des IPFire posten? Viele Grüße Jörg Am 20.11.2014 um 07:32 schrieb Wolfgang Höfer hoeferw...@t-online.de: Ich gehe mittlerweile davon aus, dass ich das gesamte Verwaltungsnetz umkonfigurieren darf Ist eventuell sicherer als hier groß Experimente zu veranstalten :( Im Prinzip genügt es, die ins 172.20.x.x zu verfrachten. Die Maschinen mit DHCP sollten das fast selber machen - was bleibt sind Server, Nas, Drucker, Na ja ... wer braucht schon ein Wochenende für sich -Original-Nachricht- Betreff: Re: [lmn] IP-Bereiche Coova Datum: Thu, 20 Nov 2014 00:11:00 +0100 Von: Holger Baumhof holger.baum...@web.de An: Discussions about using linuxmuster.net linuxmuster-user@lists.linuxmuster.net Hab ich auch überlegt, aber nachgelesen: Dann kriegt BLAU 172.16.32.x statt 172.16.16.x. Das hilft ihm nicht weiter, wenn 172.16. gesperrt ist. Sorry, Tobias :-( schnüff, es wäre so einfach gewesen .. -- Mein öffentlicher PGP-key ist hier hinterlegt: pool.sks-keyservers.net ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] IP-Bereiche Coova
Klar inet addr:192.168.13.254 Bcast:192.168.13.255 Mask:255.255.255.0 Dieses Netz gehört dann der Firewall vom Schulträger ... 192.168.11.x ist Management, Aber ich hab dem zuständigen EDVler gestern noch ne Mail geschreiben und warte jetzt mal, was der sagt ... -Original-Nachricht- Betreff: Re: [lmn] IP-Bereiche Coova Datum: Thu, 20 Nov 2014 09:06:33 +0100 Von: Jörg Richter m...@jrichter.de An: Discussions about using linuxmuster.net linuxmuster-user@lists.linuxmuster.net Hallo Wolfgang, Kannst Du zur Klärung mal die IP und die Netzmaske der roten Karte des IPFire posten? Viele Grüße Jörg Am 20.11.2014 um 07:32 schrieb Wolfgang Höfer hoeferw...@t-online.de: Ich gehe mittlerweile davon aus, dass ich das gesamte Verwaltungsnetz umkonfigurieren darf Ist eventuell sicherer als hier groß Experimente zu veranstalten :( Im Prinzip genügt es, die ins 172.20.x.x zu verfrachten. Die Maschinen mit DHCP sollten das fast selber machen - was bleibt sind Server, Nas, Drucker, Na ja ... wer braucht schon ein Wochenende für sich -Original-Nachricht- Betreff: Re: [lmn] IP-Bereiche Coova Datum: Thu, 20 Nov 2014 00:11:00 +0100 Von: Holger Baumhof holger.baum...@web.de An: Discussions about using linuxmuster.net linuxmuster-user@lists.linuxmuster.net Hab ich auch überlegt, aber nachgelesen: Dann kriegt BLAU 172.16.32.x statt 172.16.16.x. Das hilft ihm nicht weiter, wenn 172.16. gesperrt ist. Sorry, Tobias :-( schnüff, es wäre so einfach gewesen .. -- Mein öffentlicher PGP-key ist hier hinterlegt: pool.sks-keyservers.net ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] IP-Bereiche Coova
Hallo Wolfgang, Dann sehe ich kein Problem. Die Verbindung zwischen IPFire und Coovachilli ist völlig isoliert und kann komplett virtualisiert werden - ohne Verbindung nach draußen. Deshalb ist es egal, welchen IP-Bereich Du nimmst. Ich gehe mal davon aus, dass kein Routing zwischen dem pädagogischen Netz und dem Verwaltungsnetz eingerichtet ist - dann wäre das eine andere Situation. Viele Grüße Jörg Richter Am 20.11.2014 um 16:11 schrieb Wolfgang Höfer hoeferw...@t-online.de: Klar inet addr:192.168.13.254 Bcast:192.168.13.255 Mask:255.255.255.0 Dieses Netz gehört dann der Firewall vom Schulträger ... 192.168.11.x ist Management, Aber ich hab dem zuständigen EDVler gestern noch ne Mail geschreiben und warte jetzt mal, was der sagt ... -Original-Nachricht- Betreff: Re: [lmn] IP-Bereiche Coova Datum: Thu, 20 Nov 2014 09:06:33 +0100 Von: Jörg Richter m...