LimpBizkit 10 Geschrieben 21. September 2011 Melden Teilen Geschrieben 21. September 2011 Hallo liebes Forum, ich verwalte ein Schulnetz und versuche gerade, es ein wenig abzusichern. Derzeitiger Stand: Windows 2008 Server. Aufgesetzt mit AD und RADIUS. Einige Dutzend AP mit WPA-Extenden (EAP2). In der Domäne befinden sich derzeit ca. 10 Mitglieder (Domänencomputer) sowie ca. 100 Gast-PCs sowie diverse private Lehrer- und Schüler-PCs. Alle PCs bekommen ihre IPs entweder dynamisch oder statisch von einem B-Netz 172.16.x.x, ich habe Reservierungen vorgenommen, um anhand der MAC-IDs ein wenig zu gruppieren. Ich habe RADIUS erfolgreich so konfiguriert, dass er NUR die Domänencomputer in das Netzwerk lässt. Problem: Wie manage ich idealerweise den Zugang der Client-PCs ? Die haben teilweise Win7/XP/Home/Prof, also ich kann NICHT alle zu Domänencomputern machen. Ich habe verstanden, dass ich per NAS wieder einzelnen MAC-IDs Zugriff gewähren kann, was mir aber ziemlich unpraktisch erscheint. Daher meine Fragen: - Ich dachte, vielleicht per DHCP-Bereichen so etwas hinzubekommen. Klappt aber nicht, da mein Bereich 172.16.x.x nicht aufgeteilt werden kann. Muss/Soll ich da per subnets die Bereiche splitten? Also z.B. Bereich mit subnet 255.255.240.0 trennen - muss ich dann einen Router betrieben und den Clients auch das Subnet 255.255.0.0 zuweisen oder hat das damit nichts zu tun? - Welche - möglicherweise viel einfachere - Möglichkeit habe ich, nicht-Domänenmitglieder so zu identifizieren, dass ich Sie per RADIUS und NAS im Zugriff einschränken kann? Ich benötige drei "Gruppen" - Schule, Lehrer, Schüler - die dann für WLAN gezielt ein- und ausgeschaltet werden können. Es soll ohne Benutzerauthetifizierung funktionieren, da ich nicht für jeden Hansel ein Benutzerkonto anlegen möchte und außerdem sich sowas natürlich auch ruckzuck rumspricht. Hilfe wäre toll. Bitte um Nachsicht, bin im Thema Windows 2008 Server ziemlich neu, ist eigentlich gar nicht so mein Gebiet (meine letzten Aktionen waren auf NT4.0, da war das ja alles noch ziemlich anders....) Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 21. September 2011 Melden Teilen Geschrieben 21. September 2011 (bearbeitet) Hallo, vergesse es mit dem DHCP! Der ist zum Vergeben von IP-Adressen, der ist keine Möglichkeit zum Absichern. Der RADIUS ist schon das Richtige. Für den Domänenzugriff sollten Rechner und User in die Domäne, muss ja aber nicht zwingend sein. Und falls NAS nicht gewünscht, dann lassen. Welche Sicherheitsstufe habt ihr denn in eurem Schulnetzwerk: Cosmic Top Secret? Ich habe hier eine Trennung zwischen CLAN und WLAN. Die Domäne ist ein CLAN, ende der Fahnenstange. Über WLAN gibt es keine Verbindung zur Domäne. Die APs, der Router, der RADIUS des WLAN benutzen die Infrastruktur des CLAN per VLAN. Die Authenifizierung am RADIUS geschieht per Nummernblock, wechselnd per Quartal. Die Sekretariate geben Zettel mit einer Nummer auf Wunsch aus an einen Studenten oder Dozenten. Wieviele Leute eine Nummer benutzen, das ist egal. bearbeitet 21. September 2011 von lefg Zitieren Link zu diesem Kommentar
