paedML® Linux - Landesmedienzentrum Baden

Beratung und Support
Technische Plattform
Support-Netz-Portal
paedML® – stabil und zuverlässig vernetzen
Anleitung
WLAN in der paedML Linux
Stand 14.04.2015
paedML® Linux
Version: 6.0
Impressum
Herausgeber
Landesmedienzentrum Baden-Württemberg (LMZ)
Support-Netz
Rotenbergstraße 111
70190 Stuttgart
Autoren
der Zentralen Expertengruppe Netze (ZEN),
Support-Netz, LMZ
Roland Walter
Endredaktion
Doreen Edel
Bildnachweis Titelbilder:
Thinkstock
Weitere Informationen
www.support-netz.de
www.lmz-bw.de
Änderungen und Irrtümer vorbehalten.
Veröffentlicht: 2015
© Landesmedienzentrum Baden-Württemberg
Inhaltsverzeichnis
1.
Überlegungen zum Aufbau eines Schul-WLANs .............................. 5
2.
Differenzierung von Geräten nach Besitz .......................................... 8
2.1
2.2
Schulfremde Geräte ....................................................................................................... 8
Schuleigene Geräte ....................................................................................................... 8
3.
Integrationsmöglichkeiten .................................................................. 9
3.1
3.2
3.3
Integration mobiler Endgeräte in das Gäste-Netz........................................................ 11
Teil-Integration mobiler Endgeräte in das pädagogische Netz .................................... 11
Voll-Integration mobiler Endgeräte in das pädagogische Netz .................................... 12
4.
Inbetriebnahme von Access-Points ................................................. 13
4.1
4.1.1
4.1.2
4.1.3
4.1.4
4.2
4.2.1
4.2.2
4.2.3
Betrieb von Access-Points im Gäste-Netz ................................................................... 13
Einrichtung des Gäste-Netzes ..................................................................................... 14
Einstellungen an den Access-Points ........................................................................... 14
Firewall-Konfiguration .................................................................................................. 16
Einstellungen an den Clients im Gäste-Netz-WLAN.................................................... 17
Betrieb von Access-Points im pädagogischen Netz .................................................... 19
Aufnahme der Access-Points in das pädagogische Netz ............................................ 19
Einrichten der Access-Points ....................................................................................... 20
Einrichten der Endgeräte ............................................................................................. 21
Vorwort
Die Entwicklung in der IT schreitet stetig voran. Die paedML ist ein System, das seit der ersten offiziellen
Veröffentlichung im Jahre 2001 im Kontext kabelgebundener Netzwerke entwickelt wurde. In der
Zwischenzeit hat sich einiges getan. Sowohl WLAN als auch mobile Endgeräte bekommen einen immer
höheren Stellenwert. Wir wollen mit dem folgenden Dokument Konzepte für die Einrichtung einer WLANInfrastruktur in der paedML aufzeigen.
Dieses Dokument richtet sich an Hardwarehändler und erfahrene Netzwerkberater, die mit dem Aufbau
eines schulischen WLANs betraut sind.
Wir freuen uns immer über eine Rückmeldung zu unseren Produkten.
Wenn Sie konkrete Verbesserungsvorschläge zu dieser Anleitung oder zu technischen Rahmenbedingungen – insbesondere im Zusammenhang mit der Integration
mobiler Endgeräte – haben, nehmen Sie bitte Kontakt mit unserer Hotline auf.
Wir bitten Sie um Verständnis, dass unsere Mitarbeiter keinen Support für die
Integration und Verwaltung von Endgeräten bieten können.
Dies gilt auch für die Einrichtung und Bedienung von Netzwerkkomponenten.
paedML® Linux / Version: 6.0 / Anleitung / Stand 14.04.2015
Seite 4
1. Überlegungen zum Aufbau eines Schul-WLANs
Kabelnetzwerke haben derzeit – gegenüber drahtloser Netzwerktechnik – entscheidende Vorteile:

Höhere Bandbreiten – Der Datendurchsatz bei Geräten mit entsprechender Gigabit-KabelAnbindung ist in der Regel höher, als bei WLAN-Geräten. Sofern Clients und Access-Points den
WLAN-Standard 802.11ac unterstützen, können unter idealen Bedingungen vergleichbare
Geschwindigkeiten ohne Kabelverbindung erreicht werden.

Höhere Zuverlässigkeit – Störfaktoren, die bei drahtloser Kommunikation auftreten können, sind
nicht vorhanden.

