Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
... hab's ins WIKI gestellt Verbesserungen / Änderungen ? http://www.linuxmuster.net/wiki/anwenderwiki:benutzerrechner:wlan:coovachilli-disconnect ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
Hi Michael, Ich bin aber schon ganz froh, dass die Unifi-Software so genial ist! Die hat ja wirklich alles an Bord... Wir hatten es in dem Thread linuxmuster.net XenServer-Appliance schon davon, dass wir zu dem Unifi-System eine LDAP-Authentifizierung hinzugefügt haben. Ja, das hattest du erzählt -- aber damals war es imho noch nicht ganz fertig bzw stand es noch nicht zum dl bereit??? Die Grundfunktion war recht schnell fertig. Wir hatten aber noch ein paar Anpassungen gemacht, welche sich in der Praxis als nützlich erwiesen haben. Dazu gehört z.B. das Logging der Anmeldungen (nicht die Verbindungsdaten! wie es meines Wissens bei Cova gemacht wird??) Wenn es jetzt fertig ist, gibt es seit ein paar Sekunden scheinbar zwei Lösungen :) :) .oO(Hättest du nicht zwei Tage eher schreiben können :) ) Ich denke Cova ist eine sehr gute Sache - vor allem weil es WLAN-AP unabhängig ist. Wer jedoch Unifi im Einsatz hat kann es vielleicht mit den Bordmitteln und diesen Tools etwas geschickter lösen. Wie wird bei deiner Lösung die Freigabe für die Schüler geregelt? Auch über die Schulkonsole?? In der main.cfg kann man zwei Gruppen angeben welche Zugriff bekommen. Standard ist p_wifi und teachers siehe: www.netzint.de/download/UnfiAuth-maincfg.PNG - somit ist die Steuerung über die Schuko möglich. Da wir Lehrer und Schüler WLAN trennen ist es möglich, dass ein Lehrer das WLAN der Schüler von überall aus steuern kann. Schuleigene Geräte kommen bei uns ins Grüne Netzwerk und brauchen sich nicht anmelden (die Notebooks aus der Workstations Datei werden Automatisch Autorisiert), da sonst eine Betriebssystem Anmeldung nicht funktioniert. Du kannst es ja gerne mal testen. Ich sende dir das .deb auch via Email - dann brauchst du unser Repo nicht hinzufügen. Cava würdest du dann nicht mehr brauchen. Jetzt läuft es gerade habt ihr schon Massentests mit eurer Lösung gefahren?? Ja es wird schon Produktiv verwendet in recht großen Umgebungen. ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
Hier nochmal der Anmeldeschirm welcher dann erscheint: http://www.netzint.de/download/UnifiLDAPAuthScreen.JPG Sieht schick aus! kommerzielle lösungen sollten auch schick aussehn ;-) Wir haben es zwar als Firma entwickelt.. aber das heißt noch lange nicht, dass es auch kommerziell vertrieben wird :-) Viele Grüße, Maurice Cazautet NetzInt OHG Office: +49 (0) 7723 8739750-2 Web: http://www.netzint.de -Ursprüngliche Nachricht- Von: linuxmuster-user [mailto:linuxmuster-user-boun...@lists.linuxmuster.net] Im Auftrag von jonny Gesendet: Montag, 18. Mai 2015 04:32 An: Discussions about using linuxmuster.net Betreff: Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein! Hier nochmal der Anmeldeschirm welcher dann erscheint: http://www.netzint.de/download/UnifiLDAPAuthScreen.JPG Sieht schick aus! kommerzielle lösungen sollten auch schick aussehn ;-) jonny ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
Ich hab das parsen des radiussecrets noch ein wenig verbessert, sag Saubere Sache! Versionsnummer erhöht? :)) Schön, dass dieses Riesenproblem jetzt aus der Welt ist! Michael ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
Hallo Michael, danke für deine Arbeit. Die Einrichtung des Chillis ist eines meiner nächsten Projekte ... Zum Artikel: Nach Wenn man von einem anderen Server auf den Coovachilli zugreifen möchte, muss man sich tiefer einlesen, etwa unter: fehlt die Stelle, wo man sich einlesen kann. Viele Grüße, Sven On Mon, 18 May 2015 17:37:36 +0200 Michael Hagedorn michael.haged...@leoninum.org wrote: ... hab's ins WIKI gestellt Verbesserungen / Änderungen ? http://www.linuxmuster.net/wiki/anwenderwiki:benutzerrechner:wlan:coovachilli-disconnect ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
Moin Michael, so ein Skript sollte ja nun auch auf anderen - korrekt konfigurierten - System funktionieren und nicht nur auf deinem. Zumindest mein Anspruch wäre das ;-) Im übrigen habe ich noch ein paar andere Verbesserungen eingebracht (Befolgung von Don't Repeat Yourself/Single Responsibility Principle/Separation of concerns durch Extrahieren der Kommandos in Funktionen) VG Yannik Am 18.05.2015 um 19:54 schrieb Michael Hagedorn: Ich hab das parsen des radiussecrets noch ein wenig verbessert, sag Saubere Sache! Versionsnummer erhöht? :)) Schön, dass dieses Riesenproblem jetzt aus der Welt ist! Michael ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
Hi. so ein Skript sollte ja nun auch auf anderen - korrekt konfigurierten - System funktionieren und nicht nur auf deinem. Zumindest mein Anspruch wäre das ;-) Ja -- das war so gedacht. Sonst hätte ich es kaum ins Wiki gepackt?! :) Wo siehst du denn ein Problem damit? Im übrigen habe ich noch ein paar andere Verbesserungen eingebracht Wunderbar! Es wird immer besser. Mit funktions ist es gleich doppelt so elegant! Michael ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
Am 18.05.2015 um 20:51 schrieb Michael Hagedorn: Ja -- das war so gedacht. Sonst hätte ich es kaum ins Wiki gepackt?! :) Wo siehst du denn ein Problem damit Moin, jetzt sollte es durch meine Änderung diesbezgl. keine Probleme mehr geben. VG ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
Hi. jetzt sollte es durch meine Änderung diesbezgl. keine Probleme mehr geben. Ja, ganze Arbeit! Ich erkenne es kaum wieder :) Danke nochmal für deine Mithilfe! (ich habe übrigens noch ein -e bei den echo-Befehlen ergänzt -- ohne ging es nicht bzw hat es einfach ein \n hingeschrieben ...) Morgen kann ich evtl mal einen Großtest mit einer ganzen Klasse im WLAN fahren. Die freuen sich, wenn sie WLAN-Versuchskaninchen spielen dürfen Das Filter-Problem ist bei uns nach wie vor ungelöst, so dass alle mitten im sog. Unterricht vollen Zugriff auf Facebook und Co haben ... Schön, wenn ich dem Spuk mit diesem Script nun schnell jederzeit ein Ende bereiten kann :) :) Michael ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