LimpBizkit 10 Geschrieben 21. September 2011 Autor Melden Teilen Geschrieben 21. September 2011 ne, mit DHCP abschirmen wollte ich nicht. ich wollte Bereiche in DHCP einrichten, anhand dere sich die NPS orientieren können. Ich habe gesehen, dass ich dort Richtlininen anhand der Bereiche einstellen kann. Ich würde dann anhand der MAC in DHCP eine Reservierung in einem Bereich vergeben, der dynamisch nichtzugänglich ist. kommt ein Client mit unbekannter MAC => dynmaische IP, keine NPS greift und WLAN gesperrt. kommt ein Client mit bekannter MAC => reservierte IP, dann greift eine NPS und gibt evt. WLAN frei. Ich kapier das mit den Bereichen bloß noch nicht. Da wir nur ein Netzwerk haben (172,16.x.x) - wie richte ich dann mehrere Bereiche darin ein? unser Problem ist, dass alle möglichen Leute mit Iphones etc. ins WLAN kommen und so munter Nachrichten austauschen, auch während Klausuren etc... da würde mir der Nummernblock auch nicht helfen, leider. Aber vielleicht gibt es eine bessere Idee... Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 21. September 2011 Melden Teilen Geschrieben 21. September 2011 .....Da wir nur ein Netzwerk haben (172,16.x.x) - wie richte ich dann mehrere Bereiche darin ein?...... Das ist kein Netzwerk, das ist ein Adressbereich. Im DHCP richtet man einen oder mehrere "Lease-Bereiche" ein, so gewünscht, notwendig. Ich habe da einen Adressbereich 192.168.0.0/23, der DHCP ist so eingerichtet , er vergibt Adressen von 192.168.0.30-192.168.1.199. Zitieren Link zu diesem Kommentar
LimpBizkit 10 Geschrieben 21. September 2011 Autor Melden Teilen Geschrieben 21. September 2011 Hei, vielen Dank, aber das mit den mehreren Bereichen rall ich nicht.. also mein server hat 172.16.0.1 / 255.255.0.0 und ich habe den Bereich 172.16.100.1 bis 172.16.255.254 vergeben. Ausgeschlossen sind 101.1 bis 255.254, dynamisch verteilt werden 100.1 bis 255.254 aber da kann ich keine weiteren Bereiche anlegen. Wenn ich einen neuen Bereich anlege mit 172.16.20.1 bis 172.16.20.254 gibts Mecker wegen Überschneidung. Liegt wohl daran, da gleiches Netz.... Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 21. September 2011 Melden Teilen Geschrieben 21. September 2011 Wozu willst Du denn mehrere Bereiche anlegen? Kann es sein, Du steigerst dich da in etwas hinein? Mehrere Bereiche richte ich z.B. ein bei der Verwendung mehrerer Netzwerkinterfaces: Auf LAN-Verbindung 1: 192.168.0.11/24 einen Lease-Bereich, dieser muss innerhalb von 192.168.0.x/24 liegen auf LAN-Verbindung 2: 192.168.1.11/24 einen weiteren Bereich, dieser muss innerhalb von 192.168.1.x/24 liegen Zitieren Link zu diesem Kommentar
LimpBizkit 10 Geschrieben 21. September 2011 Autor Melden Teilen Geschrieben 21. September 2011 Hm. Naja, du schriebst, ich kann einen oder mehrere Lease-Bereiche einrichten - daher hatte ich das nun versucht. Eigentlich will ich das nicht, aber wenn ich es könnte, wurde ich auf Bereich 1 per NPS das WLAN freigeben und auf Bereich 2 eben nicht. Eine Aufteilung in echte Subnetze (ich meine nicht VLAN) brauche ich eigentlich nicht. Wie VLANs eingerichtet werden, muss ich nun wohl mal schauen.... Ich dachte immer VLANs sind alle im gleichen Netz, nur per IP-Bereiche getrennt - damit man einem Switch sagen kann, was über welchen Port soll. Dann wäre es ja gut, wenn man mit DHCP die IPs in die richtigen Bereiche verteilt - das krieg ich nicht hin. Derzeit greift meine NPS über die MAC-ID, aber ich brauche wirklich für jeden WLAN-Client (der kein Computerkonto in der Domäne hat) eine eigene Richtlinie. Das möchte ich vermeiden. Die einzige Verknüpfung zwischen DHCP und NPS sehe ich in den Bereichsnamen. Ich versuche mal anders zu fragen: Wie würde man 100 PCs mit z.B. Windows Home per NPS vernünftig im Netzwerkzugriff beschränken? Bzw. 30-40 Iphones, von denen nur bestimmte ins WLAN sollen? Ich kann derzeit nur NPS mit einer Richtlinie pro MAC-ID, das ist extrem viel Aufwand. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 21. September 2011 Melden Teilen Geschrieben 21. September 2011 (bearbeitet) VLAN hat nichts mit verschiedenen IP-Bereichen zu tun. Zum Einrichten von VLANS benötigt man dazu fähiges Netzwerkmaterial, die Interfaces, Switches, Router, Geräte oberhalb VLAN 1 (kann auch oberhalb von 0 sein, je nach Hersteller) erhalten einen Tag oder Id, 1- 255 auf der IP, schau mal den Einstellungen des Netzwerktreibers, Konfiguration der Switches! VLAN dient dazu, auf der selben Netzwerkinfrastruktur getrennte Netze zu betreiben für verschiedene Organisationen. Zu deinem Vorhaben kann ich dir nicht wirklich weiter helfen. Ich habe keinen 2008 zur Verfügung, kann nicht schauen, ob das von dir angestrebte möglich. Ich frage mich nur, ob das so sinnvoll ist? Du müsstest da doch jedes Gerät einpflegen. Bei uns sind dauernd neue Leute auf dem Campus, bringen neue Geräte mit. Ich möchte nochmals auf meinen vorherigen Beitrag zurückkommen, diesen erläutern: Das WLAN ist vom CLAN, der Domäne vollkommen getrennt. Die Geräte des WLAN erhalten keinen Zugriff auf die Domäne, auf deren Kabelnetz. Das WLAN bestehht aus einer Reihe von APs auf dem Gelände, diese verbunden über ein VLAN mit einem speziell für diesen konfigurierten Router mit RADIUS. Das VLAN ermöglicht die Benutzung der Infrastruktur des Backboone zwischen RouterRADIUS und den APs, falls es freie Kabel gegeben hätte, wären diese benutzt worden. Der RADIUS hat auch die Rolle des DHCP. bearbeitet 21. September 2011 von lefg Zitieren Link zu diesem Kommentar
LimpBizkit 10 Geschrieben 21. September 2011 Autor Melden Teilen Geschrieben 21. September 2011 Ja, aber ihr habt das WLAN ja im Prinzip für Studenten frei, oder? Wenn ich einem Schüler für sein privates Notebook das WLAN freigebe, dann sind binnen weniger Tage hunderte I-Phones drin und legen das Netz fast lahm. Also ich kann nicht mit irgendeinem Key arbeiten, der nicht an das Gerät gebunden ist. Zudem würde ich gerne während der Prüfung alle Schüler-Geräte für Netzwerkzugriffe einfach sperren können (indem ich z.B. irgendeine Richtlinie temporär deaktiviere) Das geht so bei euch ja nicht, oder habe ich es mit CLAN usw. falsch verstanden? Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 21. September 2011 Melden Teilen Geschrieben 21. September 2011 Die Studenten schreiben die Klausuren an unseren Rechnern im CLAN, sie dürfen keine eigenen benutzen, andere Geräte, Phones sind nicht zugelassen. Nun, Du hast dir eine Aufgabe gestellt, bei der ich nicht weiter helfen kann. Möglicherweise sieht ja ein anderer Member eine Lösung dafür. Du könntest einen neuen Thread aufmachen, mit einen aussagekräftigeren Titel. Zitieren Link zu diesem Kommentar
LimpBizkit 10 Geschrieben 21. September 2011 Autor Melden Teilen Geschrieben 21. September 2011 okay, trotzdem vielen Dank! Ich versuche das jetzt mal mit nem neuen Thread... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.