Schule für knapp 400 Beteiligte - welche DS?

Synchrotron

Benutzer
Mitglied seit
13. Juli 2019
Beiträge
1.816
Punkte für Reaktionen
174
Punkte
89
Grundsätzlich kann man DDNS auch auf der DS machen. Ich sehe es aber wie du, liegt bei mir auf dem Router.
 

blurrrr

Benutzer
Mitglied seit
23. Januar 2012
Beiträge
3.377
Punkte für Reaktionen
224
Punkte
123
Bitte bei den Rechten auch an die Kumulation denken, sonst kann das mächtig in die Hose gehen :eek: DDNS ist eigentlich nichts, was man bei einem grösseren Konstrukt nutzen sollte (auch da kann es zu Fehlern kommen). Da die Schule vermutlich sowieso schon einen entsprechenden Tarif hat, sollte man da schlichtweg auf das "statische IP"-Konzept gehen. Alles andere ist Kindergeburtstag und wird vielleicht von Privatpersonen gern genutzt, aber im Umfeld mit dreistelligen Userzahlen (jedenfalls für mich) ein absolutes no-go. Macht mir hier auch grade extremst den Eindruck, als vermische man hier die private Bastelei und den gewerblichen Einsatz bzw. den Einsatz bei entsprechenden Userzahlen. Da muss man irgendwann doch mal von seinen (privat gelernten) Dingen abrücken. "Geht" sicherlich irgendwie alles, aber sauber und professionell ist dann doch anders (sorry).
 

macuser

Benutzer
Mitglied seit
30. Juli 2011
Beiträge
91
Punkte für Reaktionen
6
Punkte
8
Hallo, das ist mir klar, aber erst mal eine feste IP bekommen. Wir haben 3 Verwaltungsanschlüsse mit fester IP und einmal Telekom@School ohne feste IP. Als Zentrale nutze ich einen Verwaltungsanschluss, damit die Fehler sich in Grenzen halten. Sofort würde ich eine feste IP buchen! Wenn wir Glasfaser (Landesnetz, feste IP) bekommen, hängen wir leider hinter einem Verwaltungsrouter, welcher in einem alarmgeschützten Schrank ist..... vermutlich Bypass-Lösung.

Telekom@School mit 250 VDSL an Modem Lancom
Bypass an Eth2

Bei einer Routerkaskade kann ich nur alles über den Kupferanschluss im Eingang routen. Sollten wir vollständigen Zugriff auf die Portfreigaben mit dem Bypass haben, kann natürlich alles über die feste IP..... wir warten auf Informationen.

Für die Verwaltung habe ich jetzt Webdav aktiviert, den Port auf 38006 geändert. Eigentlich ziehe ich VPN vor, aber für die Kollegen ist das immer sehr kompliziert. Jetzt läuft die Verwaltung getrennt vom Schulnetz (Vorgabe vom Land). Ansonsten habe ich beide Anschlüsse im Router zusammengenommen und mit VLAN's auseinandergehalten.

Man kann an einer Schule nur mit dem arbeiten, was man sich mühsam erkämpft. Zu Hause haben wir schon immer durch die Selbstständigkeit feste IP, jedoch Hardware komplett Draytek. Ich mache das schon seit 15 Jahren an dieser Schule vom Punkt 0 (nichts vorhanden), etwas habe ich mir schon angeeignet.
Zu DOS- und MacOS7 Zeiten und habe ich schon straff angefangen PC-Kabinette aufzubauen, das war spannend, jetzt ist alles einfacher, nur das liebe Geld.

Grüße M
 
Zuletzt bearbeitet:

blurrrr

Benutzer
Mitglied seit
23. Januar 2012
Beiträge
3.377
Punkte für Reaktionen
224
Punkte
123
Routerkaskaden sind "überhaupt kein" Problem, solange man da den NAT-Mist weg lässt. T@S ist doch diese kostenlose Klamotte, oder? Sowas würde ich wohl eher nur für das Schüler-WLAN oder sonstige Spielereien nutzen, aber definitiv nicht für den Zugriff von aus.

