» »

Arnes omrežje v šoli in javni ip naslovi

Arnes omrežje v šoli in javni ip naslovi

Djuro ::

Zdravo!

Pred kratkim sem začel vzdrževat omrežje v lokalni šoli. Opazil sem, da imajo v lokalni mreži javne IPje, tako v administrativnem delu, kot tistem, ki je namenjen učencem.
Mi lahko kdo razloži v čemu je poanta tega? Ko recimo naredim traceroute do strežnika, lahko normalno pridem do njega.

OmegaBlue ::

Arnes jim je dodelil pač cel blok in ga uporabljajo, zakaj bi bilo to čudno?
Never attribute to malice that which can be adequately explained by stupidity.

Djuro ::

Ne vem, metanje stran javnih IPjev? Po eni strani slišimo, kako bo ipjev vsak čas zmanjkalo, po drugi strani pa se jih za brezveze razmetava.
No, sem mislil, da ima to kakšen poseben namen.

mangaldar ::

Zakaj pa bi bilo to metanje IP-jev stran. IMHO bi morala imeti vsaka naprava povezana v internet javni IP.

NAT je hack, ki so si ga zamisli tisti, ki niso mogli dobiti zadosti javnih IP naslovov. Glede na to, da ima šola povezana na Arnes, možnost dobit toliko javnih IP-jev kot jih potrebuje, bi bilo sila nespametno te možnosti ne izkoristiti.

Če bi na šoli s 50 računalniki uvedli NAT in tako prišparali 49 naslovov, bi dokončno izrabo IPv4 naslovnega prostora odložili za kako sekundo ali dve. A je za to res smiselno si zakomplicirat življenje z NAT-om? Edini pravi odgovor na pomanjkanje IPv4 naslovov je IPv6.

Mimogrede: zelo verjetno lahko Arnes vaši šoli nudi tudi IPv6 povezljivost.

OmegaBlue ::

Zdaj vidiš kje je problem :D
Never attribute to malice that which can be adequately explained by stupidity.

Djuro ::

Aha, no sedajle sem si še malce prebral arnesov priročnih o varnosti šolskih omrežij, pa mi je bolj jasno za kaj gre pri vsej stvari.

Bi pa rad vprašal še eno stvar.
Sedaj imajo narejeno tako, da ima administrativni del ločene IP naslove od pedagoškega (tam, kjer računalnike uporabljajo učenci). Postavljen je en w2k3 server z ADjem, kamor se prijavljajo vsi (tako učitelji, kot učenci). Oba dela (administrativni in pedagoški) so na switchu povezali skupaj, serverju pa razširili masko, da je videl oba dela. Je to OK? Ker sam bi raje naredil tako, da bi ali postavil 2 serverja (za vsak del svojega) ali pa en server z dvema LAN karticama povezanima eno v en del in drugo v drug, ter 'odvezal' povezavo, ki povezuje oba dela na switchu.
Je moje razmišljanje napačno?

mangaldar ::

Oba dela (administrativni in pedagoški) so na switchu povezali skupaj, serverju pa razširili masko, da je videl oba dela. Je to OK?


Iz napisanega ni čisto jasno, kako je omrežje postavljeno, ampak to mi zelo smrdi po tem, da sta obe omrežji (VALN-a) zbidgani skupaj, kar je a big no-no. Vseeno bi zelo prav prišla kaka skica omrežja - kako so stikala povezana, kje so kaka omrežja, kje je strežnik in pa povezave na stikalo s katerim upravlja Arnes.

Žal se Active Directory ne poznam preveč, a močno dvomim, da mora biti strežnik v istem omrežju/subnetu kot klienti.

Vsekakor pa je varianta z dvema mrežnima v AD strežniku boljša, kot to kar imajo sedaj. Še bolje pa bi bilo, če bi bil strežnik le v administrativnem omrežju, klienti iz pedagoškega omrežja pa bi do njega prišli preko svojega gatewaya.

Djuro ::

Ja, VLAN-a sta bridgana skupaj.
No, ko sem omenil 'pred kratkim', to res pomeni pred parimi dnevi, ko jim je čisto crknil AD kontroler in sem se do sedaj ukvarjal zgolj z restavracijo le-tega (backup, kaj je to ;-). Tako, da sem dobil zaenkrat zgolj grobo sliko o tem, kako je to zvezano (po moje sicer narobe).

Sedaj imajo narejeno tako, da imajo tudi profile shranjene na ADju, pa še vsakemu userju se mounta osebni prostor na eno črko pogona. Prav zaradi tega (poleg DNSja še uporaba file sharinga) sem razmišljal o dveh karticah (kolikor sem se pozanimal pri kolegu iz avtente, naj bi to sedaj pri sp2 delovalo tako kot je treba).

mangaldar ::

No, jaz sem bolj v networkingu in z mojega vidika, je bolje, če imaš strežnik v ločenem omrežju, kot kliente. To še posebej drži, če uporabnikom PC-ov ne moreš zaupat. Tako lahko dostop do strežnika ščitiš s filtri že na gatewayu administrativnega omrežja (kar najverjetneje nastavlja Arnes). Verjetno nočeš, da ti "mularija" izvaja portscane na strežnik.