... nur noch eine Ergänzung/Idee ... wäre es nicht schön, wenn das Script auch gleich den Reset von p_wifi auf dem Server (ssh) übernehmen könnte?? Dann hätte man zwei Fliegen mit einer Klappe: http://www.linuxmuster.net/wiki/anwenderwiki:benutzerrechner:wlan:coovachilli-usermanagement Michael ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
Hi, Ja, ganze Arbeit! Ich erkenne es kaum wieder :) Danke nochmal für deine Mithilfe! Kein Problem. (ich habe übrigens noch ein -e bei den echo-Befehlen ergänzt -- ohne ging es nicht bzw hat es einfach ein \n hingeschrieben ...) Stimmt, diese schöne Eigenheit hatte ich vergessen. Das Filter-Problem ist bei uns nach wie vor ungelöst, so dass alle mitten im sog. Unterricht vollen Zugriff auf Facebook und Co haben ... Schön, wenn ich dem Spuk mit diesem Script nun schnell jederzeit ein Ende bereiten kann :) :) Bei BYOD kann man da technisch auch nicht wirklich was machen. Eine (hoffentlich halbwegs legale - IANAL) Lösung, welche die meisten Schüler ausbremsen würde wäre eine Manipulation der DNS-Replies. Du kannst ja mal einen Blick auf http://www.linuxmuster.net/forum/forum.php?req=threadid=762 werfen. Mit der dort geschilderten Methode ließe sich auch Facebook im DNS auf eine nicht existierende oder lokale IP umleiten. Viele Grüße Yannik ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
Hallo, folgendes funktioniert auf meinem Server nach kurzen Tests. Hm ... hier läuft der coovachilli in einer eigenen Proxmox-VM -- also beides zusammen: freeradius chilli (localhost) In der Startdatei des chilli, also bei mir: /etc/init.d/chilli DAEMON_ARGS=--coaport 3779 Habe ich geändert. und dann im Startbefehl ergänzen: /usr/bin/chilli ... $DAEMON_ARGS ... Da bin ich nicht ganz sicher, welche Stelle du meinst. Meine chilli-Datei aus init.d sieht am Anfang (jetzt) so aus: root@linuxmuster-chilli:/etc/init.d# cat chilli -- #! /bin/sh PATH=/sbin:/bin:/usr/sbin:/usr/bin #Selbst erweitert: (17.05.2015) DAEMON_ARGS=--coaport 3779 DAEMON=/usr/sbin/chilli NAME=chilli DESC=chilli --- Meintest du das *so*? Wenn ich aus /usr/sbin/chilli ein /usr/sbin/chilli $DAEMON_ARGS mache, startet der chilli nicht einem Fehler: /etc/init.d/chilli: 6: /etc/init.d/chilli: --coaport: not found echo User-Name= | radclient -x ipfire:3779 disconnect sharedsecret Klappt weiterhin nicht -- aber es gibt eine Meldung in Logfile: tail /var/log/linuxmuster-chilli/coova-chilli.log May 17 11:04:19 linuxmuster-chilli coova-chilli[10551]: CoovaChilli(ChilliSpot) 1.3.0. Copyright 2002-2005 Mondru AB. Licensed under GPL. Copyright 2006-2012 David Bird (Coova Technologies) supp...@coova.com. Licensed under GPL. See http://www.coova.org/ for details. May 17 11:04:19 linuxmuster-chilli coova-chilli[10551]: tun.c: 605: TX queue length set to 100 May 17 11:04:19 linuxmuster-chilli coova-chilli[10556]: main-script.c: 94: Running /etc/chilli/up.sh (0/0) May 17 11:04:25 linuxmuster-chilli coova-chilli[10551]: radius.c: 1932: Received radius packet from wrong port 50744! Michael ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
Hi Michael, Ich bin aber schon ganz froh, dass die Unifi-Software so genial ist! Die hat ja wirklich alles an Bord... Wir hatten es in dem Thread linuxmuster.net XenServer-Appliance schon davon, dass wir zu dem Unifi-System eine LDAP-Authentifizierung hinzugefügt haben. Du kannst es ja gerne mal testen. Ich sende dir das .deb auch via Email - dann brauchst du unser Repo nicht hinzufügen. Cava würdest du dann nicht mehr brauchen. Hier nochmal der Anmeldeschirm welcher dann erscheint: http://www.netzint.de/download/UnifiLDAPAuthScreen.JPG Viele Grüße, Maurice Cazautet NetzInt OHG Office: +49 (0) 7723 8739750-2 Web: http://www.netzint.de -Ursprüngliche Nachricht- Von: linuxmuster-user [mailto:linuxmuster-user-boun...@lists.linuxmuster.net] Im Auftrag von Michael Hagedorn Gesendet: Samstag, 16. Mai 2015 18:04 An: linuxmuster-user@lists.linuxmuster.net Betreff: Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein! Hast Du auch gesehen, dass man das Anlegen der Voucher auf einen separaten Account delegieren kann? Nein - noch nicht. Doch auch dann gilt, dass die Kollegen einen seperaten Account kennen/behalten müssen ... und dass dieser sich uU wie ein Lauffeuer unter Schülern verbreiten könnte, wenn schlampig mit den Zugangsdaten umgegagnen wird. Sicher -- das kann auch mit einem normalen Lehrer-Login zur SchuKo geschehen, doch dann ist eindeutig nachweisbar wer's war. Bei einem seperaten Account wäre das imho nicht so einfach zurückverfolgbar. Ich bin aber schon ganz froh, dass die Unifi-Software so genial ist! Die hat ja wirklich alles an Bord... Und wenn's mit dem disconnect nix wird, kann man immernoch ein /etc/init.d/chilli restart per Cronjob machen; auch wenn ich die andere Lösung nach wie vor eleganter finde. (Es wäre (längerfristig) ja sogar denkbar, dass man in der SchuKo alle angemeldeten WLAN-User anzeigen läßt und diese per Button disconnecten kann... dann wäre die Lösung oben natürlich etwas zu grob) :) Michael ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
Wer hätte es gedacht ... Hartnäckigkeit zahlt sich aus :) Ich habe es (glaube ich) hingekriegt -- und zwar viel einfacher als vermutet. Unter: /etc/chilli/config habe ich hinzugefügt: #Selbst erweitert: HS_COAPORT=3779 Offenbar ist es so, dass die Konfigurationen main.conf und hs.conf bei jedem Start neu geschrieben werden und die Optionen dann eingetragen werden. Jedenfalls ist auf diese Weise die Option coaport unter hs.conf gelandet. Danach den chilli neu starten /etc/init.d/chilli restart Anschließend habe ich mich selbst angemeldet und konnte mich mit echo User-Name=NAME |radclient -x 127.0.0.1:3779 disconnect secret disconnecten! (Übrigens klappt status auch weiterhin nicht ...! ) Man wird auch automatisch wieder auf die Portalseite umgeleitet, wenn man eine neue URL eintippt. Also klappt es offenbar tatsächlich! Jetzt kann man ja relativ einfach ein Script basteln, welches in den Pausen alle Usernamen aus coova_status herausfiltert und deren Verbindungen automatisch beendet. Problem gelöst?!? Michael ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
in der Unifi-Webkonsole kannst Du auch Voucher erstellen. hat aber doch nicht das geringste mit der chillispot lösung zu tun. das unify system ist ja komplett was anderes eigenständiges. es ist eben das kommerzielle gegenstück zu chillispot. jonny ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