"Eigentlich ziehe ich VPN vor, aber für die Kollegen ist das immer sehr kompliziert." und solche Dinge sind es dann, die einem "evtl." schlussendlich das Genick brechen. "VPN? Brauchen für nicht, lieber die Samba-Shares direkt ins Netz hängen, das ist doch viel einfacher!" (ist mir schon klar, dass es nicht so ist, aber Du weisst, was ich meine :p). Mal ein ganz warmer Rat: Gesch... auf das was die User wollen... Wenn alles den Bach runter geht, wird ein Schuldiger gesucht und das wirst im Zweifelsfall dann Du sein. Anders formuliert: Du übernimmst die Verantwortung für deren Haus, aber die finden "auf- und abschliessen" immer so lästig, also lässt Du die Tür einfach offen... Hört sich komisch an, ist aber so ;)

Aber mal ernsthaft: VPN-on-Demand (ist jetzt auch nicht grade neu), dabei die Authentifizierung zertifkatsbasiert, dann läuft das auch alles vollautomatisch, sobald z.B. die interne Domain angesprochen wird. Da muss der "User" dann auch nix für tun (nur Du musst halt einmalig die Endgeräte einrichten, bei Mobilgeräten im besten Fall via MDM).

"Einfacher" ist heutzutage übrigens "garnichts" geworden, ganz im Gegenteil :p Selbstständigkeit? Ich dachte Du bist angestellter Lehrer an der Schule?
 

macuser

Benutzer
Mitglied seit
30. Juli 2011
Beiträge
91
Punkte für Reaktionen
6
Punkte
8
SMB ist sowieso nur auf von mir gewartete Geräte reduziert.
Private Geräte können nur mit ftp/sftp-Client. USB ist dicht, Netzwerke getrennt..... Dosen verschlüsselt, eigentlich alles dicht. WebDav wäre auch nur auf 3 Verwaltungsgeräte reduziert, ansonsten gesperrt. Das ist nur so eine Idee, ansonsten kann VPN problemlos über Lancom hergestellt werden.

Ja, aber wir hatten einen Familienbetrieb, mein Vater ist jetzt Rentner. Ich kenne beide Seiten der Medaillen des Geldverdienens.

(Telekom@School kostet normal)
 
Zuletzt bearbeitet:

NSFH

Benutzer
Mitglied seit
09. November 2016
Beiträge
2.909
Punkte für Reaktionen
54
Punkte
94
@synchroton: Sag mir mal nur einen einzigen plausiblen Grund DDNS vom Server machen zu lassen statt vom Router (was ausnahmslos jeder Router kann)?

Ansonsten sehe ich bei dem ganzen Konstrukt jetzt schon viele potentielle Einfallstore wie WebDav und SFTP, dazu evtl noch der Cloudzugang.
Das Problem ist halt immer die vielen Bedürfnisse zusammen zu bringen.
Die einzig wahre Lösung ist immer VPN, dass ist hier aber nicht möglich.
Als IT-SiBe stehe ich hier aber auch immer vor der Gretchenfrage: So viel Sicherheit wie möglich zu erhalten, ohne die Usibility zu beeinträchtigen.
Was nützt mir also 100%ige Sicherheit, wenn es der Anwender nicht akzeptiert. Da bleibt allen Beteiligten nur der Weg der goldenen Mitte.
Für mich als Admin dann nicht wirklich befriedigend aber so ist es nun mal, das wahre IT-Leben ;-)
 
Zuletzt bearbeitet:

blurrrr

Benutzer
Mitglied seit
23. Januar 2012
Beiträge
3.377
Punkte für Reaktionen
224
Punkte
123
Also mir würde ja schon ein Grund einfallen........ :p:D

Ist allerdings auch wirklich nur ein einziger, aber zuerst ein Geständnis: Da ich sowas schon lange nicht mehr nutze, bin ich auch nicht mehr so up2date... Früher war es so, dass die DDNS-Aktualisierung immer bei der Neueinwahl stattgefunden hat. Ist da was schief gegangen, wurde der Record bis zur nächsten Einwahl nicht mehr aktualisiert. Bei Installationen auf Servern/Clients konnte man früher doch zumindestens immer noch den Aktualisierungsintervall festlegen (z.B. alle 5 Minuten). Ist dann was schief gegangen, war das dann quasi nur 5 Minuten nicht erreichbar, aber nicht direkt 24 Stunden.

