Anpassungen für Uplink via IQSH-Glasfaser
Das Ernst-Barlach-Gymnasiums nutzt seit 21.8.2018 einen vom IQSH via Glasfaser-Anbindung ans LandesWAN bereit gestellten Internet-Uplink. Der Internet-Uplink des Landes liegt in einem IPv4-Adresssegment 10.64.XXX.0/24. Hierfür musste die IP-Konfiguration des Edu-Netzwerks verglichen mit den Debian Edu Standard-Einstellungen leicht modiziert werden:
Uplink
IP-Adressvergabe via DHCP auf dem "RED" Interface, daraus folgt dann:
- Subnetz: 10.64.29.0/24
- Gateway: 10.64.29.1
- pfSense RED (via DHCP): 10.64.29.13
- DNS-Server: 51.5.245.122
Todos:
- statische IPv4-Adresse im Internet mit SNAT-Portweiterleitung auf pfSense
- DNS-Auflösung manchmal nicht flüssig
- feste IP-Adresse im 10.64.29.0/24er Netz für die pfSense (MAC-Adresse hinterlegen o.ä.)
-> ggf. auch statische Adresse auf pfSense RED, Rücksprache IQSH
Rekonfiguration pfSense
Die pfSense musste minimal angepasst werden:
GREEN Interface: Subnetzgröße verkleinern, d.h.
- IP: 10.0.0.1
- Subnetzmaske: 255.192.0.0
- Broadcast: 10.63.255.255
D.h. das ursprünglich vom Debian Edu System erwartete 10/8er Netz wurde auf eine 10/10er Netz "verkleinert" (noch ¼ der Adressen verfügbar).
Rekonfiguration TJENER
Anpassen von /etc/network/interfaces
- IP: 10.0.2.2
- Subnetzmaske: 255.192.0.0
- Broadcast: 10.63.255.255
- Gateway: 1.0.0.1
- Anpassen des DHCP-Dienstes, in GOsa²'s DHCP-Dienst (unter Host: tjener): Verteiltes Netzwerk "intern":
- Netzmaske: 255.192.0.0
- Broadcast-Adresse: 10.63.255.255
DHCP-Server Neustart:
$ sudo invoke-rc.d isc-dhcp-server restart
- Samba-Konfiguration anpassen:
Option hosts allow: statt 10.0.0.0/8 -> 10.0.0.0/10
Samba Neustart:
$ sudo invoke-rc.d samba restart
- Squid-Konfiguration anpassen:
Folgenden Patch einpflegen:
diff --git a/squid/squid-debian-edu.conf b/squid/squid-debian-edu.conf index 4631d5f..d7bdd7e 100644 --- a/squid/squid-debian-edu.conf +++ b/squid/squid-debian-edu.conf @@ -22,7 +22,7 @@ acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT # Grant access to the local networks -acl localnet src 10.0.0.0/8 # RFC1918 possible internal network +acl localnet src 10.0.0.0/10 # RFC1918 possible internal network acl localnet src 172.16.0.0/12 # RFC1918 possible internal network acl localnet src 192.168.0.0/16 # RFC1918 possible internal network acl localnet src fc00::/7 # RFC 4193 local private network range
Squid-Neustart:
$ sudo invoke-rc.d squid restart
Anmerkung: auf einem Debian 8.x TJENER: Datei unter /etc/squid3 und Service-Name ist auch squid3.
die Datei /etc/hosts.allow anpassen:
diff --git a/hosts.allow b/hosts.allow index 27e7de2..a9958fa 100644 --- a/hosts.allow +++ b/hosts.allow @@ -11,4 +11,4 @@ # for further information. # -syslog: 10. +syslog: 10.0.0.0/10
Ggf. auch Zugriff von 172.16.0.0/24 (Backbone-Netzwerk, für WiFi Access-Point Sysloggin) erlauben