Hier nochmal der Anmeldeschirm welcher dann erscheint: http://www.netzint.de/download/UnifiLDAPAuthScreen.JPG Sieht schick aus! kommerzielle lösungen sollten auch schick aussehn ;-) jonny ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
Michael Hagedorn schrieb: Hallo, folgendes funktioniert auf meinem Server nach kurzen Tests. Hm ... hier läuft der coovachilli in einer eigenen Proxmox-VM -- also beides zusammen: freeradius chilli (localhost) NUR deshalb klappt das ganze bei dir auch so problemlos, ohne daß du weitere sachen ändern musst, da in der openml radius und nas immer auf derselben maschine laufen und die nas nicht extern oder gar hinter ner firewall oder nat laufen. aber das ist ja die hauptsache :-) du musst nun nurnoch beachten, daß dein script auf der radius vm ausgeführt werden muss... jonny ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
Michael Hagedorn schrieb: Falls hier noch einer mitliest... hier fragte 2013 einer eine ähnliche Frage --- und wird am Ende mit ban/unsubscribe usw bedroht... hoffe, dass mir hier nicht das gleiche Schicksal blüht :) :) http://lists.freeradius.org/pipermail/freeradius-users/2013-March/065521.html jonny hat's ja schon richtig auf den Punkt gebracht: Die Konfiguration ist nicht trivial -- und JA: ich sehe es ein! lach. im gegensatz zu dir hat der poster dort aber den tipp den coa port zu öffnen, damit der disconnect klappt, nicht verstanden/beachtet... jonny ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
Am Samstag, 16. Mai 2015, 22:53:18 schrieb Dirk Zöllner: Am 16.05.2015 um 19:55 schrieb Michael Hagedorn: Falls hier noch einer mitliest... hier fragte 2013 einer eine ähnliche Frage --- und wird am Ende mit ban/unsubscribe usw bedroht... hoffe, dass mir hier nicht das gleiche Schicksal blüht :) :) http://lists.freeradius.org/pipermail/freeradius-users/2013-March/065521.h tml http://www.coova.org/node/1453 + http://lists.freeradius.org/pipermail/freeradius-users/2013-March/065527.htm l Hallo, folgendes funktioniert auf meinem Server nach kurzen Tests. In der Startdatei des chilli, also bei mir: /etc/init.d/chilli DAEMON_ARGS=--coaport 3779 und dann im Startbefehl ergänzen: /usr/bin/chilli ... $DAEMON_ARGS ... (bei mir läuft der Radiusserver auf linuxmuster.net und der coovachilli auf dem ipfire) /etc/init.d/chilli stop / start und dann auf dem linuxmuster.net-Server: echo User-Name= | radclient -x ipfire:3779 disconnect sharedsecret Es erscheint auf linuxmuster.net: Sending Disconnect-Request of id 188 to 10.16.1.254 port 3779 User-Name = rad_recv: Disconnect-NAK packet from host 10.16.1.254 port 3779, id=188, length=20 Es erscheint im chilli.log: radius.c: 1898: 0 (Debug) Received RADIUS packet id=188 chilli.c: 4758: 0 (Debug) Received coa or disconnect request chilli.c: 4782: 0 (Debug) Looking for session [username=,sessionid=all] Das sieht für mich so aus, als ob der disconnect durchkommt. Gruß, Frank ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
Am 16.05.2015 um 14:01 schrieb Michael Hagedorn: Wer ist denn Maintainer des open-lml-CoovaChilli? Der/die müsste(n) es ja wissen, wie man die Verbindungen reseten kann... aus der https://www.linuxmuster.net/wiki/_media/linuxmusternet:downloads:iso:linuxmuster-chilli_0.1.18_i386.deb Maintainer: Frank Schiebel fr...@linuxmuster.net ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
Maintainer: Frank Schiebel Oh -- super! Bleibt die Frage, ob er hier mitliest, oder ob eine PM weiterhelfen würde. Ich warte zunächst die freien Tage und und entscheide dann... Michael ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
Falls hier noch einer mitliest... hier fragte 2013 einer eine ähnliche Frage --- und wird am Ende mit ban/unsubscribe usw bedroht... hoffe, dass mir hier nicht das gleiche Schicksal blüht :) :) http://lists.freeradius.org/pipermail/freeradius-users/2013-March/065521.html jonny hat's ja schon richtig auf den Punkt gebracht: Die Konfiguration ist nicht trivial -- und JA: ich sehe es ein! Michael ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
Am 16.05.2015 um 19:55 schrieb Michael Hagedorn: Falls hier noch einer mitliest... hier fragte 2013 einer eine ähnliche Frage --- und wird am Ende mit ban/unsubscribe usw bedroht... hoffe, dass mir hier nicht das gleiche Schicksal blüht :) :) http://lists.freeradius.org/pipermail/freeradius-users/2013-March/065521.html http://www.coova.org/node/1453 + http://lists.freeradius.org/pipermail/freeradius-users/2013-March/065527.html ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
Am 16.05.2015 um 14:01 schrieb Michael Hagedorn: Settings - Guest Control Enable Guest Portal Ja, *ich* kann das ... aber die Kollegen nicht. Daher finde ich die Lösung via SchuKo nach wie vor besser für die Schule geeignet. Hast Du auch gesehen, dass man das Anlegen der Voucher auf einen separaten Account delegieren kann? ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
Settings - Guest Control Enable Guest Portal Ja, *ich* kann das ... aber die Kollegen nicht. Daher finde ich die Lösung via SchuKo nach wie vor besser für die Schule geeignet. Wer ist denn Maintainer des open-lml-CoovaChilli? Der/die müsste(n) es ja wissen, wie man die Verbindungen reseten kann... Michael ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
Moin -- [etwas später] :-) ja, wenn du dich zum radiusfachmann machst, solltest du vorher die momentane config des openml radius beim maintainer erfragen. Vermutlich hat du Recht ... einen kleinen Schritt weiter bin ich gekommen -- viel hilft das aber noch nicht: Wenn man beispielhaft (wie in der Anleitung gefordert) den User alice unter freeradius einträgt und neu startet, klappt schon mal dies: radtest alice passme 127.0.0.1 100 secret und liefert die Bestätigung Hello Alice! Geht man dann über zu radclient, funktioniert das ebenfalls: echo User-Name=alice,User-Password=passme | radclient 127.0.0.1 auth secret Sobald man aber aus auth z.B. status macht, kommt wieder keine Verbindung zustande - evtl hat Alice zu wenig Rechte? (radclient: no response from server ...) Es ist und bleibt etwas konfus und verwirrend und es wäre schön, wenn hier jemand Licht ins Dunkel bringen kann, denn dann wäre es nur noch ein Klacks bis zum disconnect :) P.S.: Ich habe alle Änderungen wieder auskommentiert und rückgängig gemacht. War bisher nur zu Testzwecken... Michael ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
