Betrieb des Portalservers in der DMZ eines TIME for kids Schulrouters: Unterschied zwischen den Versionen

Aus dem IServ-Wiki
Zur Navigation springen Zur Suche springen
(Die Seite wurde neu angelegt: „== Netzwerk == * Schulrouter GRÜN mit pädagogischem Netz verbinden. * Schulrouter ORANGE mit IServ Portalserver ''eth0'' verbinden. * Schulrouter ROT bleibt…“)
 
 
(29 dazwischenliegende Versionen von 3 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
== Netzwerk ==
 
  
* Schulrouter GRÜN mit pädagogischem Netz verbinden.
+
== <pre> ACHTUNG! DIESE ANLEITUNG IST NICHT MEHR AKTUELL! SIE IST NÜR FÜR ALTBESTAND RELEVANT! </pre> ==
* Schulrouter ORANGE mit IServ Portalserver ''eth0'' verbinden.
+
 
* Schulrouter ROT bleibt mit Internet verbunden.
 
  
  
 
== IServ Portalserver ==
 
== IServ Portalserver ==
  
<rootpre>iservcfg network</rootpre>
+
Netzwerkeinstellungen auf dem Portalserver anpassen:
 +
 
 +
<pre>iservcfg network</pre>
 
* eth0
 
* eth0
 
** address 172.27.16.2
 
** address 172.27.16.2
Zeile 16: Zeile 16:
 
* eth1 löschen
 
* eth1 löschen
  
<rootpre>iservchk</rootpre>
 
  
Schulrouter mit IP 10.0.3.1 in Rechnerverwaltung eintragen um doppelte Vergabe der IP zu verhindern.
+
== Netzwerkverkabelung ==
  
Bei den Druckern muss der Schulrouter als Standard-Gateway eingerichtet sein. Dazu die Drucker am besten in der Rechnerverwaltung eintragen und auf DHCP stellen. Zur Ansteuerung auf dem Druckmodul die Protokolle ''socket'' oder ''ipp'' verwenden, ''dnssd'' wird nicht geroutet.
+
Schulrouter ORANGE mit IServ Portalserver ''eth0'' verbinden. (Schulrouter ROT ist mit Internet verbunden, Schulrouter GRÜN mit dem pädagogischen Netz.)
  
  
 
== Schulrouter Plus ==
 
== Schulrouter Plus ==
  
=== Netzwerkkonfiguration vom TfK-Support vornehmen lassen ===
+
=== Netzwerk -> Netzwerkkonfiguration ===
Die Spezialkonfiguration vom Netz ROT in Hamburg blockiert die Weboberfläche.
+
Die genauen Adressen werden vom BSB zugeteilt. Beispiel:
* Netzwerk -> GRÜN: 10.0.3.1/23
+
* Netzwerk -> ROT: 141.91.210.218/24 (im Folgenden $sr_rot)
 +
* Netzwerk -> GRÜN: 10.0.2.2/23 (im Folgenden $sr_gruen)
 
* Netzwerk -> ORANGE: 172.27.16.1/24
 
* Netzwerk -> ORANGE: 172.27.16.1/24
  
{{Hinweis|Netzwerkmaske für das pädagogische Netz ist /23, nicht /24!}}
+
Falls die Netzwerkeinstellungen geändert werden müssen, TfK-Support kontaktieren. Das Netzwerk ROT hat in Hamburg eine spezielle Konfiguration, die nicht kompatibel mit der Weboberfläche des Schulrouters ist. Netzwerkmaske für das pädagogische Netz ist /23, nicht /24!
  
=== Folgende Einstellungen selbst in der Oberfläche vornehmen ===
+
=== Netzwerk -> Hosts bearbeiten ===
 +
* 172.27.16.2 iserv local
 +
* 172.27.16.2 iserv schule
 +
Diese beiden Einträge werden mit der neuen Version der Softwareverteilung zukünftig überflüssig werden.
  