~fin~ :eek:

EDIT: Natürlich ist damit jetzt in keinster Weise gesagt, dass die aktuellen Router nicht auch in regelmässigen Intervallen die Aktualität des entsprechenden Records prüfen(!)
 
Zuletzt bearbeitet:

macuser

Benutzer
Mitglied seit
30. Juli 2011
Beiträge
91
Punkte für Reaktionen
6
Punkte
8
Hallo, WebDav habe ich deaktiviert. Ich richte VPN für die Verwaltungsgeräte ein. Ansonsten ist wirklich nur das Notwendigste offen an Diensten nach außen hin. Innerhalb des Netzwerkes ist alles dicht. Es war ein unendlicher Krampf, allen den Umgang mit Filezilla beizubringen. Klar, an den Schulgeräten geht es mit SMB... Privatrechner sind mir da zu gefährlich.
DDNS funktioniert aber ganz ordentlich. Ich habe zwei laufen und brauch blos die Cname bei der Subdomain anpassen und der Ersatz übernimmt. Das musste ich aber erst einmal machen. (Störung beim Anbieter) Feste IP gibt es leider nicht.

Grüße M
 
Zuletzt bearbeitet:

blurrrr

Benutzer
Mitglied seit
23. Januar 2012
Beiträge
3.377
Punkte für Reaktionen
224
Punkte
123
Najo... mussu wissen... Ich halte schon FTP für "fragwürdig" und Filezilla noch dazu und und und.... wäre vermutlich einfacher für die handvoll Leute einfach entsprechende Arbeitsgeräte (Laptops, da reichen auch die billigsten (mit verschlüsselter HDD/SSD)) anzuschaffen und die einmal (userunabhängig) einzurichten, damit man sich dann (nach VPN-Einwahl (userbezogen oder nicht)) auf den Terminalserver (sofern vorhanden) mit seinem entsprechenden Userkonto schalten kann.

Die meisten Leute werden bei Filezilla wohl auch die Logindaten speichern und die hat man dann auch schnell abgegriffen, mit etwas Pech sind es die gleichen Logindaten wie im Schulnetz selbst (AD/LDAP) und dann "könnte" es mitunter schon ein wenig schäbig werden (WLAN via Radius -> LDAP/AD-Login, schon ist man im entsprechenden Netz und mit den gleichen Zugangsdaten hat man mitunter dann auch noch Zugriff auf Fileserver, usw.).

Das aber auch nur um mal die "kleine" Lücke im Konstrukt aufzeigen. Ich persönlich würde wirklich extra Geräte dafür anschaffen (und wie gesagt, billigste Ware reicht da, ist dann ja quasi nur zur Bildübertragung) und jut. Eventuell auch einfach VPN-Zugänge pro "Gerät", so kann man das Gerät direkt im Verlustfall aussperren und jut ist. Geräteabhängige VPN-Einwahl + userabhängige Einwahl auf den Terminalserver, Login auf dem Laptop selbst "lokal". Damit bleibt das Gerät auch flexibel und ist nicht auf einen bestimmten User gemünzt.