Hallo Michael, Am 14.05.2015 um 09:30 schrieb Michael Hagedorn: für schüler habe ich einmal one time tickets, die sich genau einmal einloggen können und dann für maximal 45 minuten online sein dürfen, Interessante Möglichkeiten, die sich da auftun -- und das hast du ebenfalls alles mit einem coovachilli realisiert?? in der Unifi-Webkonsole kannst Du auch Voucher erstellen. Settings - Guest Control Enable Guest Portal unten: Hotspot Operator Go to Hotspot Manager https://IP:8443/hotspot Tab Vouchers One-Time oder Multi-use bel. Zeitdauer Dirk ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
Hi jonny. für schüler habe ich einmal one time tickets, die sich genau einmal einloggen können und dann für maximal 45 minuten online sein dürfen, Interessante Möglichkeiten, die sich da auftun -- und das hast du ebenfalls alles mit einem coovachilli realisiert?? Ich finde es allerdings gerade gut, dass die SuS ihren ganz normalen Login benutzen können und nicht noch weitere Logins bekommen. Zudem sehe ich schon Kollege XY überfordert, wenn er zunächst zeitlich limitierte Logins verteilen muss, bevor die Schüler loslegen können... für dich käme da am ehesten eine kombination aus 1 und 2 in frage. Den disconnect-Befehl habe ich gerade mal ausprobiert ... - echo User-Name=94-D7-5D-4C-FC-A3 | radclient -x 127.0.0.1:3997 disconnect und-hier-noch-das-RADClient-Secret-aus-der-chilli.conf?? Sending Disconnect-Request of id 24 to 127.0.0.1 port 3997 User-Name = 94-D7-5D-4C-FC-A3 radclient: no response from server for ID 24 socket 3 - (der radlast-Befehl funktioniert übrigens gut!) Wenn's mit dem Befehl klappt, wäre das ein brauchbare Lösung, meine ich?! Damit könnte man in allen Pausen sämtliche Schüler-Verbindungen kappen und fertig Michael ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
hi, Jedenfalls habe ich gerade diese Anlaufstelle gefunden ... https://www.packtpub.com/books/content/getting-started-freeradius :-) ja, wenn du dich zum radiusfachmann machst, solltest du vorher die momentane config des openml radius beim maintainer erfragen. jonny ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
opendns ist, wie jede sperre die über einen fakenden dns stattfindet, ein ziemlich trügerischer schutz Ja, das dachte ich mir schon ... denn irgendwie müssen die das httpS ja wieder auflösen/verhindern/entschlüsseln/$whatever?!? mir fallen auf anhieb mindestens 3 möglichkeiten ein, eine dns sperre zu umgehen. Mir nicht ... und den Schülern sicher auch nicht ... und ohne root-Rechte??? Also ich sehe es sportlich: Wer von den Schülern in der Lage ist, diese Sperre wieder umzubiegen oder aufzuheben, der sollte sich als 2. Admin bei mir bewerben und mir helfen. Dann kann er seine Kreativität und sein Können sinnvoll(er) einsetzen. Aber nochmal: OpenDNS funktioniert immerhin so gut, dass wir seit mehreren Jahren überhaupt keinen Stress mehr mit Facebook und Co. haben. Alle (?) anderen Lösungen kamen mir immer wie das Hase-Igel-Spiel vor... Michael ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
Aber nochmal: OpenDNS funktioniert immerhin so gut, dass wir seit mehreren Jahren überhaupt keinen Stress mehr mit Facebook und Co. haben. Alle (?) anderen Lösungen kamen mir immer wie das Hase-Igel-Spiel vor... aus datenschutzgründen betreibe ich meinen filternden nameserver lieber selbst. das konzept ist aber dasselbe wie bei opendns. bei mir ist es so, daß der schüler beim aufruf einer facebook domain auf einer webseite landet, die ihm mitteilt, daß der aufruf von facebook aus dem schulnetz nicht erlaubt ist und dass dieser versuch mit seinem namen geloggt wurde. opendns spielt übrigens genauso hase und igel. nur sind sie dank großen resourcen, eben ein schneller hase :) jonny ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
hi, Ich habe macauth=on gestellt, damit einige User ohne Auth. online sind. Diese werden dann tatsächlich per Mac-Adresse angezeigt! Daher ist die ich empfehle, macauth möglichst NICHT zu benutzen! die mac ist ein sehr sehr SEHR einfach zu fakendes merkmal. Syntax so richtig, meine ich?!? Das Problem ist im Moment eher, dass der ja, wenn dein user so heißt, wie angezeigt... Server gar nicht reagiert. Ich tippe auf einen falschen Port ... habe allerdings auch schon erfolglos 1812/1813/3990/4990 ausprobiert... hört er denn überhaupt auf diesem interface, dieser ip und diesem port? das ist alles sehr stark von den einstellungen in der config ab. und bei diesen kann ich dir nicht helfen, da ich keinen openml chilli laufen habe. die radius config für sowas ist nicht trivial! Ist denn das secret richtig? Auch da gibt es mehrere Einträge in den configs... wenn du nur einen radiusserver hast, gibt es im normalfall auch nur ein radsecret pro clientklasse. und ich nehme stark an, daß du keinen multiclient server betreibst :) also ist vermutlich das secret in all deinen configs dasselbe. (der radlast-Befehl funktioniert übrigens gut!) hm, der radlast befehl ist m.e. der falsche. ich würde da eher von radwho ausgehen... den hatte ich zwischenzeitlich auch schon entdeckt --- erhalte damit aber: radwho: Error reading /var/log/freeradius/sradutmp: No such file or directory dann ist der radius nicht dafür ausgelegt. wenn du glück hast, genügt ein touch /var/log/freeradius/sradutmp den benutzer solltest du bei der datei radwtmp abgucken, doer es mal mit 777 als flags versuchen. und natürlich radius neu starten... und logfiles lesen!! ja, natürlich. wenn disconnect mit den chilli clients klappt, kann man ein einfachstes shellscript schreiben, Eine Vorlage war schnell gefunden: http://stackoverflow.com/questions/25178679/how-to-monitor-if-radclient-packet-disconnection-has-been-successful-received hm, ja. das script ist das trivialste dabei. schau erstmal, daß dein coovaclient disconnect kann. es gibt da noch jede menge weitere fallstricke. zauberworte sind hierbei wohl noch coaport und ipcheck. radius nimmt nämlich nicht einfach so von jedem seine befehle an... http://wiki.freeradius.org/Packet_of_Disconnect solltest du auch kennen. nochmal: es ist NICHT trivial. jonny ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