Häufig sind schon Netzwerkkabel in Schulhäusern verlegt. WLAN-Technologie bedeutet in solchen
Fällen ein Upgrade der Infrastruktur, das mit neuen Kosten verbunden ist. Davon abgesehen ist der
Aufbau eines WLANs keine eigenständige Infrastruktur. Es benötigt immer Kabelverbindungen
zwischen Server und Access-Points, also eine „strukturierte Verkabelung“, um ein Schulgebäude zu
vernetzen. WLAN in Schulgebäuden ist also eine Technologie, die „on top“ auf Kabelnetzwerke
aufgesetzt wird.
Consumer- vs. Professional-Geräte
Höhere Anforderungen an WLAN-Geräte in der Schule führen dazu, dass ein professioneller AccessPoint im Vergleich zu einem Consumer-Gerät für den Heimgebrauch ein Mehrfaches kostet. Der
gleichzeitige Netzwerk-Zugriff einer Schulklasse stellt andere Ansprüche an die Infrastruktur als das
Surfen mit dem Tablet auf dem heimischen Sofa.
Professionelle Geräte bieten außerdem in der Regel die Möglichkeit Gäste- und pädagogisches Netz an
einem Gerät zur Verfügung zu stellen. Per VLAN können die unterschiedlichen Netze an
unterschiedliche SSIDs1 durchgereicht werden.
Bandbreite
Es ergibt keinen Sinn einen Access-Point mit 100 Megabit an das Schulnetz anzuschließen, wenn ein
Klassensatz Tablets darüber angebunden werden soll. Hier sind Gigabit-Anschlüsse erforderlich2.
Dualband
Wenn die Access-Points auf mehreren Frequenzbereichen (Stichwort Dualband) arbeiten, stören sich
die WLAN-Router im Schulnetz im Idealfall weniger. Geräte, die die Dualband-Technologie unterstützen,
senden gleichzeitig in zwei Frequenzbereichen (2,4 und 5 GHz) 3.
Ausleuchtung
Im Vorfeld der WLAN-Einrichtung sollte geklärt werden, welche Anforderungen ein WLAN-Netz erfüllen
muss. Für eine gute Ausleuchtung der Schulräume müssen mehrere Access-Points beschafft werden.
Ausbaustufen
1
http://de.wikipedia.org/wiki/Service_Set#Service_Set_Identifier
2
Es ergibt natürlich auch bei Kabelnetzwerken keinen Sinn, mehrere Benutzer mit geringer Bandbreite an das Schulnetz
anzuschließen und zu erwarten, dass ein reibungsloses Unterrichten mit Computern möglich ist.
3
http://de.wikipedia.org/wiki/Wireless_Local_Area_Network#Frequenzen_und_Kan.C3.A4le
paedML® Linux / Version: 6.0 / Anleitung / Stand 14.04.2015
Seite 5
Daneben gibt es aber auch verschiedene Ausbaustufen der WLAN-Ausleuchtung. Angefangen bei der
Insellösung für den WLAN Internet-Zugang im Lehrerzimmer, über die Einrichtung von Funknetzen in
einzelnen Klassenzimmern bis hin zur Verfügbarkeit eines Funknetzes auf dem gesamten Schulcampus.
Bei einer campusweiten Abdeckung wird dringend eine „Ausleuchtungsanalyse“ empfohlen.
Skalierbarkeit und zentrale Verwaltung
Achten Sie bei der Einrichtung der WLAN-Infrastruktur darauf, dass die Access-Points bei wachsender
Stückzahl zentral verwaltet werden können. Dadurch wird gewährleistet, dass nicht jedes Gerät manuell
konfiguriert werden muss. Stattdessen können Einstellungen, die auf alle Geräte ausgespielt werden
sollen, zentral vorgenommen werden.
Zusätzlich ermöglicht eine zentral verwaltete WLAN-Lösung in der Regel, dass die einzelnen AccessPoints aufeinander abgestimmt arbeiten. Bei der Einrichtung heterogener Geräte kann es dazu
kommen, dass die Funkzellen sich gegenseitig stören.
Diese Funktion ist bei Consumer-Geräten in der Regel nicht gegeben.
Sicherheit
Im klassischen Computerraum muss ein Schüler erst einen Zugang zur Netzwerkdose bekommen, um