@jrichter.de An: Discussions about using linuxmuster.net linuxmuster-user@lists.linuxmuster.net Hallo Wolfgang, Kannst Du zur Klärung mal die IP und die Netzmaske der roten Karte des IPFire posten? Viele Grüße Jörg Am 20.11.2014 um 07:32 schrieb Wolfgang Höfer hoeferw...@t-online.de: Ich gehe mittlerweile davon aus, dass ich das gesamte Verwaltungsnetz umkonfigurieren darf Ist eventuell sicherer als hier groß Experimente zu veranstalten :( Im Prinzip genügt es, die ins 172.20.x.x zu verfrachten. Die Maschinen mit DHCP sollten das fast selber machen - was bleibt sind Server, Nas, Drucker, Na ja ... wer braucht schon ein Wochenende für sich -Original-Nachricht- Betreff: Re: [lmn] IP-Bereiche Coova Datum: Thu, 20 Nov 2014 00:11:00 +0100 Von: Holger Baumhof holger.baum...@web.de An: Discussions about using linuxmuster.net linuxmuster-user@lists.linuxmuster.net Hab ich auch überlegt, aber nachgelesen: Dann kriegt BLAU 172.16.32.x statt 172.16.16.x. Das hilft ihm nicht weiter, wenn 172.16. gesperrt ist. Sorry, Tobias :-( schnüff, es wäre so einfach gewesen .. -- Mein öffentlicher PGP-key ist hier hinterlegt: pool.sks-keyservers.net ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] IP-Bereiche Coova
ALSO: physikalische NIC WIRKLICH nötig? Why Na ja -- irgendwo muss du den AccessPoint ja einstecken. Da bietet sich eine Netzwerkkarte irgendwie an, will ich meinen!? (scnr) Aber mal im Ernst: Ich hatte daaamals auch zuerst Schwierigkeiten, die Verdrahtung des Chillispot zu verstehen, da er der einzige Rechner in BLAU ist und ein eigenes Netz aufmacht. Das ist zwar intern geschickt gemacht -- aber man darf sich halt nicht verstöpseln; sonst kann man sich nicht anmelden :) Michael -- Systemdaten: - virtualisiert mit Proxmox 2.3 - linuxmuster.net 6.0.46 - IPFire 2.15 - Linbo 2.1.10-0 - Ubuntu 12.04 und 14.04 Clients - leoclient1 mit WinXP im offline-Modus - Moodle 2.7 (extern mit LDAPS und openLML-Modul) ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] IP-Bereiche Coova
Hi :) Am 19.11.2014 um 17:00 schrieb Wolfgang Höfer hoeferw...@t-online.de: Hi, mir ist das schon klar :) ABER ... ich hab hinten aus den beiden Kisten raus 4 Netzwerkkabel. DIE sind aber anscheinend so konfiguriert, dass sie EIN fettes Kabel darstellen ( so weit ich das verstanden hab) Da drüber läuft der gesamte Traffic, der auf den VSpheres entsteht (in VLANS eingsperrt, wie auch immer) Die kommen dann auf einen Switch und werden dort erst wieder auseinandersortiert. Mit anderen Worten Ich habe keine Karte, die einer VM alleine gehört, das ist alles virtuell. Ich kann den Auftrag erteilen, dass eine Virtuell NIC, einem Netzwerk auf der VSphere zugeordnet wird. DIESES Netzwerk wird dann als eigenes VLAN an die Switche im Haus kommuniziert. Genau so macht das Sinn (hab ich such so) LG, Jesko Oder andersrum Accespoint steckt an Switch und ist damit einmal im Managementnetz der Controller und in einem VLAN (nennen wir es WLAN) Dieses VLAN kommt im Serverraum über Glasfaser an, wird auf dem Switch mit dem ganzen anderen Traffic über meine 4 Kabel in die VSpheres geschickt. Dort wird auseinandersortiert. Irgendwo in diesem Verhau ist auch noch eine Firewall versteckt, damit ein netz auch sicher das andere nicht sieht. Die Firewall gehört ebenfalls nicht mir, weshalb ich mir an der auch regelmäßig die Nase blutig hau, weil wieder irgendwas nicht da hin kommt, wo es hin soll Tja ... und jetzt ? -Original-Nachricht- Betreff: Re: [lmn] IP-Bereiche Coova Datum: Wed, 19 Nov 2014 16:45:27 +0100 Von: Michael Hagedorn michael.haged...