ps: bei mir hat radutmp übrigens user uns gruppe freerad und rechte 0600. ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
Hi. (schulkonsolen)skripte erzeugen lässt. aber zu erwarten, daß der openml chilispot maintainer das mal so eben in sein system einbaut und das dann auch noch supportet ist m.e. etwas viel verlangt. Sehe ich genauso ... das würde hier wahrscheinlich 99% der selbsternannten Admins überfordern (mich selbst eingeschlossen :)) - echo User-Name=94-D7-5D-4C-FC-A3 | radclient -x 127.0.0.1:3997 disconnect und-hier-noch-das-RADClient-Secret-aus-der-chilli.conf?? mal davon abgesehn, daß deine benutzernamen wohl nicht aus einer mac adresse bestehen werden (das beispiel stammt wohl aus einer macauth installation), scheint mir die grundsyntax korrekt. Ich habe macauth=on gestellt, damit einige User ohne Auth. online sind. Diese werden dann tatsächlich per Mac-Adresse angezeigt! Daher ist die Syntax so richtig, meine ich?!? Das Problem ist im Moment eher, dass der Server gar nicht reagiert. Ich tippe auf einen falschen Port ... habe allerdings auch schon erfolglos 1812/1813/3990/4990 ausprobiert... Ist denn das secret richtig? Auch da gibt es mehrere Einträge in den configs... (der radlast-Befehl funktioniert übrigens gut!) hm, der radlast befehl ist m.e. der falsche. ich würde da eher von radwho ausgehen... den hatte ich zwischenzeitlich auch schon entdeckt --- erhalte damit aber: radwho: Error reading /var/log/freeradius/sradutmp: No such file or directory ja, natürlich. wenn disconnect mit den chilli clients klappt, kann man ein einfachstes shellscript schreiben, Eine Vorlage war schnell gefunden: http://stackoverflow.com/questions/25178679/how-to-monitor-if-radclient-packet-disconnection-has-been-successful-received Michael ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
Hi. ich empfehle, macauth möglichst NICHT zu benutzen! die mac ist ein sehr sehr SEHR einfach zu fakendes merkmal. Ja, aber auch hier gilt: Dem Schüler, der das kann/weiß/umsetzt, gönne ich den Erfolg! Der Vorschlag kam übrigens direkt hier aus der Liste... zudem müsste der Schüler zunächst die Liste der zugelassenen MACs kennen. Sooo kritisch ist es also in diesem Fall nicht, meine ich. nochmal: es ist NICHT trivial. Ja, das merke ich auch gerade ... vielleicht gibt's ja doch noch Verstärkung hier aus der Liste!? Jedenfalls habe ich gerade diese Anlaufstelle gefunden ... https://www.packtpub.com/books/content/getting-started-freeradius Ich habe mal folgendes gemacht: echo User-Name=USERNAME | radclient -x localhost status secret (Das secret steht übrigens tatsächlich nochmal unter /etc/freeradius/clients.conf -- scheint also richtig zu sein!) Daraufhin wurde automatisch zum Port 1812 verbunden -- Sending Status-Server of id 229 to 127.0.0.1 port 1812 nach drei Versuchen war Schluss und es erschien wieder: radclient: no response from server for ID 120 socket 3 Es scheint aber so zu sein, wie auf der Seite beschrieben: Kein User unter /etc/freeradius/users wurde eingerichtet??? Jetzt habe ich leider keine Zeit mehr ... aber es geht (vermutlich) in die richtige Richtung... Michael ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
Hi. gerade habe ich mit Holgers Hilfe WLAN mit RADIUS-Authentifizierung im blauen Netz ohne CoovaChilli eingerichtet. Hm -- das wäre eine Alternative; allerdings läuft es jetzt ja gerade MIT dem CoovaChilli; da wollte ich eigentlich nicht alles wieder umkrempeln. Ist dort denn der Zugriff per p_wifi ebenfalls geregelt bzw für Gruppen/Klassen/$User an-/abschaltbar? Bei uns ist momentan im violetten/farblosen Netz wie gesagt kein Filtermechanismus aktiv. Die DNS-Server im CoovaChilli zeigen jedoch sehr wohl zu OpenDNS.com, so dass zumindest der Zugriff auf Facebook und co gesperrt sein müsste, was jedoch nicht der Fall ist?!? Ich schaue aber nochmal nach, ob der transp. Proxy auf blau aktiviert ist -- muss ja so sein, oder?? Das mit dem Rauswerfen ist eine interessante Geschichte ... Finde ich auch ... da muss unbedingt eine zuverlässige Regelung her, denn es wird ganz sicher in Zukunft ein gefragtes Feature sein, wenn das WLAN erstmal installiert ist und es sich herumgesprochen hat. Dass man den Chilli einfach beenden/neustarten kann ist klar aber schicke wäre nach wie vor eine andere Lösung. (In diesem Zshg.: Was genau macht das Tool chilli_rtmon (und wie kommt man da wieder raus?)) AccessPoints von Longshine generell für SchülerInnen freizuschalten würde es gnadenlos überfordern. Ich hatte gestern mit 20 Schülern, die gleichzeitig angemeldet waren, überhaupt keine Probleme. Es war überzeugend zu sehen, wie die Unifi-APs von sich aus direkt Load Balancing betrieben haben und alle Schüler gleichmäßig verteilt wurden. Das war ein wirklich guter Tipp hier aus der Liste!! Schönes langes WE mit möglichst wenigen Abi-Korrekturen! Michael ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
hi, nein. sie können 45 minuten lang weitersurfen, wenn sie sich kurz bevor du abschaltest einmal kurz aus und wieder einloggen. und wenn du ständig gesamt resets machst, werden sich alle andren benutzer freuen, daß sie ständig rausfliegen und sich neu anmelden dürfen. es gibt möglichkeiten, das per user festzulegen, ich habe das auch in meinem system drin, aber das in das linuxmuster chilli einzubauen, wäre eine (zu) große modifikation die ich nur einem profi empfehlen würde. sonst kann dir niemand mehr support geben (mal ganz davon abgesehn, daß es eine heidenarbeit wäre, die ganzen modifikationen haarklein zu erklären...). jonny Michael Hagedorn schrieb: da muss unbedingt eine zuverlässige Regelung her, ... ist vielleicht schon in Sicht: Schaut mal hier: http://coova.org/CoovaChilli/chilli.conf Wie wäre es mit den Optionen -- defsessiontimeout seconds Default session timeout (max session time) unless otherwise set by RADIUS (defaults to 0, meaning unlimited). defidletimeout seconds Default idle timeout (max idle time) unless otherwise set by RADIUS (defaults to 0, meaning unlimited). --- Wenn man das auf ~45 Min. setzt, müsste man doch bereits alles geritzt sein?!? So können die Schüler am Ende einer Stunde maximal noch ein paar Min. weitersurfen... (vorausgesetzt, dass der Zugang relativ schnell am Stundenanfang erteilt wurde)!? Michael ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