sich mit dem eigenen Laptop in das Schulnetz zu verbinden. Diese Hürde ist mit WLAN nicht mehr zu
überwinden. So kann ein Schüler auch in der Mittagspause versuchen auf dem Schulhof in ein
verfügbares WLAN einzudringen. Hierbei ist darauf zu achten, dass WLAN-Passwörter (WPA2Schlüssel) nicht frei zugänglich sind.
Es wird empfohlen als Sicherheitsstandard für die WLAN-Verbindungen WPA24 einzusetzen.
Trennung der Geräte im WLAN (gilt nur für Gäste-Netz)
Einige Geräte unterstützen die Trennung der Rechner im WLAN (Stichwort „Client Isolation“, „AccessPoint Isolation“). Hierdurch kann zum Beispiel verhindert werden, dass Schüler Dateien über Filesharing-Programme untereinander im Netzwerk austauschen.
Fazit
Die Anforderungen an eine professionelle WLAN-Infrastruktur unterscheiden sich stark von den
Anforderungen an ein WLAN zu Hause. Dies muss bei der Anschaffung und Einrichtung von Hardware
berücksichtigt werden.
Ein WLAN ist eine Erweiterung der bestehenden IT-Infrastruktur, die im Gegensatz zum Kabelnetz, ein
paar Besonderheiten hat, auf die geachtet werden muss.
Die Einrichtung von WLAN ist abhängig von verschiedenen Faktoren:
1. Pädagogisches Konzept – wie soll im Schulnetz gearbeitet werden?
2. Räumliche Bedingungen – Wie viele Geräte sollen in welchen Räumen der Schule genutzt werden.
3. Quantität des Zugriffs – Sollen einzelne Geräte oder ganze Klassenverbände gleichzeitig auf das
WLAN zugreifen?
4
http://de.wikipedia.org/wiki/WPA2#Verschl.C3.BCsselung
paedML® Linux / Version: 6.0 / Anleitung / Stand 14.04.2015
Seite 6
4. Auf welche Infrastruktur wird das WLAN aufgesetzt? – Ist eine Verkabelung in dem Raum, an dem
WLAN zur Verfügung gestellt werden soll, vorhanden? Wie schnell ist die Anbindung an das
Schulnetz?
Details sowie Hardwareempfehlungen für den Aufbau eines WLANs in der Schule
erfragen Sie bitte bei Ihrem Hardwarehändler.
Die Schulnetzberatung kann Ihnen ebenfalls in der Planung der Netzwerkinfrastruktur
behilflich sein.
Wir raten Ihnen dringend in einem frühen Planungsstadium der Konzeption Ihres
WLANs Kontakt mit der Schulnetzberatung und Ihrem Hardwarehändler
aufzunehmen.
Sichern Sie sich ab, bevor Sie in die WLAN-Ausleuchtung Ihrer Schule investieren!
Befragen Sie Gesamtlehrerkonferenz, Schulkonferenz (Eltern) und Schulträger und
holen Sie sich jeweils im Vorfeld die Zustimmung.
Definition
Die Begriffe Router und Access-Point werden gerne analog benutzt. Formal ist das
nicht richtig!
Router sind Geräte, die verschiedene Netzwerke miteinander verbinden 5.
Access-Points reichen lediglich das kabelgebundene Netzwerk per WLAN an den
Client durch6.
Um die Funktionen dieser Anleitung umsetzen zu können, sollten Access-Points
verwendet werden.
5
http://de.wikipedia.org/wiki/Router
6
http://de.wikipedia.org/wiki/Wireless_Access_Point
paedML® Linux / Version: 6.0 / Anleitung / Stand 14.04.2015
Seite 7
2. Differenzierung von Geräten nach Besitz
Es wird empfohlen, im Zusammenhang mit der Anbindung von mobilen Endgeräten an die schulische
Netzwerkumgebung die Frage zu klären, wem die Endgeräte gehören.
2.1 Schulfremde Geräte
Zur Klasse der schulfremden Geräte gehören alle Endgeräte (Smartphones, Tablets, Laptops,…) die
sowohl Lehrkräfte, als auch Schüler mitbringen und nicht im Schuleigentum sind.
Der Umgang mit schulfremden Geräten birgt verschiedene Probleme:


Haftungsfragen

Wer ist verantwortlich, wenn die Geräte durch administrativen Eingriff in das Netzwerk
beschädigt werden, bzw. ein Datenverlust eintritt, weil beispielsweise das Imaging-System des
Schulnetzes den Rechner neu installiert hat?

Kann der Schutz persönlicher Daten auf schulfremden Endgeräten gewährleistet werden?

(Wie) Kann ausgeschlossen werden, dass über das schulische WLAN keine urheberrechtlich
geschützten Dateien getauscht werden?
Sicherheitsaspekte

Über private Geräte kann Schadsoftware in das Schulnetz eingebracht werden.

Es gibt keinerlei Kontrolle über Software, die auf den Endgeräten eingesetzt wird. Auch die
Rechte dieser Geräte können nicht kontrolliert werden.
Ein extremes Beispiel wäre der technisch versierte Nutzer der Software einsetzt, mit der der
Netzverkehr abgehört wird. Über diese Technik kann man zum Beispiel im Klartext übertragene
Kennwörter auslesen.
Aufgrund der genannten Probleme, die auftreten können, wenn fremde Rechner in schulische
Infrastruktur integriert werden, raten wir dringend davon ab, schulfremde Geräte in das pädagogische
Netz einzubinden!
Denkbar ist jedoch, schulfremde Geräte in das Gäste-Netz einzubinden und einen Internetzugang, der
beispielsweise für die Internet-Recherche genutzt werden kann, zur Verfügung zu stellen (vgl. Abbildung
1).
2.2 Schuleigene Geräte
Unter schuleigenen Geräten werden alle Endgeräte verstanden, die der Schule gehören. Diese werden
in der Regel von der paedML verwaltet und mit Software versorgt.
Die Integration von Windows-Rechnern in das pädagogische Netz wird im Administrator-Handbuch der
paedML beschrieben. Nicht Windows-Geräte werden in einer gesonderten Anleitung behandelt.
paedML® Linux / Version: 6.0 / Anleitung / Stand 14.04.2015
Seite 8
3. Integrationsmöglichkeiten
Die paedML Linux wird mit zwei vorkonfigurierten Netzwerken ausgeliefert, in die Rechner
aufgenommen werden können.
Die folgende Abbildung zeigt den schematischen Aufbau des pädagogischen Netzes. Auf dem
Virtualisierungs-Server (dunkelblau) können verschiedene Netzsegmente eingerichtet werden. Je
Netzsegment wird ein physikalischer Netzwerkadapter (Network Interface Card „NIC“) benötigt. Für den
Betrieb der paedML unabdingbar sind die Einrichtung des pädagogischen Netzes (grün), sowie ein
Internetzugang (rot), über den das System unter anderem mit Updates versorgt werden kann.
Der Betrieb des Netzsegmentes „Gästenetz“ (hellblau) ist optional. Über das Gäste-Netz kann
schulfremden Geräten ein Internetzugang gewährt werden. Dieses Netz ist nicht mit dem
pädagogischen Netz verbunden – Benutzer können also nicht direkt auf schulische Ressourcen
zugreifen.
Abb. 1: Schematischer Aufbau der paedML Linux-Netze
Über das Gäste-Netz kann nur eine Internetverbindung via HTTP aufgebaut werden. Der Internetzugriff
wird (über eine Anmeldung am Proxy-Server, der auf dem Server läuft7) protokolliert und – mit
demselben Filter, der im pädagogischen Netz aktiv ist – gefiltert.
Das Pädagogische Netz ist das Netz, in dem unterrichtet wird. Hier finden Sie die schulischen
Ressourcen wie Home-Verzeichnisse oder Tauschlaufwerke. Benutzeraktivitäten benötigen eine
7
Jeder Benutzer des Schulnetzes muss sich mit den Zugangsdaten am Schulnetz anmelden. Die Anmeldung an einem
Rechner in der Domäne ermöglicht es ohne weitere Authentifikation im Internet zu surfen. Benutzer von Rechnern im
Gästenetz müssen sich zunächst mit Ihren Schulzugangsdaten am Proxy-Server authentifizieren, bevor Sie einen
Internetzugriff bekommen.
paedML® Linux / Version: 6.0 / Anleitung / Stand 14.04.2015
Seite 9
Anmeldung und werden protokolliert. Der Internetzugang kann gesteuert werden und es gibt einen
Inhaltsfilter. Lehrkräfte können Daten zur Verfügung stellen und einsammeln. Bei einer Vollintegration
von Schülerrechnern können diese kontrolliert und gesteuert werden. Außerdem können Sie
Klassenarbeiten mit den Rechnern durchführen.
Für die Integration mobiler Geräte sind drei Szenarien denkbar, die im Folgenden beschrieben werden.
Die technische Umsetzung wird in Kapitel 4 „Inbetriebnahme von Access-Points“ beschrieben.
Abb. 2: Integration mobiler Endgeräte in die paedML Linux
Wir empfehlen bei der Einrichtung folgende Punkte zu beachten:
1. Vergeben Sie für jedes Netz einen eigenen WPA2-Schlüssel.
2. Die WPA2-Schlüssel sollten nur den Administratoren – inklusive Netzwerkberater
– bekannt sein8.
Wenn Geräte über WLAN in das grüne Netz integriert wurden, können Benutzerüber
Samba-Freigaben auf freigegebene Ressourcen (z.B. das eigene Home-Verzeichnis)
zugreifen. Dies gilt auch für Geräte, die nicht Mitglied der Samba-Domäne sind.
8
Verbinden Sie alle Geräte persönlich mit dem WLAN. Wenn das Kennwort nicht schulweit bekannt ist, kann Missbrauch
unterbunden werden.
paedML® Linux / Version: 6.0 / Anleitung / Stand 14.04.2015
Seite 10
3.1 Integration mobiler Endgeräte in das Gäste-Netz
Schulfremde Geräte sollten ausschließlich in das Gäste-Netz aufgenommen werden. Die oben
genannten Risiken (Haftungsfragen und Sicherheitsaspekte) können hierdurch minimiert werden.
Um Geräte in das Gäste-Netz einzubinden, benötigen Sie Access-Points, die über das Netzwerk „Gäste“
an die pfSense-Firewall angeschlossen werden.
Eine Integration von schulfremden Geräten in das Gäste-Netz kann– neben der Anbindung über WLAN
– auch über eine Kabelverbindung erfolgen, sofern das Gäste-Netz auf Netzwerkdosen im Schulhaus
verfügbar gemacht wurde.
Die Einbindung von schuleigenen Geräten in das Gästenetz ergibt in der Regel keinen Sinn, da
im Gäste-Netz zentrale pädagogische Funktionen und Netzwerkressourcen nicht zur Verfügung
stehen
Benutzer des Gäste-Netzes haben die Möglichkeit – nach einer Authentifizierung am Proxy des
Schulservers – auf das Internet zuzugreifen. Im Auslieferungszustand der paedML Linux können
Benutzer im Gäste-Netz nur im Internet surfen. Alle anderen Zugriffe sind deaktiviert.
Ein Zugriff auf das Schulnetz und die darin befindlichen Daten ist nur über eine openVPN-Verbindung
möglich9.
Es sollte überlegt werden, ob der WLAN-Zugang schulfremder Geräte nur für
Lehrkräfte oder auch für Schüler ermöglicht werden soll.
Ein Zugang, der nur für Lehrkräfte bereitgestellt wird, benötigt aufwändigere
Sicherheitsmechanismen, ohne die auch Schüler schnell Zugang zum WLAN
erhalten können:

regelmäßiger Kennwortwechsel (WPA2-Schlüssel)

Kennwort geheim halten (zum Beispiel in dem nur der Netzwerkberater Geräte in
das WLAN aufnimmt und das Kennwort nicht an Kollegen weiter gibt)

Änderung der Admin-Kennwörter für die Anmeldung an der Konfigurationsmaske
der Access-Points
3.2 Teil-Integration mobiler Endgeräte in das pädagogische Netz
Bei der Teil-Integration handelt es sich um die Einbindung schuleigener Geräte in das pädagogische
Netzwerk, wobei hier nicht alle Funktionen der paedML verfügbar sind.
Es sind verschiedene Szenarien denkbar:
9
Die Einrichtung von openVPN wird im Administratorhandbuch (http://www.lmz-bw.de/technischeunterstuetzung/kundenportal/linux/dokumentationen.html ) beschrieben.
paedML® Linux / Version: 6.0 / Anleitung / Stand 14.04.2015
Seite 11

Integration von nicht-Windows-Geräten – Wiederherstellung und Softwareverteilung über FremdSoftware bzw. manuell je Gerät. Ein Beispiel hierfür wäre der Einsatz von iPads oder AndroidTablets.

Integration von Windows-Geräten (Laptops/Tablets), die nicht über opsi installiert werden.
Softwareverteilung ist nach dem Ausspielen des opsi-Client-Produktes möglich. Das
Wiederherstellen dieser Geräte geschieht über Recovery-Prozeduren des Herstellers,
beziehungsweise über Software von Drittanbietern.
Folgende Einschränkungen sind im Fall einer nicht vollständigen Integration möglich (abhängig von der
Konfiguration der Geräte müssen nicht alle Einschränkungen zutreffen):

Der Zugriff auf Schul-Laufwerke muss bei nicht-Windows-Geräten gesondert eingerichtet werden.

Benutzer von Windows-Geräten können sich nach dem Einspielen der opsi-Pakete für den
Domänenbeitritt an der Domäne anmelden und auf Schul-Laufwerke zugreifen.

Ohne opsi-client-agent-Installation ist keine Verwaltung von Programmen oder der BetriebssystemInstallation über Mechanismen der paedML möglich.

Nicht über opsi installierte Geräte können nicht mit opsi gesichert oder wieder hergestellt werden.

Keine italc-Integration – Rechner können nicht mit paedML-Bordmitteln überwacht und über das
Computerraummodul gesteuert werden.