Das grösste Problem bei dem was Du grade geschrieben hast, sehe ich aber hier: "brauch blos die Cname bei der Subdomain anpassen und der Ersatz übernimmt". Bums Du wirst von Bus überfahren, wer ändert jetzt den Record? Wer weiss überhaupt ausser Dir was da zu tun ist? Alle arbeiten Zuhause, der Record muss geändert werden, aber Du bist nicht verfügbar......"?" Vielleicht sollte das zweite (anders benannt) auch einfach automatisch mitlaufen und dokumentiert sein. Erster Zugriffspunkt schule1.ddyndns.org, zweiter (dokumentierter und den Benutzern bewusster(!)) Zugriffpunkt halt schule2.dyndns.org, geht der erste nicht, könnend die User eigenständig(!) den zweiten nehmen (das Wissen darum muss natürlich vorhanden sein). :)

Bzgl. "feste IP"... man könnte auch für 5€/Monat einen vServer irgendwo mieten und sich darüber verbinden und den ganzen Kram via Site-to-Site-VPN zu sich umbiegen (da muss dann natürlich das S2S-VPN auch entsprechend stehen, aber sowas lässt sich ja (auch für diverse Leitungen) realisieren.
 

macuser

Benutzer
Mitglied seit
30. Juli 2011
Beiträge
91
Punkte für Reaktionen
6
Punkte
8
Hallo, du hast völlig Recht. Aber alle müssen schon von außerhalb ihre Daten in die Schule bekommen, Lehrer wie Schüler. Die Benutzer-Passwörter für den Server lege ich fest.
Als WLAN-Controller nutze ich Lancom, da habe ich entsprechende WLAN-Profile konfiguriert sowie Firewall-Regeln, die das System dicht machen.

Die Synology ist nur für den simplen Datentransport, Drive, Kalender, Carddav und Chat. Das ist völlig überschaubar!

Ich brauche keinen Fileserver zu betreiben, wenn nicht von außerhalb darauf zugegriffen werden kann.
Die Portfreigaben sind schon sehr eingeschränkt.

Grüße M

(Allein die Vorstellung, Schülern und Lehrern einen VPN-Zugang zu geben;) die sollen sich brav mit einem FTP/SFTP-Clienten einwählen)
 

blurrrr

Benutzer
Mitglied seit
23. Januar 2012
Beiträge
3.377
Punkte für Reaktionen
224
Punkte
123
"Ich brauche keinen Fileserver zu betreiben, wenn nicht von außerhalb darauf zugegriffen werden kann. " sorry, aber das halte ich jetzt einfach mal für... fragwürdig. "Aber alle müssen schon von außerhalb ihre Daten in die Schule bekommen, Lehrer wie Schüler." das mag sein, aber da gibt es anderweitige Wege, zumal sich die Daten auch in Ihrer Art unterscheiden (man bedenke allein die DSGVO, denn Lehrer haben i.d.R. auch Daten "über" Schüler, Schüler nur ihre Arbeiten). Aber wie dem auch sei, man muss das jetzt hier nicht vertiefen, Du wirst das Kind schon schaukeln - alles Gute dabei! :)
 

macuser

Benutzer
Mitglied seit
30. Juli 2011
Beiträge
91
Punkte für Reaktionen
6
Punkte
8
Ich finde die Diskussion mitlerweile sinnfrei. Du scheinst über die Abläufe/Zwänge/Gegebenheiten an Schulen nicht mehr ganz informiert zu sein. "Schüler über Schüler-Daten" gibt es nicht auf privaten Rechnern. DSVGO wird bei uns eingehalten. Schülerdaten haben auf privaten Rechnern nichts zu suchen. Andere Schulen gehen in die Clouds, Fuxmedia, Heinekenmedia, Puavo etc.). Da weiß kein Mensch, wo die Daten liegen. Bei uns ist fein säuberlich alles in der Schule. Die Schülerdaten auch nur auf dem Sekretariatsrechner in einer Datenbank, die regelmäßig auf einer Festplatte, welche im Tresor liegt, gesichert ist.

Die Synology hat keine sensiblen Netzwerkaufgaben, dies machen die Lancom-Geräte..... ein Blick in den Lan-Monitor und man weiß Bescheid, und das mit drei Häusern + Internat.
Vielleicht sollte noch die HPI-Cloud vom Bund deiner Meinung nach schließen... oder jeder Schüler in D hat einen VPN-Zugang.