@leoninum.org An: linuxmuster-user@lists.linuxmuster.net ALSO: physikalische NIC WIRKLICH nötig? Why Na ja -- irgendwo muss du den AccessPoint ja einstecken. Da bietet sich eine Netzwerkkarte irgendwie an, will ich meinen!? (scnr) Aber mal im Ernst: Ich hatte daaamals auch zuerst Schwierigkeiten, die Verdrahtung des Chillispot zu verstehen, da er der einzige Rechner in BLAU ist und ein eigenes Netz aufmacht. Das ist zwar intern geschickt gemacht -- aber man darf sich halt nicht verstöpseln; sonst kann man sich nicht anmelden :) Michael -- Systemdaten: - virtualisiert mit Proxmox 2.3 - linuxmuster.net 6.0.46 - IPFire 2.15 - Linbo 2.1.10-0 - Ubuntu 12.04 und 14.04 Clients - leoclient1 mit WinXP im offline-Modus - Moodle 2.7 (extern mit LDAPS und openLML-Modul) ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] IP-Bereiche Coova
Hi, ABER ... ich hab hinten aus den beiden Kisten raus 4 Netzwerkkabel. DIE sind aber anscheinend so konfiguriert, dass sie EIN fettes Kabel darstellen Kann es sein, dass da sowas wie ein Bonding/Link Aggregation konfiguriert ist? Das geht zumindest unter Proxmox -- damit man die Bandbreite zum Server erhöhen kann. Ich habe keine Karte, die einer VM alleine gehört, das ist alles virtuell. Wenn's virtuelle Karten sind, kannst du aber eine hinzufügen für BLAU (zumindest unter Proxmox). Viel weiter kann ich dir leider nicht helfen, da wir bei uns eine 4-fach-NIC eingebaut haben, die nun ROT-GRÜN-BLAU-ORANGE auf einer Karte zur Verfügung stellt. Accespoint steckt an Switch und ist damit einmal im Managementnetz der Controller und in einem VLAN Das muss sich aber dann wiederum einer weiteren virtuellen NIC zuordnen lassen?? Tja ... und jetzt ? ESXi-Profis hier? Michael -- Systemdaten: - virtualisiert mit Proxmox 2.3 - linuxmuster.net 6.0.46 - IPFire 2.15 - Linbo 2.1.10-0 - Ubuntu 12.04 und 14.04 Clients - leoclient1 mit WinXP im offline-Modus - Moodle 2.7 (extern mit LDAPS und openLML-Modul) ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] IP-Bereiche Coova
Hi, ja - ich nehme das an. Wobei über diese Kabel auch die Maschinen dynamisch zwischen den Servern hin und her geschoben werden, wenn einer schlapp macht, ... Ich werd da jetzt die EDVler dran setzen, die das System zusammengeschraubt haben. Im Prinzip ist ja klar, was gewollt ist. Kriegen sie's hin - ok. Wenn nicht - net meine Schuld ... eigentlich ein gutes Gefühl :) -Original-Nachricht- Betreff: Re: [lmn] IP-Bereiche Coova Datum: Wed, 19 Nov 2014 19:03:31 +0100 Von: Michael Hagedorn michael.haged...@leoninum.org An: linuxmuster-user@lists.linuxmuster.net Hi, ABER ... ich hab hinten aus den beiden Kisten raus 4 Netzwerkkabel. DIE sind aber anscheinend so konfiguriert, dass sie EIN fettes Kabel darstellen Kann es sein, dass da sowas wie ein Bonding/Link Aggregation konfiguriert ist? Das geht zumindest unter Proxmox -- damit man die Bandbreite zum Server erhöhen kann. Ich habe keine Karte, die einer VM alleine gehört, das ist alles virtuell. Wenn's virtuelle Karten sind, kannst du aber eine hinzufügen für BLAU (zumindest unter Proxmox). Viel weiter kann ich dir leider nicht helfen, da wir bei uns eine 4-fach-NIC eingebaut haben, die nun ROT-GRÜN-BLAU-ORANGE auf einer Karte zur Verfügung stellt. Accespoint steckt an Switch und ist damit einmal im Managementnetz der Controller und in einem VLAN Das muss sich aber dann wiederum einer weiteren virtuellen NIC zuordnen lassen?? Tja ... und jetzt ? ESXi-Profis hier? Michael -- Systemdaten: - virtualisiert mit Proxmox 2.3 - linuxmuster.net 6.0.46 - IPFire 2.15 - Linbo 2.1.10-0 - Ubuntu 12.04 und 14.04 Clients - leoclient1 mit WinXP im offline-Modus - Moodle 2.7 (extern mit LDAPS und openLML-Modul) ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] IP-Bereiche Coova