==== Schul- und Medienserver-Wahl -> IServ-Portalserver ====
+
Die Domain des Portalservers aus der Hosts-Liste löschen, falls sie eingetragen ist.
* IP Adresse: 172.27.16.2
 
* root Passwort: [eingeben]
 
  
==== Dienste -> DHCP Server -> Schnittstelle GRÜN ====
+
=== Dienste -> DHCP Server -> Schnittstelle GRÜN ===
 
* Aktiviert: ja
 
* Aktiviert: ja
  
==== Firewall -> Portweiterleitung / NAT ====
+
=== Firewall -> Portweiterleitung / NAT ===
* TCP 141.91.210.218: 21(FTP) => 172.27.16.2: 21(FTP)
+
* TCP $sr_rot: 21(FTP) => 172.27.16.2: 21(FTP)
* TCP 141.91.210.218: 22(SSH) => 172.27.16.2: 22(SSH)
+
* TCP $sr_rot: 22(SSH) => 172.27.16.2: 22(SSH)
* TCP 141.91.210.218: 25(SMTP) => 172.27.16.2: 25(SMTP)
+
* TCP $sr_rot: 25(SMTP) => 172.27.16.2: 25(SMTP)
* TCP 141.91.210.218: 80(HTTP) => 172.27.16.2: 80(HTTP)
+
* TCP $sr_rot: 80(HTTP) => 172.27.16.2: 80(HTTP)
* TCP 141.91.210.218: 110(POP3) => 172.27.16.2: 110(POP3)
+
* TCP $sr_rot: 110(POP3) => 172.27.16.2: 110(POP3)
* TCP 141.91.210.218: 143(IMAP) => 172.27.16.2: 143(IMAP)
+
* TCP $sr_rot: 143(IMAP) => 172.27.16.2: 143(IMAP)
* TCP 141.91.210.218: 443(HTTPS) => 172.27.16.2: 443(HTTPS)
+
* TCP $sr_rot: 443(HTTPS) => 172.27.16.2: 443(HTTPS)
* TCP 141.91.210.218: 465(URD) => 172.27.16.2: 465(URD)
+
* TCP $sr_rot: 465(URD) => 172.27.16.2: 465(URD)
* TCP 141.91.210.218: 587(SUBMISSION) => 172.27.16.2: 587(SUBMISSION)
+
* TCP $sr_rot: 587(SUBMISSION) => 172.27.16.2: 587(SUBMISSION)
* TCP 141.91.210.218: 993(IMAPS) => 172.27.16.2: 993(IMAPS)
+
* TCP $sr_rot: 993(IMAPS) => 172.27.16.2: 993(IMAPS)
* TCP 141.91.210.218: 995(POP3S) => 172.27.16.2: 995(POP3S)
+
* TCP $sr_rot: 995(POP3S) => 172.27.16.2: 995(POP3S)
 +
* TCP $sr_rot: 63000-63100 => 172.27.16.2: 63000 - 63100 FTPS
 +
 
 +
=== Firewall -> Ausgehender Datenverkehr ===
 +
* ORANGE -> ROT, <ALLE>, Gestatten
  
==== Firewall -> Interner Datenverkehr ====
+
=== Firewall -> Interner Datenverkehr ===
 
* GRÜN -> ORANGE, <ALLE>, Gestatten
 
* GRÜN -> ORANGE, <ALLE>, Gestatten
* 172.27.16.2 -> GRÜN, TCP/22 TCP/139 TCP/445 TCP/631 TCP/9100, Gestatten, SSH + SMB + Print
+
* 172.27.16.2 -> GRÜN, TCP/22 TCP/139 TCP/445 TCP/631 TCP/4441 TCP/9100, Gestatten, SSH + SMB + OPSI + Print
 
* 172.27.16.2 -> GRÜN, UDP/9, Gestatten, Wake on LAN
 
* 172.27.16.2 -> GRÜN, UDP/9, Gestatten, Wake on LAN
 
* 172.27.16.2 -> GRÜN, ICMP/8 ICMP/30, Gestatten, Ping + Traceroute
 
* 172.27.16.2 -> GRÜN, ICMP/8 ICMP/30, Gestatten, Ping + Traceroute
  
==== Proxy -> HTTP -> Konfiguration -> Umgehung / Ausgeschlossene Quellen und Ziele ====
+
=== Proxy -> HTTP -> Konfiguration ===
 +
Orange: Transparent
 +
 
 +
=== Proxy -> HTTP -> Konfiguration -> Umgehung / Ausgeschlossene Quellen und Ziele ===
 
Umgehe den transparenten Proxy für folgende Ziele:
 
Umgehe den transparenten Proxy für folgende Ziele:
 
* 172.27.16.0/24
 
* 172.27.16.0/24
* 141.91.210.218
+
* $sr_rot
 +
 
 +
=== Proxy -> DNS -> benutzerdefinierter Nameserver ===
 +
IServ als benutzerdefinierten Nameserver für die IServ-Domain eintragen:
 +
* Domäne: (die IServ-Domäne)
 +
* DNS Server: 172.27.16.2
 +
 