Razumem pa da je tu vprašanje performanc (bandwidth), če vse profile ob prijavi pošiljaš klientom. Predstavljam si, da je to lahko še posebej problem v šolskem okolju, ko pridejo učenci na začetku ure v učilnico in se vsi hkrati prijavijo. Zdaj, če so linki med stikali gigabitni, ta špica ne bi smela bit problem, medtem ko si za 100 Mbit/s povezave to ne bi upal trditi.

Lahko pa poskusiš tudi na Arnesovo tehnično podporo povprašat za kak nasvet. Vem da kar nekaj šol uporablja AD, tako da imajo mogoče tudi Arnesovci kaj izkušenj s tem.

Yacksy ::

@Djuro
Z nekom se ornk vsedi, da ti razloži malo bolj napredne prijeme pri postavljanju omrežij. Brez tega se ne moreš it nekega administratorja, sori

@mangaldar
Zakaj naj bi bil NAT slaba stvar? Z NAT-om imaš že v štartu zaščitene vse naprave na lokalni mreži pred dosegljivosti iz strani interneta (če seveda nimaš odprtih kakih portov). Kaj je slabega na tem? Če pa imaš kakšne strežnike, pa se seveda stvari zapletejo. Takrat pa imaš na voljo VPN-je in podobne rešitve.

S strani security-a se mi zdi neumno imeti vse naprave na lokalni mreži na public IP-jih. Potrata javnih IP naslovov in security risk, če nimaš vmes kakšnega dobrega firewalla oziroma sposobnega administratorja.
Shit happens

BlueRunner ::

OK, morda bom partibrejker...

Ampak ali sem jaz edini, ki ga čudi, da nekomu poverjeno vzdrževanje omrežja v javni ustanovi (še celo šoli - občutljivi osebni podatki), hkrati pa ta oseba ne samo, da nima primernega znanja, še celo tukaj sprašuje elementarne stvari.

Saj vem, da se je nekje potrebno začeti učiti te stvari, vendar pa to ni ne primeren kraj, ne način. Pa Djuro, to ne leti toliko nate, kolikor to leti na tiste, ki so ti takšno delo sploh pustili opravljati.

Mimogrede: Tarifa za načrtovanje omrežja je od 10€/h naprej. Tarifa za vzdrževanje je od 7€/h naprej. Koliko plačajo tebi?

Zgodovina sprememb…

Kostko ::

Potrata javnih IP naslovov in security risk, če nimaš vmes kakšnega dobrega firewalla oziroma sposobnega administratorja.


Aha, ker če maš pa NAT pol pa ne rabiš firewalla in sposobnega administratorja, kajne ? 8-O
Human stupidity is not convergent, it has no limit!

OmegaBlue ::

Tudi če so javni ip naslovi je vmes router, ki ne dela NAT, seveda ima stvar tudi možnost nastavljanja policyjev za varnost. Potrata javni IP naslovov je pa seveda tragična, za vse ki se sekirajo ;)
Never attribute to malice that which can be adequately explained by stupidity.

Djuro ::

Uff, se posipam s pepelom. Vem, da zgleda, da sem totalni šalabajzer, pa da nimam pojma. Kljub temu menim da ni tako, samo to je zame popolnoma novo okolje in drugačno od tistega, ki sem ga vajen.
Se strinjam z BladeRunner-jem, ampak povej mi, plačajo 7€/h, bodo za to dobili vrhunskega strokovnjaka? Mislim, da ne. Glede na to, kako je vse skupaj postavljeno sedaj, se tudi sam (pa se ne štejem med vrhunske stručkote) sprašujem kaj so počeli. Ampak, glede na to, da jim je dosedaj zadevo rihtal nekdo, ki je znal klikati next ob instalaciji w2k3 in zdrven inštaliral vse mogoče (in popolnoma nepotrebne) servise, mislim da je izbira zame (jasno, za isto ceno :'( ) boljša.
Pač, trenutno se mi v življenju malce zanimivo obračajo stvari in imam čas za te zadeve.
In če mi kaj ni jasno (in to je mnogo stvari) vprašam, ker vem da se na tem forumu dejansko potikajo strokovnjaki, od katerih lahko dobim kak napotek.

BlueRunner ::

Nihče ni rekel, da si šalabajzer. Ampak strokovnjak pa tudi ne izgleda, da bi bil. Meni pa se takšna početja v takšnih omrežjih pač zdijo sporna.

Če pa hočeš še produktiven nasvet:
- omrežje razdeli na štiri segmente (int. DMZ, ext. DMZ, admin, odprto)
- med segmenti postavi spodobne usmerjevalnike, ki poznajo možnost požarnega zidu
- politike nastavi tako, da bo omogočen primeren odhoden in dohoden promet glede na kategorijo

OmegaBlue ::

Ti kar prašaj če ti kaj ni jasno, nekdo bo že vedel.
Never attribute to malice that which can be adequately explained by stupidity.