da muss unbedingt eine zuverlässige Regelung her, ... ist vielleicht schon in Sicht: Schaut mal hier: http://coova.org/CoovaChilli/chilli.conf Wie wäre es mit den Optionen -- defsessiontimeout seconds Default session timeout (max session time) unless otherwise set by RADIUS (defaults to 0, meaning unlimited). defidletimeout seconds Default idle timeout (max idle time) unless otherwise set by RADIUS (defaults to 0, meaning unlimited). --- Wenn man das auf ~45 Min. setzt, müsste man doch bereits alles geritzt sein?!? So können die Schüler am Ende einer Stunde maximal noch ein paar Min. weitersurfen... (vorausgesetzt, dass der Zugang relativ schnell am Stundenanfang erteilt wurde)!? Michael -- Systemdaten: - virtualisiert mit Proxmox 2.3 - linuxmuster.net 6.0.46 - IPFire 2.15 - Linbo 2.1.10-0 - Ubuntu 14.04 Clients (trusty714-Vorlage) - leoclient1 mit WinXP im offline-Modus - Moodle 2.7.8 (extern mit LDAPS und openLML-Modul) - WLAN: Unifi-APs (UAP-AC) am CoovaChilli - Info-Boards: tabula.info Server + RasPi-Clients ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
schau dir den disconnect befehl an. Könnte in die richtige Richtung gehen ... http://coova.org/node/3783 Sonst hat hier keiner bisher das Problem?? Oder seht ihr's so gelassen wie Holger?? Michael ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
Hallo Michael [...] Gruß Jürgen Am 13.05.2015 um 18:56 schrieb Michael Hagedorn: Hi. Sieht also so aus :-) Ok -- dann kommt es evtl in Frage :) Was hat das mit OpenDNS.com zu tun? Kennen die Facebook nicht? Die können httpS:// blocken -- deshalb läuft hier alles über OpenDNS. Wir haben seitdem in der Schule keinen Stress mit FB! Ja. Ob transparent oder nicht, hängt davon ab, ob Du den Proxy auf den transparent ist eingeschaltet -- filtert aber trotzdem nicht. Liegt vielleicht wieder daran, dass es ja eigentlich ein anderes Netz violett und nicht blau ist?? Nein, von IPfire aus ist violett blau. Wenn auf allen Clients Proxy-Einstellungen vorzunehmen sind, ist es nicht out-of-the-box benutzbar für User, die z.B. mal kurz ihr eigenes Gerät verbinden wollen, oder? Richtig. denn, Du automatisierst dies mit proxy.pac. Das könnte Abhilfe schaffen?! Ja. Die Benutzer müssten ihren Browser auf Proxy automatisch erkennen einstellen. Du müsstest Deinen lokalen DNS und HTTPD in etwa so einrichten. http://www.gruppenrichtlinien.de/artikel/proxykonfiguration-wpad-als-alternative/ Beachte auch die weiterführenden Links. CoovaChilli vermeidet übrigens das https-Geraffel. Wie meinst du das?? Die Sachen, die für jeden einzelnen WLAN-Client in der Firewall konfigurieren müsstest, kannst Du Dir schenken, wenn Du nur den Router dort einträgst und alle Clients dahinter mit NAT aus einem anderen Netz kommen - wie aus dem violetten Netzwerk hinter CoovaChilli. Bei mir tut's ein WLAN-Router. Und wie meinst du das? Genau so wie in der Anmerkung oben. Für IPFire gibt es nur diesen einen Rechner im blauen Netzwerk. Diese Konfiguration setzt natürlich voraus, dass Du in dem einem entsprechenden VLAN, in dem sich weitere AP des selben Netzwerks befinden, keine Rechner befinden, nicht über diesen Router (mit eigenem DHCP-Server!) laufen. ChoovaChilli macht übrigens in etwa das gleiche. Für mich erkennbarer Unterschied: Die RADIUS-Anfragen werden zum server durchgereicht. Michael ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hallo Michael, Am 13.05.2015 um 18:56 schrieb Michael Hagedorn: Die können httpS:// blocken -- deshalb läuft hier alles über OpenDNS. Will man das?!? Also ich will mich nicht über http z.B. auf unserer Moodle-Plattform bei Belwü einloggen. Viele Grüße Steffen - -- Wir sind nicht nur nett, wir sind sogar linuxmuster.net Mein System: - - virtualisiert mit Proxmox 3.4 - - linuxmuster.net 6.0 - - IPFire 2.17 - - Linbo 2.1.10-0 - - Ubuntu 12.04-Client - - Erweiterungen: Chillispot, Pykota, MRBS und OpenSchulportfolio - - Moodle extern (Belwue) per ldaps angebunden Note: No Microsoft programs were used in the creation or distribution of this message. If you are using a Microsoft program to view this message, be forewarned that I am not responsible for any harm you may encounter as a result. - Diese E-Mail ist mit OpenPGP signiert. Der öffentliche Schlüssel zur Überprüfung der Signatur ist hier hinterlegt: pool.sks-keyservers.net - -BEGIN PGP SIGNATURE- Version: GnuPG v1 iQEcBAEBAgAGBQJVU6kGAAoJEBhc6lDKYVtJsKYH+gNJUSBjIMIYpsXvqwXscRiU 5QS6zAc0HS1JsGFrgkCfNlf7MyRffnZrFJ6rsyY0M4unYLdzSmho9VdaN00u08AY AJM81CHUOuC+srmB47ijRAbKW8/dXCCmOhfo45/2nqhrsh/DrsT02zXh70p5zhUy plvC+23jk03Y1H9R6Ub2TDYGwIW0zuIYPYwHArO9UIK1BIuZQsQ5toutSttN10Im ehD8QZRv0AhKfirFcUvDagAVKzJb4Lwcqnk+nZgSVKbZ7JIVwhExXiVqu1dkhkcT 0XVtzr0LbdoHfryzIstRJrS0hF6RqQ3OvuRpCG6myNue3mm2qi1/TO/l7XLUmmU= =qN24 -END PGP SIGNATURE- ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
Hallo Michael, [...] Gruß Jürgen Am 13.05.2015 um 15:24 schrieb Michael Hagedorn: Hi. gerade habe ich mit Holgers Hilfe WLAN mit RADIUS-Authentifizierung im blauen Netz ohne CoovaChilli eingerichtet. Hm -- das wäre eine Alternative; allerdings läuft es jetzt ja gerade MIT dem CoovaChilli; da wollte ich eigentlich nicht alles wieder umkrempeln. Ist dort denn der Zugriff per p_wifi ebenfalls geregelt bzw für Gruppen/Klassen/$User an-/abschaltbar? Habe ich nur so weit getestet, dass man sich - ohne dass ich etwas mit p_wifi verändert habe - nur mit einem Lehrer-Account verbinden kann. Sieht also so aus :-) Bei uns ist momentan im violetten/farblosen Netz wie gesagt kein Filtermechanismus aktiv. Die DNS-Server im CoovaChilli zeigen jedoch sehr wohl zu OpenDNS.com, so dass zumindest der Zugriff auf Facebook und co gesperrt sein müsste, was jedoch nicht der Fall ist?!? Was hat das mit OpenDNS.com zu tun? Kennen die Facebook nicht? Ich schaue aber nochmal nach, ob der transp. Proxy auf blau aktiviert ist -- muss ja so sein, oder?? Ja. Ob transparent oder nicht, hängt davon ab, ob Du den Proxy auf den Clients einträgst. Von daher wäre transparent komfortabler, es sein denn, Du automatisierst dies mit proxy.pac. Wichtiger ist, dass die Clients nicht an der Firewall vorbei kommen. Das kannst Du jedoch mit einem transparenten