 +
Gleiches gilt für etwaige Aliasdomänen analog.
 +
 
 +
 
 +
== IServ Portalserver ==
 +
 
 +
<rootpre>iservchk</rootpre>
 +
 
 +
Schulrouter mit IP $sr_gruen in Rechnerverwaltung eintragen um doppelte Vergabe der IP zu verhindern.
 +
 
 +
 
 +
== Schulrouter Plus ==
 +
 
 +
=== Schul- und Medienserver-Wahl -> IServ-Portalserver ===
 +
Hinweis: Den Eintrag findet man in der unteren, grau hinterlegten Menüleiste.
 +
 
 +
* IP Adresse: 172.27.16.2
 +
* root Passwort: [eingeben]
 +
 
 +
 
 +
== IServ Backupserver ==
 +
 
 +
<rootpre>iservcfg backup</rootpre>
 +
 
 +
* 1 iserv
 +
** Ziel-Server: 172.27.16.2
 +
** Mail-Host: 172.27.16.2
 +
** Statistik-Host: 172.27.16.2
 +
** SSH-Key auf den Ziel-Server kopieren
 +
 
 +
== Netzwerkdrucker ==
 +
 
 +
Für jeden Netzwerkdrucker sollte in der IServ Rechnerverwaltung ein entsprechender Eintrag erstellt werden. Name und IP-Adresse können selbst gewählt werden, die MAC-Adresse muss aus dem Drucker ausgelesen werden. Die Netzwerkkonfiguration des Druckers stellt man auf DHCP, damit er sich die korrekten Einstellungen automatisch vom Server holt. Dadurch ist sichergestellt, dass der Drucker den Schulrouter als Standard-Gateway nutzt.
 +
 
 +
Anschließend erstellt man in der IServ Druckerverwaltung einen neuen Eintrag für den Drucker. Als Protokoll sollten ''socket'' oder ''ipp'' mit der oben vergebenen IP-Adresse verwendet werden. Das Protokoll ''dnssd'' wird nicht geroutet und kann nicht verwendet werden.
 +
 
 +
== Wake-on-LAN ==
 +
 
 +
Wake-on-LAN verwendet Broadcastpakete, welche auf das angeschlossene Netz limitiert sind, um die zu weckenden Rechner zu erreichen. Im Fall der hier beschriebenen Konfiguration in einer DMZ sind Broadcastpakete auf das orangene Netz (hier mit den einzigen Teilnehmern TfK und IServ) beschränkt. Broadcastpakete werden nicht geroutet und die Rechner im pädagogischem Netz können demnach nicht geweckt werden. Abhilfe schafft ein Wake-on-LAN-Proxyserver. Für IServ stehen die Pakete '''IServ Wake-on-LAN-Proxy-Unterstützung''' ('''iserv-wol-proxysupport''') und '''IServ Wake-on-LAN-Proxy''' ('''iserv-wol-proxy''') zur Verfügung.
 +
 
 +
=== IServ Wake-on-LAN-Proxy-Unterstützung (iserv-wol-proxysupport) ===
 +
 
 +
Dieses Modul wird auf dem IServ-Portalserver installiert und fängt Wake-on-LAN-Broadcast-Pakete ab, um sie an einen eingestellten Proxyserver umzuleiten. Der Proxyserver kann unter ''Verwaltung'' -> ''iservcfg'' -> ''Netzwerk'' -> ''Wake-on-LAN-Proxyserver'' eingestellt werden.
 +
 
 +
=== IServ Wake-on-LAN-Proxy (iserv-wol-proxy) ===
 +
 
 +
Dieses Modul wird auf einem zusätzlichen Server installiert, der sich im Netzwerk der Clients befindet, z. B. ein Backupserver, ein Infobildschirm oder ein dedizierter Wake-on-LAN-Proxyserver. Für das Modul muss eine IP-Adresse aus dem  Zielnetz reserviert werden, welche in der Rechnerverwaltung für andere Geräte geblockt werden sollte. Diese muss in der Datei ''/etc/iserv/wol-pseudobroadcast'' eingetragen werden.
 +
 
 +
=== Wake-on-LAN-Proxyserver für sonstige Linuxgeräte ===
 +
 
 +
Folgendes Skript verwandelt ein Linuxgerät in einen Wake-on-LAN-Proxyserver. Der Administrator muss damit aber dafür Sorge tragen, dass die Konfiguration auch nach Neustarts des Rechners oder Änderungen an der Netzwerkkonfiguration richtig übernommen wird.
 +
 