Für nicht voll in die Domäne integrierte Geräte ist kein Klassenarbeitsmodus verfügbar10.
3.3 Voll-Integration mobiler Endgeräte in das pädagogische Netz
Schuleigene Geräte, die mit opsi verwaltet werden11, können alle Funktionen der paedML Linux nutzen.
Diese Geräte laufen ausschließlich unter Windows.
Aus Gründen der Performance, wird dringend empfohlen, dass mobile Endgeräte
nicht über WLAN mit Software bespielt werden.
Wenn Sie Installationen von Betriebssystem oder Programmen durchführen wollen,
sollten die Geräte immer über ein Netzwerkkabel mit dem Pädagogischen Netz
verbunden werden!
10
Dies gilt insbesondere bei nicht unterstützten Betriebssystemen!
11
Die Geräte-Verwaltung von Windows-Systemen mit opsi wird ausführlich im Administratorhandbuch, das Sie unter
http://www.lmz-bw.de/technische-unterstuetzung/kundenportal/linux/dokumentationen.html herunter laden können,
beschrieben.
paedML® Linux / Version: 6.0 / Anleitung / Stand 14.04.2015
Seite 12
4. Inbetriebnahme von Access-Points
Access-Points können sowohl im Gäste-Netz als auch im pädagogischen Netz betrieben werden. Die
Geräte müssen jeweils so konfiguriert sein, dass KEIN DHCP-Dienst auf den Access-Points aktiv ist.
Stattdessen müssen die Geräte transparent IP-Adress-Anfragen der Rechner und Antworten des
paedML Systems (Stichwort „DHCP-Relaying“) weitergeben.
Abb. 3: Access-Points in den Netzen der paedML
4.1 Betrieb von Access-Points im Gäste-Netz
Während der Installation der paedML Linux haben Sie die Möglichkeit unterschiedliche Netzwerke
einzurichten (vgl. Kapitel 3). Das Gäste-Netz muss einrichtet werden und eine physikalische
Netzwerkkarte im paedML Virtualisierungs-Host zugewiesen bekommen.
Nach der Einrichtung des Gästenetzes können Sie diese Schnittstelle in Ihrer Schule verfügbar machen.
Dies kann mittels strukturierter Verkabelung auf Netzwerkdosen geschehen. Sie können aber auch
Access-Points in das Gäste-Netz einbinden, über die mobile Geräte eine Verbindung herstellen können.
Übersicht über die notwendigen Arbeitsschritte
 Einrichten des Gästenetzes am Server