Hi, s einfach ist es nun nicht, den Schulträger rauszuwerfen :) Ich hab halt das Problem, dass das 172.16er Netz für mich aktuell verboten ist. Die gesamte Verwaltung umstellen geht aber auch nicht. Ich hab grad versucht, die Config von Linuxmuster nachzuvollziehen. Die 172.16 ist aber ziemlich tief in die Scripte geschraubt - zumindest bei einer fertigen Installation. Wenn es nicht einen Modify-Schalter gibt, wird das wohl nichts werden, mit der Änderung der Ranges :( Und nicht über eine vorhandene Firewall ist gut Die Konfig ist eben: Inet Router Firewall --|-- VSphere Verwaltung und auf der VSphere läuft das gesamte System Es gibt keinen Weg dran vorbei ... Mir gehört eben nur die Welt Oben auf der VSphere. Das bestehende Verwaltungsnetz kommt mit der 172.16.x.x zwischen Firewall und vsphere rein ... Tja Sch... -Original-Nachricht- Betreff: Re: [lmn] IP-Bereiche Coova Datum: Wed, 19 Nov 2014 23:05:44 +0100 Von: Jörg Richter m...@jrichter.de An: Discussions about using linuxmuster.net linuxmuster-user@lists.linuxmuster.net Hallo Wolfgang, Am 19.11.2014 um 22:56 schrieb Wolfgang Höfer hoeferw...@t-online.de: Liebe Liste, nochmal eine Frage zu coova und Co ... Problem: Trotz ganz gründlicher Schilderung der Bedürfnisse, hat es die die EDV-Abteiung des Schulträgers nicht geschafft, die Virtualisierungsumgebung so einzurichten, dass ich die IP-Bereiche für den Chilli verwenden kann, die in der Doku stehen. Ich habe das 10.16er Netz und bräuchte (laut Doku) das 172.16.16.x für Blau das 172.16.17.x für Orange das 172.16.18.x für vpn Nun ist aber das 172.16.x.x für mich zum TABU erklärt worden. (Das hat das Verwaltungsnetz, das läuft über die gleiche Firewall, .) Gibt es einen Weg, die Konfig so zu ändern, dass generell z.B. 172.17.x.x für blau, orange, vpn verwendet wird? Zumindest für Blau mit Coovachilli ist das nicht erforderlich, es ist ein separates Netz, dass ausschließlich die Verbindung zwischen dem IPFire und dem Coovachilli bereitstellt. Es ist keine physikalische Karte erforderlich, erst recht muss (und sollte!) es nicht über eine ansonsten vorhandene Firewall laufen. Wenn die Firma das nicht einrichten kann, schmeiß sie raus. Außerdem (so weit bin ich noch nicht in der Doku) Wer liefert die IP's für die WLAN-Clients? Es kann ja nicht sein, dass nur der Bereich 172.16.16.1 - 172.16.16.253 versorgt wird, oder? Die liefert der Coovachilli, es ist ein 192.168er-Netz. Viele Grüße Jörg Richter ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] IP-Bereiche Coova
Hallo Wolfgang, ABER ... ich hab hinten aus den beiden Kisten raus 4 Netzwerkkabel. DIE sind aber anscheinend so konfiguriert, dass sie EIN fettes Kabel darstellen ( so weit ich das verstanden hab) Da drüber läuft der gesamte Traffic, der auf den VSpheres entsteht (in VLANS eingsperrt, wie auch immer) Die kommen dann auf einen Switch und werden dort erst wieder auseinandersortiert. Mit anderen Worten Ich habe keine Karte, die einer VM alleine gehört, das ist alles virtuell. Ich kann den Auftrag erteilen, dass eine Virtuell NIC, einem Netzwerk auf der VSphere zugeordnet wird. DIESES Netzwerk wird dann als eigenes VLAN an die Switche im Haus kommuniziert. also haben die 4 GB Links zum Backbone Switch gebündelt: vielleicht sogar 2 als Backup und zwei zur Leistungssteigerung. Die einzelnen Netze werden per VLANs an den Switch weitergegeben: gute Setup: das haben die ordentlich gemacht. Damit brauchst du auch keien weitern Netzwerkkarten. Was du brauchst ist: 1) ein interner virtueller switch der die Blaue IPFire Netzwerkkarte mit dem Roten Interface des Coova verbindet. Das ist das von mir Balu genannte Netzwerk. 