Grüße M
 

NSFH

Benutzer
Mitglied seit
09. November 2016
Beiträge
2.909
Punkte für Reaktionen
54
Punkte
94
Ich sehe absolut keinen sicherheitstechnischen Unterschied zwischen einem SFTP Zugang und einem WebDav per HTTPS.
In dem Fall würde ich für Anwender den einfacher zu händelnden WebDav immer vorziehen und SFTP (FTP sowieso erst gar nicht in Betracht ziehen) still legen.
Ich habe bei einer Firma inzwischen ca 80 WebDav Clienten aktiv. Dabei handelt es sich um freiberufliche Mitarbeiter mit eigener Hardware. Hier wäre VPN gar nicht vorstellbar. Mit WebDav funktioniert das super. Ausserdem hat WebDav und auch die Cloud mit meinem Wissensstand von heute einen kleinen Vorteil gegenüber VPN: Ransomware kann nicht direkt vom befallenen PC auf die Freigabe zugreifen. Bei mir nicht der eigenen Administration unterliegender Client Hw ein nicht unwichtiger Aspekt.

@Blurrr: Wegen DDNS. Das wäre ein Argument, wenn der Router tatsächlich nicht selbstständig einen Refresh machen würde. Die von mir eingesetzten Geräte machen das, kann ich aber jetzt nicht für Andere verifizieren.
 

macuser

Benutzer
Mitglied seit
30. Juli 2011
Beiträge
91
Punkte für Reaktionen
6
Punkte
8
Hallo, das ist interessant mit WebDav, ich habe eigentlich darauf verzichtet gerade wegen der Verschlüsselungstrojaner, wenn das Laufwerk im Explorer eingebunden ist.
Dann könnte man Webdav zumindest für die komplette Verwaltung einrichten, die hinter einem eigenen DSL-Anschluss sitzt.

Verschlüsseltes FTP ist nicht sicher? Kann ich auch deaktivieren. Ich habe alle Lehrer mit SFTP eingerichtet.

Grüße m
 

NSFH

Benutzer
Mitglied seit
09. November 2016
Beiträge
2.909
Punkte für Reaktionen
54
Punkte
94
FTPs oder sFTP ist schon einigermassen sicher, nur solange hier keine speziellen Schlüssel verwendet werden sehe ich sicherheitstechnisch keinen Unterschied zu WebDav.
WebDav ist im Handling einfach easy. Nur den Port 5006 in einen anderen Bereich verlegen.
 

blurrrr

Benutzer
Mitglied seit
23. Januar 2012
Beiträge
3.377
Punkte für Reaktionen
224
Punkte
123
Ich meinte auch eher den "direkten" Zugriff auf aussen auf einen Filestorage, wo mitunter auch noch anderweitige Daten liegen (als jene die nur hochgeladen werden sollen, z.B. Zeugnisunterlagen oder dergleichen). "Wenn" dann was passieren sollte, wäre halt direkt richtig was los. Dieses lapidar daher gerotzte "Das machen andere doch auch!" -> Im Zweifelsfall hast Du es halt zu verantworten. Wenn dann auf einem solchen System Daten "über" Schüler, usw. liegen, wird es hinterher sowieso heissen "Warum hat man das nicht anders gemacht?"

Und auch bei der Bundescloud gab es schon Vorfälle... Dazu kommt dann noch, dass die mit Sicherheit keine Daten Ihrer Bürger da speichern werden (ausser die Bürger speichern Ihre Daten selbst dort)... Und selbst wenn, wenn die DSGVO für irgendwen im Zweifelsfall NICHT gelten sollte, dann mit Sicherheit für den Staat (Hehlerware darf man ja auch nicht kaufen, hat DE ja auch gemacht mit der Steuersünder-CD aus der Schweiz). Aber ist schon okay, wenn Du mich nicht verstehen willst (oder kannst), lass mich Dein Netzdesign einfach für fragwürdig halten und jut ist ;)
 