Einrichten der Access-Points

Einrichten der Endgeräte
paedML® Linux / Version: 6.0 / Anleitung / Stand 14.04.2015
Seite 13
4.1.1 Einrichtung des Gäste-Netzes
Im Installationshandbuch12 der paedML Linux wird im Kapitel „Konfiguration der virtuellen Netzwerke“
beschrieben, wie Sie unter vmware ESXi Netzwerke definieren und Netzwerkkarten zuweisen.
Wenn diese Arbeitsschritte ausgeführt wurden und eine physikalische Netzwerkkarte für das Gäste-Netz
im Server eingebaut ist, können Sie mit der Einrichtung des Gäste-Netzes fortfahren.
Die Einrichtung einer WLAN-Infrastruktur setzt – wie bereits angesprochen – eine strukturierte
Verkabelung des Schulhauses voraus. Vom Serverraum zum Einsatzort des Access-Points müssen
Kabel gezogen werden, über die eine Verbindung mit dem Server möglich ist. Es wird empfohlen
Access-Points über Gigabit-Anschluss mit dem Server zu verbinden.
4.1.2 Einstellungen an den Access-Points
Für den Betrieb von WLAN-Geräten im Gäste-Netz muss die LAN-Schnittstelle der Access-Points
folgendermaßen konfiguriert werden:
Einstellung
Wert
IP-Adresse des Access-Points
Empfohlen: Bezug der Netzwerkeinstellungen über DHCP.
Wenn feste IP-Adressen eingetragen werden, dann aus dem
Bereich 172.16.0.1 bis 172.16.1.254
Ausgenommen ist die IP-Adresse der pfSense-Schnittstelle im
Gästenetz (172.16.1.1).
Subnetzmaske
255.240.0.0 (optional, nicht notwendig, wenn über DHCP
bezogen).
Gateway
172.16.1.1 (optional, nicht notwendig, wenn über DHCP bezogen).
DNS-Server
172.16.1.1 (optional, nicht notwendig, wenn über DHCP bezogen).
Tabelle 1: Einstellungen an der Kabelschnittstelle der Access-Points im Netz „GAESTE“
Clienteinrichtung (Kapitel 4.1.4)
Proxy-Server am Browser eintragen
172.16.1.1:3128.
Tabelle 2: Client-Einstellungen im Netz „GAESTE“
Es wird ausdrücklich empfohlen, die Einstellung der Access-Points auf den Bezug
einer dynamischen IP-Adresse zu konfigurieren! Hierbei erhalten die Access-Points
eine IP-Adresse, die über die Firewall der paedML Linux vergeben wird
(Konfiguration s.u.).
Änderungen der IP-Adressen von Access-Points können Sie anschließend über die
Konfiguration der Firewall durchführen.
12
http://www.lmz-bw.de/technische-unterstuetzung/kundenportal/linux/dokumentationen.html
paedML® Linux / Version: 6.0 / Anleitung / Stand 14.04.2015
Seite 14
Abb. 4: Dynamische IP-Adressvergabe für den Access-Point
Erweiterte DHCP-Einstellungen für die Clients
Der Access-Point darf nicht als DHCP-Server konfiguriert sein. DHCP-Anfragen dürfen ausschließlich
von der paedML Firewall bearbeitet werden. Die Access-Points müssen hierfür DHCP-Relaying
beherrschen, damit die angeschlossenen Clients ihre IP-Adressen von der Firewall (DHCP-Bereich
172.16.2.0 – 172.31.255.254) erhalten.
Abb. 5: Deaktivieren Sie den DHCP-Server
Sicherheit
Die WLAN-Verbindung sollte selbstverständlich verschlüsselt erfolgen. Wir empfehlen die Verwendung
von WPA2-Verschlüsselung.
Als Authentifizierungsmethode wird der Einsatz eines Kennwortes (Pre-Shared-Key (PSK)) empfohlen,
welches bei der Einrichtung der mobilen Endgeräte auf den Clients hinterlegt wird und die Anmeldung
am WLAN ermöglicht.
Weitere Einstellungen
paedML® Linux / Version: 6.0 / Anleitung / Stand 14.04.2015
Seite 15
Neben den hier beschriebenen Einstellungen müssen in den Access-Points noch weitere Parameter
eingestellt werden. Hierzu gehören beispielsweise die Vergabe eindeutiger SSIDs (Name der Geräte,
über die diese im Netz erreichbar sind) und die Einstellung von Geräteparametern, wie den in Kapitel 1
benannten Punkten „Dualband“, „Client-Isolation“,…
4.1.3 Firewall-Konfiguration
Um einen Access-Point zu betreiben, müssen Sie das Gerät in der pfSense der paedML eintragen. Dies
geschieht nach Anmeldung an der Firewall (https://firewall.paedml-linux.lokal) im Menü „Services |
DHCP Server“.
Abb. 6: „Services | DHCP-Server“ in der Firewall-Konfiguration
Scrollen Sie auf der Seite ganz nach unten und fügen Sie die Access-Points hinzu (über das rot
markierte Symbol im nächsten Screenshot).
Abb. 7: Hinzufügen neuer Access-Point über das Plus-Symbol
Es öffnet sich eine neue Maske, über die Access-Points angelegt werden.
1. Tragen Sie die MAC-Adresse des jeweiligen Gerätes ein.
paedML® Linux / Version: 6.0 / Anleitung / Stand 14.04.2015
Seite 16
2. Vergeben Sie eine IP-Adresse aus dem Bereich 172.16.0.1 bis 172.16.1.25413. Die Adresse
172.16.1.1 ist für die Firewall reserviert und darf nicht vergeben werden!
3. Geben Sie einen Hostnamen für das Gerät ein.
4. (Optional:) Geben Sie eine Beschreibung ein.
5. Alle anderen Felder dieser Maske müssen nicht angepasst werden.
Abb. 8: Konfiguration des Access-Points
Scrollen Sie ganz nach unten und drücken Sie auf „Save“, um die Einstellungen zu speichern.
Im Menü „Services | DHCP Server“ sehen Sie ganz unten den neu hinzugefügten Access-Point.
Abb. 9: Neu hinzugefügter Access-Point.
Wiederholen Sie die Arbeitsschritte für jeden Access-Point.
4.1.4 Einstellungen an den Clients im Gäste-Netz-WLAN
Wenn die Access-Points eingerichtet wurden, können Sie sich mit dem Gäste-Netz verbinden. Öffnen
Sie hierfür die WLAN-Eigenschaften des Gerätes und wählen Sie die SSID des Access-Points aus. Im
vorliegenden Beispiel heißt die SSID des Access-Points „gaeste-netz“. Tragen Sie den WPA2-Schlüssel
(das Passwort) des Netzwerkes ein, um die Verbindung aufzubauen.
13
Hier wird die IP-Adresse vergeben, die das Gerät über DHCP zugewiesen bekommt. Wenn der AP mit fester IP-Adresse
betrieben wird, muss natürlich diese hier eingetragen werden.
paedML® Linux / Version: 6.0 / Anleitung / Stand 14.04.2015
Seite 17
An den Clients ist der Proxy-Server einzutragen: 172.16.1.1:3128.
Abb. 10: WLAN-Konfiguration eines Android-Clients
Damit sich ein Benutzer am Proxy authentifizieren kann – notwendig für den Internetzugriff – benötigt er
ein Benutzerkonto in der paedML-Domäne. Ein Benutzer, der sich im Gäste-Netz anmeldet, kann nur im
Internet surfen. E-Mail-Programme oder andere Dienste, können nicht mit dem Internet kommunizieren.
Die Seitenaufrufe des Benutzers laufen über den Proxy auf dem paedML Server. Dort werden sie
protokolliert. Außerdem greifen die Jugendschutzfiltereinstellungen der paedML.
paedML® Linux / Version: 6.0 / Anleitung / Stand 14.04.2015
Seite 18
Abb. 11: Authentifizierung am Proxy der paedML
4.2 Betrieb von Access-Points im pädagogischen Netz
Übersicht über die notwendigen Arbeitsschritte
 Aufnahme der Access-Points in das pädagogische Netz