2) ein weiteres VLAN in dem die WLAN zugewante Karte des Coova steckt. Wenn das geht, mußt du nurnoch alle Ports im Haus an denen APs hängen dem neuen VLAN zuordnen. VIele Grüße Holger -- Mein öffentlicher PGP-key ist hier hinterlegt: pool.sks-keyservers.net ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] IP-Bereiche Coova
Hallo Wolfgang, sorry, dass ich deine ASCII-Art umbreche :) Am 19.11.2014 um 23:15 schrieb Wolfgang Höfer: Hi, s einfach ist es nun nicht, den Schulträger rauszuwerfen :) Ich hab halt das Problem, dass das 172.16er Netz für mich aktuell verboten ist. Die gesamte Verwaltung umstellen geht aber auch nicht. Lies nochmal Holgers Mail: Du musst gar nicht auf 172.16.x umstellen, wenn es nur um choovachilli geht. Die Verbindungen nach außerhalb deines Vspheres wären bloß 192.168.* und 10.16.* Aber ich verstehe irgendwie, dass deine virtuelle Verbindung die zwischen server und choovachilli auf 172.16. laufen muss vermutlich zwangsläufig über vsphere geht. Ich versuche nachzuvollziehen: Unter KVM erstelle ich auf dem VM-Host eine virtuelle Bridge br4 um server und chilli zu verbinden, darf aber hier das 172.16.16.x Netzwerk nicht verwenden, weil irgend eine andere bridge das Segment schon belegt hat. Ich hoffe Jesko kann noch helfen. Grüße, Tobias Ich hab grad versucht, die Config von Linuxmuster nachzuvollziehen. Die 172.16 ist aber ziemlich tief in die Scripte geschraubt - zumindest bei einer fertigen Installation. Wenn es nicht einen Modify-Schalter gibt, wird das wohl nichts werden, mit der Änderung der Ranges :( Und nicht über eine vorhandene Firewall ist gut Die Konfig ist eben: Inet Router Firewall --|-- VSphere Verwaltung und auf der VSphere läuft das gesamte System Es gibt keinen Weg dran vorbei ... Mir gehört eben nur die Welt Oben auf der VSphere. Das bestehende Verwaltungsnetz kommt mit der 172.16.x.x zwischen Firewall und vsphere rein ... Tja Sch... -Original-Nachricht- Betreff: Re: [lmn] IP-Bereiche Coova Datum: Wed, 19 Nov 2014 23:05:44 +0100 Von: Jörg Richter m...@jrichter.de An: Discussions about using linuxmuster.net linuxmuster-user@lists.linuxmuster.net Hallo Wolfgang, Am 19.11.2014 um 22:56 schrieb Wolfgang Höfer hoeferw...@t-online.de: Liebe Liste, nochmal eine Frage zu coova und Co ... Problem: Trotz ganz gründlicher Schilderung der Bedürfnisse, hat es die die EDV-Abteiung des Schulträgers nicht geschafft, die Virtualisierungsumgebung so einzurichten, dass ich die IP-Bereiche für den Chilli verwenden kann, die in der Doku stehen. Ich habe das 10.16er Netz und bräuchte (laut Doku) das 172.16.16.x für Blau das 172.16.17.x für Orange das 172.16.18.x für vpn Nun ist aber das 172.16.x.x für mich zum TABU erklärt worden. (Das hat das Verwaltungsnetz, das läuft über die gleiche Firewall, .) Gibt es einen Weg, die Konfig so zu ändern, dass generell z.B. 172.17.x.x für blau, orange, vpn verwendet wird? Zumindest für Blau mit Coovachilli ist das nicht erforderlich, es ist ein separates Netz, dass ausschließlich die Verbindung zwischen dem IPFire und dem Coovachilli bereitstellt. Es ist keine physikalische Karte erforderlich, erst recht muss (und sollte!) es nicht über eine ansonsten vorhandene Firewall laufen. Wenn die Firma das nicht einrichten kann, schmeiß sie raus. Außerdem (so weit bin ich noch nicht in der Doku) Wer liefert die IP's für die WLAN-Clients? Es kann ja nicht sein, dass nur der Bereich 172.16.16.1 - 172.16.16.253 versorgt wird, oder? Die liefert der Coovachilli, es ist ein 192.168er-Netz. Viele Grüße Jörg Richter ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] IP-Bereiche Coova
