Anmelden

Wiki

Seite

Geschützte Seite
Kommentare
Info
Dateianhänge
Weitere Aktionen:

StartSeite

Änderungen von "Schulen/Technik/UplinkLandesWANSH"

Unterschiede zwischen den Revisionen 1 und 2

ITZkS-Webseite — Impressum — Logo EDV-Systeme — DAS-NETZWERKTEAM

Alle Inhalte in diesem Wiki fallen unter die CC-BY-SA 2.0 Lizenz.

-  ⇤ ← Revision 1 vom 2018-08-21 12:52:02 → 
  Größe: 3213
  Autor: MikeGabriel
  Kommentar:
+   ← Revision 2 vom 2018-08-21 12:54:27 → ⇥
  Größe: 0
  Autor: MikeGabriel
  Kommentar:
-Gelöschter Text ist auf diese Art markiert.
+Hinzugefügter Text ist auf diese Art markiert.
 Zeile 1:
-== Anpassungen für Uplink via IQSH-Glasfaser ==

Das Ernst-Barlach-Gymnasiums nutzt seit 21.8.2018 einen vom IQSH via Glasfaser-Anbindung ans LandesWAN bereit gestellten Internet-Uplink. Der Internet-Uplink des Landes liegt in einem IPv4-Adresssegment 10.64.XXX.0/24. Hierfür musste die IP-Konfiguration des Edu-Netzwerks verglichen mit den Debian Edu Standard-Einstellungen leicht modiziert werden:

=== Uplink ===

IP-Adressvergabe via DHCP auf dem "RED" Interface, daraus folgt dann:

  * Subnetz: 10.64.29.0/24
  * Gateway: 10.64.29.1
  * pfSense RED (via DHCP): 10.64.29.13
  * DNS-Server: 51.5.245.122

Todos:

  1. statische IPv4-Adresse im Internet mit SNAT-Portweiterleitung auf pfSense
  2. DNS-Auflösung manchmal nicht flüssig
  3. feste IP-Adresse im 10.64.29.0/24er Netz für die pfSense (MAC-Adresse hinterlegen o.ä.)
     -> ggf. auch statische Adresse auf pfSense RED, Rücksprache IQSH

=== Rekonfiguration pfSense ===

Die pfSense musste minimal angepasst werden:

GREEN Interface: Subnetzgröße verkleinern, d.h.

  * IP: 10.0.0.1
  * Subnetzmaske: 255.192.0.0
  * Broadcast: 10.63.255.255

D.h. das ursprünglich vom Debian Edu System erwartete 10/8er Netz wurde auf eine 10/10er Netz "verkleinert" (noch ¼ der Adressen verfügbar). 

=== Rekonfiguration TJENER ===

  1. Anpassen von {{{/etc/network/interfaces}}}
    * IP: 10.0.2.2
    * Subnetzmaske: 255.192.0.0
    * Broadcast: 10.63.255.255
    * Gateway: 1.0.0.1

  1. Anpassen des DHCP-Dienstes, in GOsa²'s DHCP-Dienst (unter Host: tjener): Verteiltes Netzwerk "intern":
    * Netzmaske: 255.192.0.0
    * Broadcast-Adresse: 10.63.255.255
    * DHCP-Server Neustart:{{{
$ sudo invoke-rc.d isc-dhcp-server restart
}}}

  1. Samba-Konfiguration anpassen:
    * Option {{{hosts allow}}}: statt 10.0.0.0/8 -> 10.0.0.0/10
    * Samba Neustart:{{{
$ sudo invoke-rc.d samba restart
}}}

  1. Squid-Konfiguration anpassen:
    * Folgenden Patch einpflegen:{{{
 diff --git a/squid/squid-debian-edu.conf b/squid/squid-debian-edu.conf
index 4631d5f..d7bdd7e 100644
--- a/squid/squid-debian-edu.conf
+++ b/squid/squid-debian-edu.conf
@@ -22,7 +22,7 @@ acl Safe_ports port 777         # multiling http
 acl CONNECT method CONNECT
 
# Grant access to the local networks
-acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
+acl localnet src 10.0.0.0/10    # RFC1918 possible internal network
 acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
 acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
 acl localnet src fc00::/7       # RFC 4193 local private network range
}}}
    * Squid-Neustart: {{{
$ sudo invoke-rc.d squid restart
}}}
    * Anmerkung: auf einem Debian 8.x TJENER: Datei unter {{{/etc/squid3}}} und Service-Name ist auch {{{squid3}}}.

  1. die Datei {{{/etc/hosts.allow}}} anpassen:{{{

diff --git a/hosts.allow b/hosts.allow
index 27e7de2..a9958fa 100644
--- a/hosts.allow
+++ b/hosts.allow
@@ -11,4 +11,4 @@
 # for further information.
 #
 
-syslog: 10.
+syslog: 10.0.0.0/10
}}}
    * Ggf. auch Zugriff von 172.16.0.0/24 (Backbone-Netzwerk, für WiFi Access-Point Sysloggin) erlauben