Einrichten der Access-Points

Einrichten der Endgeräte
4.2.1 Aufnahme der Access-Points in das pädagogische Netz
Im pädagogischen Netz stellen Access-Points eine Erweiterung des Kabelnetzes um eine kabellose
Komponente dar.
Die Integration der Access-Points geschieht über die Aufnahme der Geräte in der Schulkonsole („Geräte
mit IP-Adresse“). Dies wird im Administrationshandbuch14 im Kapitel „Verwaltung von Geräten“
beschrieben.
14
http://www.lmz-bw.de/technische-unterstuetzung/kundenportal/linux/dokumentationen.html
paedML® Linux / Version: 6.0 / Anleitung / Stand 14.04.2015
Seite 19
4.2.2 Einrichten der Access-Points
Nach erfolgreicher Aufnahme der Access-Points in das pädagogische Netz, müssen diese konfiguriert
werden.
Einstellung
Wert
IP-Adresse des Access-Points
Bezug der Netzwerkeinstellungen über DHCP.
Das Gerät bekommt automatisch die bei der Rechneraufnahme vergebene
IP-Adresse zugewiesen.
Subnetzmaske
DHCP
Gateway
10.1.0.1
DNS-Server
10.1.0.1
Tabelle 3: Einstellungen der Access-Points im Netz „PAEDAGOGIK“
Clienteinrichtung (vgl. Kapitel 4.2.3)
Proxy-Server am Browser eintragen
172.16.1.1:3128.
Tabelle 4: Client-Einstellungen im „Pädagogischen Netz“
Erweiterte DHCP-Einstellungen
Der Access-Point darf nicht als DHCP-Server konfiguriert sein. DHCP-Anfragen dürfen ausschließlich
vom paedML Server bearbeitet werden. Die Access-Points müssen hierfür DHCP-Relaying
beherrschen, damit die angeschlossenen Clients ihre IP-Adressen aus dem pädagogischen Netzwerk
erhalten.
Abb. 12: Deaktivieren Sie den DHCP-Server
Sicherheit
Die WLAN-Verbindung sollte selbstverständlich verschlüsselt erfolgen. Wir empfehlen die Verwendung
von WPA2-Verschlüsselung.
paedML® Linux / Version: 6.0 / Anleitung / Stand 14.04.2015
Seite 20
Als Authentifizierungsmethode wird der Einsatz eines Kennwortes (Pre-Shared-Key (PSK)) empfohlen,
welches bei der Einrichtung der mobilen Endgeräte auf den Clients hinterlegt wird und die Anmeldung
am WLAN ermöglicht.
4.2.3 Einrichten der Endgeräte
Windows-Rechner, die über die Access-Points auf das pädagogische Netz zugreifen sollen, müssen in
der Schulkonsole aufgenommen sein. Da es sich in der Regel um Geräte, die mit Kabel und WLAN
verbunden werden, handelt, müssen die Rechner – wie im Administratorhandbuch beschrieben – mit
zwei Netzwerkkarten in die paedML aufgenommen werden.
Sobald die Verbindung mit dem WLAN hergestellt wurde, können sich Benutzer mit Ihren Benutzerdaten
an der paedML Domäne anmelden und die Dienste des Schulnetzes nutzen15.
Sollte die automatische Proxy-Konfiguration fehlschlagen, so muss der Proxy-Server
(10.1.0.1 Port: 3128) manuell in den Einstelllungen des betroffenen Programmes
eingetragen werden. Dies ist zum Beispiel beim Firefox–Browser notwendig.
15
Der Windows-Rechner muss hierfür Mitglied der paedML-Domäne sein.
paedML® Linux / Version: 6.0 / Anleitung / Stand 14.04.2015
Seite 21
Landesmedienzentrum Baden-Württemberg (LMZ)
Support Netz
Rotenbergstraße 111
70190 Stuttgart
© Landesmedienzentrum Baden-Württemberg, 2015

Download Report