Hallo Wolfgang, Und nicht über eine vorhandene Firewall ist gut Die Konfig ist eben: Inet Router Firewall --|-- VSphere Verwaltung .. aber das läuft doch nicht über die Firewall: nach außen tritt der IPFire doch nur mit seiner externen IP auf. Und die ist eine 172.16.x.y ? OK: dann geht das schief, weil der IPFire zwei Netzwerkkarten im 172.16.x.y Netz hätte. Vorschlag zur Güte: mach ein Vollbackup! (Snapshot im ESX) Und weil wir paranoid sind: mach noch ein linuxmuster-migration-backup und dann lass linuxmuster-setup --modify laufen Lass alle Werte so wie sie sind: nur wähl im IP Adressbereich 32 statt 16 aus. Eine solche Umstellung hab ich noch nicht gemacht, aber das könnte klappen ... VIele Grüße Holger -- Mein öffentlicher PGP-key ist hier hinterlegt: pool.sks-keyservers.net ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] IP-Bereiche Coova
Hallo Holger, Am 19.11.2014 um 23:58 schrieb Holger Baumhof: Hallo Wolfgang, Und nicht über eine vorhandene Firewall ist gut Die Konfig ist eben: Inet Router Firewall --|-- VSphere Verwaltung .. aber das läuft doch nicht über die Firewall: nach außen tritt der IPFire doch nur mit seiner externen IP auf. Und die ist eine 172.16.x.y ? OK: dann geht das schief, weil der IPFire zwei Netzwerkkarten im 172.16.x.y Netz hätte. Vorschlag zur Güte: mach ein Vollbackup! (Snapshot im ESX) Und weil wir paranoid sind: mach noch ein linuxmuster-migration-backup und dann lass linuxmuster-setup --modify laufen Lass alle Werte so wie sie sind: nur wähl im IP Adressbereich 32 statt 16 aus. Eine solche Umstellung hab ich noch nicht gemacht, aber das könnte klappen ... Hab ich auch überlegt, aber nachgelesen: Dann kriegt BLAU 172.16.32.x statt 172.16.16.x. Das hilft ihm nicht weiter, wenn 172.16. gesperrt ist. Sorry, Tobias VIele Grüße Holger ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] IP-Bereiche Coova
Hab ich auch überlegt, aber nachgelesen: Dann kriegt BLAU 172.16.32.x statt 172.16.16.x. Das hilft ihm nicht weiter, wenn 172.16. gesperrt ist. Sorry, Tobias :-( schnüff, es wäre so einfach gewesen .. -- Mein öffentlicher PGP-key ist hier hinterlegt: pool.sks-keyservers.net ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] IP-Bereiche Coova
Ich gehe mittlerweile davon aus, dass ich das gesamte Verwaltungsnetz umkonfigurieren darf Ist eventuell sicherer als hier groß Experimente zu veranstalten :( Im Prinzip genügt es, die ins 172.20.x.x zu verfrachten. Die Maschinen mit DHCP sollten das fast selber machen - was bleibt sind Server, Nas, Drucker, Na ja ... wer braucht schon ein Wochenende für sich -Original-Nachricht- Betreff: Re: [lmn] IP-Bereiche Coova Datum: Thu, 20 Nov 2014 00:11:00 +0100 Von: Holger Baumhof holger.baum...@web.de An: Discussions about using linuxmuster.net linuxmuster-user@lists.linuxmuster.net Hab ich auch überlegt, aber nachgelesen: Dann kriegt BLAU 172.16.32.x statt 172.16.16.x. Das hilft ihm nicht weiter, wenn 172.16. gesperrt ist. Sorry, Tobias :-( schnüff, es wäre so einfach gewesen .. -- Mein öffentlicher PGP-key ist hier hinterlegt: pool.sks-keyservers.net ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