Proxy nur schwer 100% verhindern (Tor-Netzwerk!). BLAU war auf meinem IPFire (nicht mit linuxmuster-ipfire-setup konfiguriert!) zu offen. Was zu tun war, steht in der Anleitung, nach der ich vorgegangen bin. http://www.linuxmuster.net/wiki/anwenderwiki:benutzerrechner:wlan:radius-accesspoint-blau CoovaChilli vermeidet übrigens das https-Geraffel. Bei mir tut's ein WLAN-Router. Das mit dem Rauswerfen ist eine interessante Geschichte ... Finde ich auch ... da muss unbedingt eine zuverlässige Regelung her, denn es wird ganz sicher in Zukunft ein gefragtes Feature sein, wenn das WLAN erstmal installiert ist und es sich herumgesprochen hat. Dass man den Chilli einfach beenden/neustarten kann ist klar aber schicke wäre nach wie vor eine andere Lösung. (In diesem Zshg.: Was genau macht das Tool chilli_rtmon (und wie kommt man da wieder raus?)) AccessPoints von Longshine generell für SchülerInnen freizuschalten würde es gnadenlos überfordern. Ich hatte gestern mit 20 Schülern, die gleichzeitig angemeldet waren, überhaupt keine Probleme. Es war überzeugend zu sehen, wie die Unifi-APs von sich aus direkt Load Balancing betrieben haben und alle Schüler gleichmäßig verteilt wurden. Das war ein wirklich guter Tipp hier aus der Liste!! Schönes langes WE mit möglichst wenigen Abi-Korrekturen! Bin schon durch :-) Physik und Informatik waren gleich am ersten Prüfungstag dran. Michael ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
hi, Ich meinte damit nicht, dass httpS verboten ist -- aber Facebook und Co werden halt trotzdem herausgefiltert! Ich kenne sonst nur die Möglichkeit, sämtliche FB-Server per hosts-Datei lokal umzubiegen, was aber mit viel Arbeit und noch mehr Schlupflöchern verbunden ist. Wenn man einfach OpenDNS benutzt, kann man FB sperren und ist gleichzeitig auch die httpS-Verbindungen, die hier sonst weiterhin noch problemlos durchkamen mit los. Ich weiß nicht, wie die das gelöst haben und auch nicht, wie gut es in Sachen Datenschutz mit den OpenDNS-Servern steht; ist halt wie immer eine Frage der Abwägung und ich habe mich dafür entschieden :) opendns ist, wie jede sperre die über einen fakenden dns stattfindet, ein ziemlich trügerischer schutz (siehe die stümperhafte umsetzung des stop zeichens bei kidpron). mir fallen auf anhieb mindestens 3 möglichkeiten ein, eine dns sperre zu umgehen. um wenigstens ansatzweise die obscurity der nutzer zu erhalten, sag ich die hier mal nicht... jonny ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
hi, schau dir den disconnect befehl an. Könnte in die richtige Richtung gehen ... http://coova.org/node/3783 Sonst hat hier keiner bisher das Problem?? Oder seht ihr's so gelassen wie Holger?? ich habe das problem nicht, weil bei mir nur lehrer einen dauerzugang haben. für schüler habe ich einmal one time tickets, die sich genau einmal einloggen können und dann für maximal 45 minuten online sein dürfen, zum zweiten dann kumulierende tickets, die sich beliebig oft einloggen dürfen, jedoch maximal 50 minuten onlinezeit haben und zum dritten habe ich tickets, die zeitlich gebunden sind, bei denen ich also festgelegt habe, dass sie sich nur zwischen 8 und 9uhr30 einloggen dürfen. bei uns ist die wlan benutzung durch schüler allerdings auch die ausnahme... für dich käme da am ehesten eine kombination aus 1 und 2 in frage. jonny ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
Hi. Sieht also so aus :-) Ok -- dann kommt es evtl in Frage :) Was hat das mit OpenDNS.com zu tun? Kennen die Facebook nicht? Die können httpS:// blocken -- deshalb läuft hier alles über OpenDNS. Wir haben seitdem in der Schule keinen Stress mit FB! Ja. Ob transparent oder nicht, hängt davon ab, ob Du den Proxy auf den transparent ist eingeschaltet -- filtert aber trotzdem nicht. Liegt vielleicht wieder daran, dass es ja eigentlich ein anderes Netz violett und nicht blau ist?? Wenn auf allen Clients Proxy-Einstellungen vorzunehmen sind, ist es nicht out-of-the-box benutzbar für User, die z.B. mal kurz ihr eigenes Gerät verbinden wollen, oder? denn, Du automatisierst dies mit proxy.pac. Das könnte Abhilfe schaffen?! CoovaChilli vermeidet übrigens das https-Geraffel. Wie meinst du das?? Bei mir tut's ein WLAN-Router. Und wie meinst du das? Michael -- Systemdaten: - virtualisiert mit Proxmox 2.3 - linuxmuster.net 6.0.46 - IPFire 2.15 - Linbo 2.1.10-0 - Ubuntu 14.04 Clients (trusty714-Vorlage) - leoclient1 mit WinXP im offline-Modus - Moodle 2.7.8 (extern mit LDAPS und openLML-Modul) - WLAN: Unifi-APs (UAP-AC) am CoovaChilli - Info-Boards: tabula.info Server + RasPi-Clients ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
ein kleiner schubs: versuchs nicht über die timeouts, sondern schau dir den disconnect befehl an. dieser kann zb über den radclient dem radius server sagen, daß er einen session ende befehl an den hotspot sendet. ob die funktion allerdings bei dem chilli eingebaut ist, musst du versuchen. und du musst/kannst damit dann jeden benutzer einzeln kicken. wenn du in den pausen ALLE benutzer kicken willst, tuts natürlich auch ein chilli restart. und du brauchst dann nix an den timeouts zu ändern. jonny Michael Hagedorn schrieb: hi, nein. sie können 45 minuten lang weitersurfen, wenn sie sich kurz bevor du abschaltest einmal kurz aus und wieder einloggen. Hm -- also auch noch nicht der Weisheit letzter Schluss -- aber besser also vorher, meine ich. Man könnte natürlich den Chilli in allen großen Pausen einmal reseten, denn dann dürfte ja tatsächlich kein Schüler im WLAN sein (zumindest nicht zu unterrichtlichen Zwecken). Die Kombination aus beidem könnte es dann evtl als quick-and-dirty-Lösung sein...!?!? Die angesprochene Option stand übrigens bereits in den Optionen unter /etc/chilli/config: # Wenn im Radius kein Session Timeout definiert wurde, # wann fliegt der Hotspot User wieder raus (auch mitten # im Surfen!) HS_DEFSESSIONTIMEOUT=2700 # In Sekunden (hab's von 0 auf 2700 geändert) Michael ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
