== Anpassungen für Uplink via IQSH-Glasfaser == Seit 2018 wird Schulen in Schleswig-Holstein ein Internet-Uplink via Glasfaser-Anbindung ans LandesWAN bereit gestellt. Der Internet-Uplink des Landes liegt in einem IPv4-Adresssegment 10.64.XXX.0/24. Hierfür musste die IP-Konfiguration des Edu-Netzwerks verglichen mit den Debian Edu Standard-Einstellungen leicht modiziert werden: === Uplink === IP-Adressvergabe via DHCP auf dem "RED" Interface, daraus folgt dann: * Subnetz: 10.64..0/24 * Gateway: 10.64..1 * pfSense RED (via DHCP): 10.64.. * DNS-Server: 51.5.245.122 === Rekonfiguration pfSense === Die pfSense musste minimal angepasst werden: GREEN Interface: Subnetzgröße verkleinern, d.h. * IP: 10.0.0.1 * Subnetzmaske: 255.192.0.0 * Broadcast: 10.63.255.255 D.h. das ursprünglich vom Debian Edu System erwartete 10/8er Netz wurde auf eine 10/10er Netz "verkleinert" (noch ¼ der Adressen verfügbar). === Rekonfiguration TJENER === 1. Anpassen von {{{/etc/network/interfaces}}} * IP: 10.0.2.2 * Subnetzmaske: 255.192.0.0 * Broadcast: 10.63.255.255 * Gateway: 1.0.0.1 1. Anpassen des DHCP-Dienstes, in GOsa²'s DHCP-Dienst (unter Host: tjener): Verteiltes Netzwerk "intern": * Netzmaske: 255.192.0.0 * Broadcast-Adresse: 10.63.255.255 * DHCP-Server Neustart:{{{ $ sudo invoke-rc.d isc-dhcp-server restart }}} 1. Samba-Konfiguration anpassen: * Option {{{hosts allow}}}: statt 10.0.0.0/8 -> 10.0.0.0/10 * Samba Neustart:{{{ $ sudo invoke-rc.d samba restart }}} 1. Squid-Konfiguration anpassen: * Folgenden Patch einpflegen:{{{ diff --git a/squid/squid-debian-edu.conf b/squid/squid-debian-edu.conf index 4631d5f..d7bdd7e 100644 --- a/squid/squid-debian-edu.conf +++ b/squid/squid-debian-edu.conf @@ -22,7 +22,7 @@ acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT # Grant access to the local networks -acl localnet src 10.0.0.0/8 # RFC1918 possible internal network +acl localnet src 10.0.0.0/10 # RFC1918 possible internal network acl localnet src 172.16.0.0/12 # RFC1918 possible internal network acl localnet src 192.168.0.0/16 # RFC1918 possible internal network acl localnet src fc00::/7 # RFC 4193 local private network range }}} * Squid-Neustart: {{{ $ sudo invoke-rc.d squid restart }}} * Anmerkung: auf einem Debian 8.x TJENER: Datei unter {{{/etc/squid3}}} und Service-Name ist auch {{{squid3}}}. 1. Zugriff via TCP-Wrapper einschränken (u.a. rsyslogd). * die Datei {{{/etc/hosts.allow}}} anpassen:{{{ diff --git a/hosts.allow b/hosts.allow index 27e7de2..a9958fa 100644 --- a/hosts.allow +++ b/hosts.allow @@ -11,4 +11,4 @@ # for further information. # -syslog: 10. +syslog: 10.0.0.0/10 }}} * Ggf. auch Zugriff von 172.16.0.0/24 (Backbone-Netzwerk, für WiFi Access-Point Sysloggin) erlauben 1. Anfragen an den DNS-Dienst auf TJENER an DNS-Resolver Dienst der pfSense weiterleiten und DNSSec aktivieren: * Die Datei {{{/etc/bind/named.conf.options}}} wie folgt anpassen: {{{ diff --git a/bind/named.conf.options b/bind/named.conf.options index b1bef51..fbc43c9 100644 --- a/bind/named.conf.options +++ b/bind/named.conf.options @@ -10,15 +10,17 @@ options { // Uncomment the following block, and insert the addresses replacing // the all-0's placeholder. - // forwarders { - // 0.0.0.0; - // }; + forwarders { + 10.0.0.1; + }; //======================================================================== // If BIND logs error messages about the root key being expired, // you will need to update your keys. See https://www.isc.org/bind-keys //======================================================================== - dnssec-validation auto; + dnssec-enable yes; + dnssec-validation yes; auth-nxdomain no; # conform to RFC1035 listen-on-v6 { any; }; }}} * den Bind9 Daemon neu starten:{{{ $ sudo invoke-rc.d bind9 restart }}}