 +
<filepre>#!/bin/sh
 +
WOL_PSEUDOBROADCAST="10.255.255.254"
 +
arp -s "$WOL_PSEUDOBROADCAST" ff:ff:ff:ff:ff:ff
 +
iptables -t nat -A PREROUTING -p udp --dport 9 -j DNAT --to "$WOL_PSEUDOBROADCAST"
 +
</filepre>

Aktuelle Version vom 26. August 2019, 13:56 Uhr

 ACHTUNG! DIESE ANLEITUNG IST NICHT MEHR AKTUELL! SIE IST NÜR FÜR ALTBESTAND RELEVANT! 

IServ Portalserver

Netzwerkeinstellungen auf dem Portalserver anpassen:

iservcfg network
  • eth0
    • address 172.27.16.2
    • netmask 255.255.255.0
    • gateway 172.27.16.1
    • dns-nameservers 172.27.16.1
  • eth1 löschen


Netzwerkverkabelung

Schulrouter ORANGE mit IServ Portalserver eth0 verbinden. (Schulrouter ROT ist mit Internet verbunden, Schulrouter GRÜN mit dem pädagogischen Netz.)


Schulrouter Plus

Netzwerk -> Netzwerkkonfiguration

Die genauen Adressen werden vom BSB zugeteilt. Beispiel:

  • Netzwerk -> ROT: 141.91.210.218/24 (im Folgenden $sr_rot)
  • Netzwerk -> GRÜN: 10.0.2.2/23 (im Folgenden $sr_gruen)
  • Netzwerk -> ORANGE: 172.27.16.1/24

Falls die Netzwerkeinstellungen geändert werden müssen, TfK-Support kontaktieren. Das Netzwerk ROT hat in Hamburg eine spezielle Konfiguration, die nicht kompatibel mit der Weboberfläche des Schulrouters ist. Netzwerkmaske für das pädagogische Netz ist /23, nicht /24!

Netzwerk -> Hosts bearbeiten

  • 172.27.16.2 iserv local
  • 172.27.16.2 iserv schule

Diese beiden Einträge werden mit der neuen Version der Softwareverteilung zukünftig überflüssig werden.

Die Domain des Portalservers aus der Hosts-Liste löschen, falls sie eingetragen ist.

Dienste -> DHCP Server -> Schnittstelle GRÜN

  • Aktiviert: ja

Firewall -> Portweiterleitung / NAT

  • TCP $sr_rot: 21(FTP) => 172.27.16.2: 21(FTP)
  • TCP $sr_rot: 22(SSH) => 172.27.16.2: 22(SSH)
  • TCP $sr_rot: 25(SMTP) => 172.27.16.2: 25(SMTP)
  • TCP $sr_rot: 80(HTTP) => 172.27.16.2: 80(HTTP)
  • TCP $sr_rot: 110(POP3) => 172.27.16.2: 110(POP3)
  • TCP $sr_rot: 143(IMAP) => 172.27.16.2: 143(IMAP)
  • TCP $sr_rot: 443(HTTPS) => 172.27.16.2: 443(HTTPS)
  • TCP $sr_rot: 465(URD) => 172.27.16.2: 465(URD)
  • TCP $sr_rot: 587(SUBMISSION) => 172.27.16.2: 587(SUBMISSION)
  • TCP $sr_rot: 993(IMAPS) => 172.27.16.2: 993(IMAPS)
  • TCP $sr_rot: 995(POP3S) => 172.27.16.2: 995(POP3S)
  • TCP $sr_rot: 63000-63100 => 172.27.16.2: 63000 - 63100 FTPS

Firewall -> Ausgehender Datenverkehr

  • ORANGE -> ROT, <ALLE>, Gestatten

Firewall -> Interner Datenverkehr

  • GRÜN -> ORANGE, <ALLE>, Gestatten
  • 172.27.16.2 -> GRÜN, TCP/22 TCP/139 TCP/445 TCP/631 TCP/4441 TCP/9100, Gestatten, SSH + SMB + OPSI + Print
  • 172.27.16.2 -> GRÜN, UDP/9, Gestatten, Wake on LAN
  • 172.27.16.2 -> GRÜN, ICMP/8 ICMP/30, Gestatten, Ping + Traceroute

Proxy -> HTTP -> Konfiguration

Orange: Transparent

Proxy -> HTTP -> Konfiguration -> Umgehung / Ausgeschlossene Quellen und Ziele

Umgehe den transparenten Proxy für folgende Ziele:

  • 172.27.16.0/24
  • $sr_rot

Proxy -> DNS -> benutzerdefinierter Nameserver

IServ als benutzerdefinierten Nameserver für die IServ-Domain eintragen:

  • Domäne: (die IServ-Domäne)
  • DNS Server: 172.27.16.2

Gleiches gilt für etwaige Aliasdomänen analog.