Tomas 33 ::

Kar se tiče omrežja v šolstvu ke sestavljeno iz treh vlanov:
public (vsi porti na ruterju so odprti)
edus (na računalnikih, do katerih imajo dostop tudi učenci)
admin (računalniki, kjer učenci nimajo dostopa)
V zadnjih dveh so privzeto vsi porti v omrežje zaprti, ruter dovoli le seje vzpostavljene od znotraj.
Sedveda se zadeva lahko spremeni, a za to moraš poslati na arnes obrazec za odprtje posameznih portov na posamezen ip ali skupino ip-jev. S tem prevzameš tudi odgovornost za novo stanje in možne posledice. To da je DC server na obeh subnetih in je DC tako za admin in edus uporabnike je, kar se mene tiče, veliko varnostno tveganje. Postavi dva ločena DC-ja, ki nimata povezav med sabo.

Kar se pa tiče urnih postavk; toliko dobi mogoče študent preko servisa za določeno opravljeno delo. IT firmam se plačuje po 65€/h in več za tovrstan dela.

Arnesov dokument o postavitvi šolskih omrežij

Zgodovina sprememb…

  • spremenilo: Tomas 33 ()

Djuro ::

7€ je tarifa, ki je predvidena s strani države. Večina šol (v tem primeru se gre za OŠ, poznam še nekaj takih primerov) itak nima nekih dodatnih prihodkov (tudi ni predvidenega denar za spodobne usmerjevalnike, računalnike,...), tako da pač plačajo to tistemu, ki je sploh pripravljen to delat. In temu primerno je tudi stanje.

Trenutno je s strani arnesa omrežje sestavljeno iz dveh vlanov: pedagoški in administrativni. V obeh so zaprti vsi porti v omrežje, razen za seje vzpostavljene od znotraj. Med vlanoma je omogočen zgolj ping.

In edino, kar sem dobil od šole, je bil dokument od Arnesa, kateri naslovni prostor je namenjen enemu in kateri drugemu vlanu. No, pa še domensko administratorsko geslo. Sedaj se pa znajdi.

Kakorkoli že, hvala za vse informacije, mislim da bo padla varianta z dvema ločenima DCjema.

'učenec' Djuro 8-O

BlueRunner ::

Če boš postavljal dva DC-ja, si poglej kako narediš drevo, oziroma kako lahko vzpostaviš enosmerno zaupanje.

Bakunin ::


Mimogrede: Tarifa za načrtovanje omrežja je od 10€/h naprej. Tarifa za vzdrževanje je od 7€/h naprej. Koliko plačajo tebi?


ti si pa poceni.

a prides skrbeti za par /17 omrezij ? ;]


Ne vem, metanje stran javnih IPjev? Po eni strani slišimo, kako bo ipjev vsak čas zmanjkalo, po drugi strani pa se jih za brezveze razmetava.


RIPE ti tako ali tako ne da manj kot /24, ceprav ze leta jamrajo kako bo IPv4 zmanjaklo IP naslovov. V praksi se od teh /24 [254 IP] porabi manj kot 32.

Zgodovina sprememb…

  • spremenil: Bakunin ()

BlueRunner ::

:D

Tarife po občutku za to, kar se vzdržuje v manjših podjetjih z omrežjem velikosti in tipa kot ga ima tipična osnovna šola. 2-3 strežniki, 50 delovnih postaj, praktično nič posebnih aplikacij v primerjavi s tipičnimi podjetniškimi razsuli. Za takšno omrežje je to IMHO čisto primerna začetna neto tarifa.

Za delo na ISP-ju bi zaračunal mnogo več.... sprejel bi ponudbo, če se bi pogovarjali o cca. 5000€ bruto/mesec + dodatki. Seveda s primernimi referencami v žepu.


RIPE in ostali RIR-i ti ne dajo v upravljanje manj kot /24 PORTABLE naslovnega prostora. LIR-i pa ti dajejo v uporabo od /24 do /29 NON-PORTABLE naslovnega prostora. Prenosljivi vs. neprenosljivi je bistvena razlika, saj mora RIR skrbeti tudi za to, da se vsaj malo omejuje rast velikosti BGP tabele.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

IPv6 (strani: 1 2 3 4 5 6 7 8 )

Oddelek: Omrežja in internet
36393116 (11131) Klemen86
»

Kako vzpostaviti omrežje z več ruterji in enim modemom? (strani: 1 2 )

Oddelek: Omrežja in internet
8727684 (8550) fpopla87
»

Kaj potrebujem za pošiljanje podatkov preko brezžičnega telefonskega omrežja?

Oddelek: Kaj kupiti
9934 (688) Vanadium
»

IPV6 pomoč

Oddelek: Pomoč in nasveti
102859 (2723) SeMiNeSanja
»

par osnovnih vprašanj o IPv6

Oddelek: Omrežja in internet
224831 (3850) x.sci

Več podobnih tem