Anpassungen für Uplink via IQSH-Glasfaser
Seit 2018 wird Schulen in Schleswig-Holstein ein Internet-Uplink via Glasfaser-Anbindung ans LandesWAN bereit gestellt. Der Internet-Uplink des Landes liegt in einem IPv4-Adresssegment 10.64.XXX.0/24. Hierfür musste die IP-Konfiguration des Edu-Netzwerks verglichen mit den Debian Edu Standard-Einstellungen leicht modiziert werden:
Uplink
IP-Adressvergabe via DHCP auf dem "RED" Interface, daraus folgt dann:
Subnetz: 10.64.<xxx>.0/24
Gateway: 10.64.<xxx>.1
pfSense RED (via DHCP): 10.64.<xxx>.<yyy>
- DNS-Server: 51.5.245.122
Rekonfiguration pfSense
Die pfSense musste minimal angepasst werden:
GREEN Interface: Subnetzgröße verkleinern, d.h.
- IP: 10.0.0.1
- Subnetzmaske: 255.192.0.0
- Broadcast: 10.63.255.255
D.h. das ursprünglich vom Debian Edu System erwartete 10/8er Netz wurde auf eine 10/10er Netz "verkleinert" (noch ¼ der Adressen verfügbar).
Rekonfiguration TJENER
Anpassen von /etc/network/interfaces
- IP: 10.0.2.2
- Subnetzmaske: 255.192.0.0
- Broadcast: 10.63.255.255
- Gateway: 1.0.0.1
- Anpassen des DHCP-Dienstes, in GOsa²'s DHCP-Dienst (unter Host: tjener): Verteiltes Netzwerk "intern":
- Netzmaske: 255.192.0.0
- Broadcast-Adresse: 10.63.255.255
DHCP-Server Neustart:
$ sudo invoke-rc.d isc-dhcp-server restart
- Samba-Konfiguration anpassen:
Option hosts allow: statt 10.0.0.0/8 -> 10.0.0.0/10
Samba Neustart:
$ sudo invoke-rc.d samba restart
- Squid-Konfiguration anpassen:
Folgenden Patch einpflegen:
diff --git a/squid/squid-debian-edu.conf b/squid/squid-debian-edu.conf index 4631d5f..d7bdd7e 100644 --- a/squid/squid-debian-edu.conf +++ b/squid/squid-debian-edu.conf @@ -22,7 +22,7 @@ acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT # Grant access to the local networks -acl localnet src 10.0.0.0/8 # RFC1918 possible internal network +acl localnet src 10.0.0.0/10 # RFC1918 possible internal network acl localnet src 172.16.0.0/12 # RFC1918 possible internal network acl localnet src 192.168.0.0/16 # RFC1918 possible internal network acl localnet src fc00::/7 # RFC 4193 local private network range
Squid-Neustart:
$ sudo invoke-rc.d squid restart
Anmerkung: auf einem Debian 8.x TJENER: Datei unter /etc/squid3 und Service-Name ist auch squid3.
- Zugriff via TCP-Wrapper einschränken (u.a. rsyslogd).
die Datei /etc/hosts.allow anpassen:
diff --git a/hosts.allow b/hosts.allow index 27e7de2..a9958fa 100644 --- a/hosts.allow +++ b/hosts.allow @@ -11,4 +11,4 @@ # for further information. # -syslog: 10. +syslog: 10.0.0.0/10
Ggf. auch Zugriff von 172.16.0.0/24 (Backbone-Netzwerk, für WiFi Access-Point Sysloggin) erlauben
- Anfragen an den DNS-Dienst auf TJENER an DNS-Resolver Dienst der pfSense weiterleiten und DNSSec aktivieren:
Die Datei /etc/bind/named.conf.options wie folgt anpassen:
diff --git a/bind/named.conf.options b/bind/named.conf.options index b1bef51..fbc43c9 100644 --- a/bind/named.conf.options +++ b/bind/named.conf.options @@ -10,15 +10,17 @@ options { // Uncomment the following block, and insert the addresses replacing // the all-0's placeholder. - // forwarders { - // 0.0.0.0; - // }; + forwarders { + 10.0.0.1; + }; //======================================================================== // If BIND logs error messages about the root key being expired, // you will need to update your keys. See https://www.isc.org/bind-keys //======================================================================== - dnssec-validation auto; + dnssec-enable yes; + dnssec-validation yes; auth-nxdomain no; # conform to RFC1035 listen-on-v6 { any; };
den Bind9 Daemon neu starten:
$ sudo invoke-rc.d bind9 restart