macuser

Benutzer
Mitglied seit
30. Juli 2011
Beiträge
91
Punkte für Reaktionen
6
Punkte
8
Hallo, wir haben jetzt die RS intensiv am Laufen, Drive, Chat, Kalender, Carddav, OpenVPN, SFTP und eine virtuelle Maschine, damit ich von außerhalb das Netzwerk warten kann. Geoblocking ist aktiv, Firewall auf der RS sehr genau konfiguriert, beispielsweise nur von mir gewartete Geräte können per SMB zugreifen. Ansonsten sind andere Geräte über einen WLC vom internen Netzwerk getrennt. Im Lancom-Router werden Pakete von Außen per Firewall gefiltert.
Nach fünfmaligem falschen Einloggen innerhalb einer Stunde wird die IP gesperrt.... Es ist alles schön ruhig im Protokoll.
Trotz der vielen Dienste und Zugriffe langweilt sich die CPU und das ist gut so. Alle sind glücklich, Lehrer und Schüler geschult... oder am üben. Jetzt fehlt uns nur noch der eigene Jitsi-Server. Nächste Woche wird Glas (1 GB) freigeschalten, da können wir schon einmal anfangen zu basteln. Der betagte Lancom wird wahrscheinlich nur 700 schaffen.... da gibt es aber schon die 1900er Serie.


Grüße M
 

Synchrotron

Benutzer
Mitglied seit
13. Juli 2019
Beiträge
1.816
Punkte für Reaktionen
174
Punkte
89
Super Projekt ! Wenigstens bei euch ist wohl kein Digitalisierungsdefizit festzustellen. Glückwunsch !
 
  • Like
Reaktionen: haol0013

macuser

Benutzer
Mitglied seit
30. Juli 2011
Beiträge
91
Punkte für Reaktionen
6
Punkte
8
Danke für das Feedback. Unsere Erfahrungen sind: Lehrer und Schüler müssen an einem bestehenden System geschult werden. Das machen wir selbst..... beispielsweise die Collaborationstools mit Jitsi, Erstellung beschreibbarer PDF's aus Libre Office, virtuelles Whiteboard über Videokonferenz, Computernotensatz..... das wiederholen wir in Abständen mit immer den selben Inhalten.

Wenn man zu einer "Weiterbildung" zu einem Anbieter fährt... diese gibt es mittlerweile zu Hauf, es gibt ja viel Geld zu verdienen, ist das wie eine Kaffeefahrt. Jeder bringt eine neue Idee mit, die man kaufen könnte.

Ansonsten läuft bei uns fast alles Open Source.

Grüße
 
  • Like
Reaktionen: Synchrotron

raymond

Benutzer
Mitglied seit
10. September 2009
Beiträge
4.622
Punkte für Reaktionen
6
Punkte
118
Ich würde ein Rack nehmen, sollte ja die Schule haben. Da Schulen meistens kein Geld haben, denke ich dass die RS1219+ reichen sollte. https://www.synology.com/de-de/products/RS1219+
Diesen auf 16 GB RAM gehen.

Mit Erweiterungseinheit kannst du auch auf die DS720+ gehen und hier auf 6 GB RAM gehen.

Oder den NAS Berater mal nutzen: https://www.synology.com/de-de/support/nas_selector

Du hast geschrieben: „Hallo, wir haben jetzt die RS intensiv am Laufen“...welche? Ich habe hier nicht wirklich Diskussion über Synology Hardware gelesen.
 
Zuletzt bearbeitet:
  AdBlocker gefunden!

Du bist nicht hier, um Support für Adblocker zu erhalten, denn dein Adblocker funktioniert bereits ;-)

Klar machen Adblocker einen guten Job, aber sie blockieren auch nützliche Funktionen.

Das Forum wird mit einem hohen technischen, zeitlichen und finanziellen Aufwand kostenfrei zur Verfügung gestellt. Wir zeigen keine offensive oder Themen fremde Werbung. Bitte unterstütze dieses Forum, in dem du deinen Adblocker für diese Seite deaktivierst.