Hallo Michael, Daher die Frage, wie ihr das macht bzw wie man es besser machen kann, so dass die Verbindung direkt gekappt wird, wenn man eine Klasse aus p_wifi wieder entfernt hat!? du müßtest vom Server aus dem coova sagen, dass er die session beendet. Da gibt es bestimmt einen kommandozeilenbefehl, den du vom server aus per ssh an den coova weiter gibst (ich habe ZUgriff per ssh vom server auf den coova). Falls du nicht suchen willst, dann starte einfach den chilli dienst auf dem coova neu: dann sind die raus und kommen auch nicht wieder rein. Aber: ich halte den Fall für eher exotisch: der Schüler müßte das schon beachten: er fliegt ja raus, wenn er keinen Traffic macht: also bräuchte er ein tool, das traffic macht, während er das Handy nciht bedienen kann (ich würde sagen, das sollte die meiste Zeit während des Unterrichts sein). Du kannst ja auch den session timeout noch weiter runter setzen. Und es setzt auch vorraus, dass der Schüler durch einen Lehrer freigeschaltet wurde an dem Tag und zwar in einer frühen Stunde: sonst lohnt das nicht. Nehmen wir an, ein Schüler macht sich so ein Tool: und dann startest du den coova mal neu währenddessen: meinst du sein Tool erkennt, dass der Internetzugang per WLAN weg ist? (WLAN ist ja die ganze Zeit da). Oder meinst du das tool verwendet dann sein GSM/UMTS Verbindung .. das macht der nicht oft, schätze ich. VIele Grüße Holger -- Mein öffentlicher PGP-key ist hier hinterlegt: pool.sks-keyservers.net ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
Hallo Holger, Falls du nicht suchen willst, dann starte einfach den chilli dienst auf dem coova neu: dann sind die raus und kommen auch nicht wieder rein. Das ginge natürlich -- auch per Cronjob mit den gleichen Reset-Zeiten wie das p_wifi-Script aus dem Wiki. Ist aber sicher auch eleganter lösbar... es gibt sicher einen eingebauten Reset-Schalter... Aber: ich halte den Fall für eher exotisch: der Schüler müßte das schon beachten: er fliegt ja raus, wenn er keinen Traffic macht: also Na ja ... so ein Smartphone produziert doch *ständig* Traffic, wenn es z.b. eine Webseite anzeigen soll, die sich selbstständig andauernd nachlädt. Ich halte das daher nicht für so exotisch... Du kannst ja auch den session timeout noch weiter runter setzen. Und es setzt auch vorraus, dass der Schüler durch einen Lehrer freigeschaltet wurde an dem Tag und zwar in einer frühen Stunde: sonst lohnt das nicht. Ich unterstelle den Schülern ja nichts böses -- aber wenn sie diese Möglichkeit gefunden habe, werden sie sicher alles daran setzen, drin zu bleiben! Natürlich werden sie nicht demnächst pauschal zur ersten Stunde die Zugangsberechtigung erhalten und sie dann bis zur 9. Stunde mit durchziehen; dennoch lohnen sich für Schüler ja u.U. auch schon 2 weitere Stunden (auf dem gleichen Flur o.ä.) Zudem ist das violette Netz bei uns im Moment nicht gefiltert - da geht die Kontrolle völlg flöten. Ein *richtiger* Reset aller WLAN-Verbindungen wäre daher wünschenswert, meine ich! Vielleicht geht ja auch so etwas in der Unifi-Software selbst? Michael -- Systemdaten: - virtualisiert mit Proxmox 2.3 - linuxmuster.net 6.0.46 - IPFire 2.15 - Linbo 2.1.10-0 - Ubuntu 14.04 Clients (trusty714-Vorlage) - leoclient1 mit WinXP im offline-Modus - Moodle 2.7.8 (extern mit LDAPS und openLML-Modul) - WLAN: Unifi-APs (UAP-AC) am CoovaChilli - Info-Boards: tabula.info Server + RasPi-Clients ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
der läuft über den normalen URL Filter und dann noch den BelWü Proxy .. aber nicht per default, oder? (BelWü geht hier nicht -- NDS). Die Schüler kamen heute alle problemlos zu youtube/facebook usw. ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
Hallo Michael, Aber: ich halte den Fall für eher exotisch: der Schüler müßte das schon beachten: er fliegt ja raus, wenn er keinen Traffic macht: also Na ja ... so ein Smartphone produziert doch *ständig* Traffic, wenn es z.b. eine Webseite anzeigen soll, die sich selbstständig andauernd nachlädt. Ich halte das daher nicht für so exotisch... wenn dem so wäre, dann wären alle Smartphones immer leer und das Datenvolumen immer ganz schnell aufgebraucht. Nein: wenn der Bildschirmschon an geht, dann ist Ruhe im Karton: dann wird sogar das WLAN abgestellt. Dann hat das Betriebsystem feste Intervalle in denen es mal nachschaut ob es online was neues gibt: dafür wacht das Gerät kurz auf, verbindet sich und ist dann auch wieder weg. Die Apps müssen sich an diese Intervalle dranhängen .. oder hoffen, dass sich das oft genug überlappt (was nicht der Fall ist). VIele Grüße Holger -- Mein öffentlicher PGP-key ist hier hinterlegt: pool.sks-keyservers.net ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
Hallo Michael, Nebenbei die Frage: Wie filtert ihr im violetten Netz? Zusätzlicher IPFire oder gar nicht? der läuft über den normalen URL Filter und dann noch den BelWü Proxy .. VIele Grüße Holger -- Mein öffentlicher PGP-key ist hier hinterlegt: pool.sks-keyservers.net ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN für Schüler per SchuKo: An : ja -- Aus nein!
wenn dem so wäre, dann wären alle Smartphones immer leer und das Datenvolumen immer ganz schnell aufgebraucht. Nein: wenn der Bildschirmschon an geht, dann ist Ruhe im Karton: dann wird sogar das WLAN abgestellt. Na gut -- dennoch ist folgende Situation dann demnächst vorstellbar und wahscheinlich dann auch leider schnell gängige Praxis: Eine Klasse erhält Zugang -- sagen wir mal in der 6. Stunde. Am Ende der Stunde wird sie aus der Gruppe p_wifi entfernt und alle verlassen den Raum; die Schüler bleiben aber online und sind dann mit den verbundenen Smartphones draußen unterwegs. Das ist ja genau der Fall, den man in einer Schule NICHT haben will?! Ich hatte es ja schon heute in der 10-min-Testphase, dass ich eigentlich *alle* Schüler direkt wieder draußen haben wollte. Wenn das nicht gelingt, sind da immer ein paar Strategen dabei, die ihr Smartphone unter'm Tisch oder sonstwo heimlich weiterbetreiben... von daher: alles relativ real und relativ naheliegend, meine ich!? Nebenbei die Frage: Wie filtert ihr im violetten Netz? Zusätzlicher IPFire oder gar nicht? Michael -- Systemdaten: - virtualisiert mit Proxmox 2.3 - linuxmuster.net 6.0.46 - IPFire 2.15 - Linbo 2.1.10-0 - Ubuntu 14.04 Clients (trusty714-Vorlage) - leoclient1 mit WinXP im offline-Modus - Moodle 2.7.8 (extern mit LDAPS und openLML-Modul) - WLAN: Unifi-APs (UAP-AC) am CoovaChilli - Info-Boards: tabula.info Server + RasPi-Clients ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
