Anpassungen für Uplink via IQSH-Glasfaser

Das Ernst-Barlach-Gymnasiums nutzt seit 21.8.2018 einen vom IQSH via Glasfaser-Anbindung ans LandesWAN bereit gestellten Internet-Uplink. Der Internet-Uplink des Landes liegt in einem IPv4-Adresssegment 10.64.XXX.0/24. Hierfür musste die IP-Konfiguration des Edu-Netzwerks verglichen mit den Debian Edu Standard-Einstellungen leicht modiziert werden:

Uplink

IP-Adressvergabe via DHCP auf dem "RED" Interface, daraus folgt dann:

• Subnetz: 10.64.29.0/24
• Gateway: 10.64.29.1
• pfSense RED (via DHCP): 10.64.29.13
• DNS-Server: 51.5.245.122

Todos:

1. statische IPv4-Adresse im Internet mit SNAT-Portweiterleitung auf pfSense
2. DNS-Auflösung manchmal nicht flüssig
3. feste IP-Adresse im 10.64.29.0/24er Netz für die pfSense (MAC-Adresse hinterlegen o.ä.)

   • -> ggf. auch statische Adresse auf pfSense RED, Rücksprache IQSH

Rekonfiguration pfSense

Die pfSense musste minimal angepasst werden:

GREEN Interface: Subnetzgröße verkleinern, d.h.

• IP: 10.0.0.1
• Subnetzmaske: 255.192.0.0
• Broadcast: 10.63.255.255

D.h. das ursprünglich vom Debian Edu System erwartete 10/8er Netz wurde auf eine 10/10er Netz "verkleinert" (noch ¼ der Adressen verfügbar).

Rekonfiguration TJENER

1. Anpassen von /etc/network/interfaces

   • IP: 10.0.2.2
   • Subnetzmaske: 255.192.0.0
   • Broadcast: 10.63.255.255
   • Gateway: 1.0.0.1
2. Anpassen des DHCP-Dienstes, in GOsa²'s DHCP-Dienst (unter Host: tjener): Verteiltes Netzwerk "intern":
   • Netzmaske: 255.192.0.0
   • Broadcast-Adresse: 10.63.255.255

   • DHCP-Server Neustart:

     $ sudo invoke-rc.d isc-dhcp-server restart

3. Samba-Konfiguration anpassen:

   • Option hosts allow: statt 10.0.0.0/8 -> 10.0.0.0/10

   • Samba Neustart:

     $ sudo invoke-rc.d samba restart

4. Squid-Konfiguration anpassen:

   • Folgenden Patch einpflegen:

      diff --git a/squid/squid-debian-edu.conf b/squid/squid-debian-edu.conf
     index 4631d5f..d7bdd7e 100644
     --- a/squid/squid-debian-edu.conf
     +++ b/squid/squid-debian-edu.conf
     @@ -22,7 +22,7 @@ acl Safe_ports port 777         # multiling http
      acl CONNECT method CONNECT
      
     # Grant access to the local networks
     -acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
     +acl localnet src 10.0.0.0/10    # RFC1918 possible internal network
      acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
      acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
      acl localnet src fc00::/7       # RFC 4193 local private network range

   • Squid-Neustart:

     $ sudo invoke-rc.d squid restart

   • Anmerkung: auf einem Debian 8.x TJENER: Datei unter /etc/squid3 und Service-Name ist auch squid3.

5. die Datei /etc/hosts.allow anpassen:

   diff --git a/hosts.allow b/hosts.allow
   index 27e7de2..a9958fa 100644
   --- a/hosts.allow
   +++ b/hosts.allow
   @@ -11,4 +11,4 @@
    # for further information.
    #
    
   -syslog: 10.
   +syslog: 10.0.0.0/10

   • Ggf. auch Zugriff von 172.16.0.0/24 (Backbone-Netzwerk, für WiFi Access-Point Sysloggin) erlauben