IServ Portalserver

root
iservchk

Schulrouter mit IP $sr_gruen in Rechnerverwaltung eintragen um doppelte Vergabe der IP zu verhindern.


Schulrouter Plus

Schul- und Medienserver-Wahl -> IServ-Portalserver

Hinweis: Den Eintrag findet man in der unteren, grau hinterlegten Menüleiste.

  • IP Adresse: 172.27.16.2
  • root Passwort: [eingeben]


IServ Backupserver

root
iservcfg backup
  • 1 iserv
    • Ziel-Server: 172.27.16.2
    • Mail-Host: 172.27.16.2
    • Statistik-Host: 172.27.16.2
    • SSH-Key auf den Ziel-Server kopieren

Netzwerkdrucker

Für jeden Netzwerkdrucker sollte in der IServ Rechnerverwaltung ein entsprechender Eintrag erstellt werden. Name und IP-Adresse können selbst gewählt werden, die MAC-Adresse muss aus dem Drucker ausgelesen werden. Die Netzwerkkonfiguration des Druckers stellt man auf DHCP, damit er sich die korrekten Einstellungen automatisch vom Server holt. Dadurch ist sichergestellt, dass der Drucker den Schulrouter als Standard-Gateway nutzt.

Anschließend erstellt man in der IServ Druckerverwaltung einen neuen Eintrag für den Drucker. Als Protokoll sollten socket oder ipp mit der oben vergebenen IP-Adresse verwendet werden. Das Protokoll dnssd wird nicht geroutet und kann nicht verwendet werden.

Wake-on-LAN

Wake-on-LAN verwendet Broadcastpakete, welche auf das angeschlossene Netz limitiert sind, um die zu weckenden Rechner zu erreichen. Im Fall der hier beschriebenen Konfiguration in einer DMZ sind Broadcastpakete auf das orangene Netz (hier mit den einzigen Teilnehmern TfK und IServ) beschränkt. Broadcastpakete werden nicht geroutet und die Rechner im pädagogischem Netz können demnach nicht geweckt werden. Abhilfe schafft ein Wake-on-LAN-Proxyserver. Für IServ stehen die Pakete IServ Wake-on-LAN-Proxy-Unterstützung (iserv-wol-proxysupport) und IServ Wake-on-LAN-Proxy (iserv-wol-proxy) zur Verfügung.

IServ Wake-on-LAN-Proxy-Unterstützung (iserv-wol-proxysupport)

Dieses Modul wird auf dem IServ-Portalserver installiert und fängt Wake-on-LAN-Broadcast-Pakete ab, um sie an einen eingestellten Proxyserver umzuleiten. Der Proxyserver kann unter Verwaltung -> iservcfg -> Netzwerk -> Wake-on-LAN-Proxyserver eingestellt werden.

IServ Wake-on-LAN-Proxy (iserv-wol-proxy)

Dieses Modul wird auf einem zusätzlichen Server installiert, der sich im Netzwerk der Clients befindet, z. B. ein Backupserver, ein Infobildschirm oder ein dedizierter Wake-on-LAN-Proxyserver. Für das Modul muss eine IP-Adresse aus dem Zielnetz reserviert werden, welche in der Rechnerverwaltung für andere Geräte geblockt werden sollte. Diese muss in der Datei /etc/iserv/wol-pseudobroadcast eingetragen werden.

Wake-on-LAN-Proxyserver für sonstige Linuxgeräte

Folgendes Skript verwandelt ein Linuxgerät in einen Wake-on-LAN-Proxyserver. Der Administrator muss damit aber dafür Sorge tragen, dass die Konfiguration auch nach Neustarts des Rechners oder Änderungen an der Netzwerkkonfiguration richtig übernommen wird.

datei
#!/bin/sh
WOL_PSEUDOBROADCAST="10.255.255.254"
arp -s "$WOL_PSEUDOBROADCAST" ff:ff:ff:ff:ff:ff
iptables -t nat -A PREROUTING -p udp --dport 9 -j DNAT --to "$WOL_PSEUDOBROADCAST"