Schulnetzwerk - vorgeschriebene Fremdhardware

Allgemeine Fragen zu Themen die sonst nirgendwo passen

Moderator: Lancom-Systems Moderatoren

Antworten
Aushilfsinformatiker
Beiträge: 46
Registriert: 13 Apr 2020, 10:56

Schulnetzwerk - vorgeschriebene Fremdhardware

Beitrag von Aushilfsinformatiker »

Hallo,

wir haben ein gut funktionierendes Schulnetzwerk über drei Standorte komplett mit Lancom (1906, WLC, Switche). Bewusst haben wir die Netzwerkstruktur in den drei Gebäuden komplett ohne Fremdhardware über Jahre aufgebaut.
Im Zuge der Finalisierung der Glasfaseranschlüsse an Schulen stand ein freundlicher Techniker im Serverkeller und wollte vor den 1906va eine Palo Alto-Firewall als Endpunkt hinter das Glasfasermodem verbauen. Alle Arbeit macht ein 1906va. Ich habe mich natürlich riesig gefreut. Das konnte ich diesmal noch verhindern. Da ich kein studierter ITler bin, sondern über Jahrzehnte mir durch den selbständigen Aufbau das notwendige Wissen angeeignet habe, bin ich mit dieser Situtation etwas überfordert. Deshalb meine Fragen, für den Fall, dass ich den Vorgang nicht verhindern kann:

1. Macht es Sinn, vor den 1906 noch eine Firewall zu schalten, obwohl die Firewall des Router und im internen Bereich eine Firewall des Servers den Datenverkehr nach Richtlinien leiten?
2. Kann die Standortvernetzung problemlos weiterfunktionieren?
3. Wäre diese Firewall eine Verbesserung oder eine "Verschlimmbesserung"?

Bitte nicht falsch verstehen, ich befürchte einen weiteren Lockdown oder Hybridunterricht, wenn etwas nicht funktioniert, bin ich der Ansprechpartner. Den aktuellen Netzwerkaufbau beherrsche ich.

Grüße
AH
Ganzfix
Beiträge: 176
Registriert: 12 Sep 2005, 10:34
Wohnort: Darmstadt

Re: Schulnetzwerk - vorgeschriebene Fremdhardware

Beitrag von Ganzfix »

Servus,

Wer ist denn der Betreiber des Glasfasernetzes?

Wer würde denn die Firewall administrieren? Wenn ihr selber keinen Zugriff darauf hättet und die Firewall würde bestimmte Dinge filtern, was ja die Aufgabe einer Firewall ist, dann kann es schwierig werden wenn ihr Probleme habt und Euch nicht sicher seid ob die Firewall die Ursache sein könnte.

Bekommst Du trotzdem eine öffentliche IP4-Adresse?

Gruß, Nils
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Schulnetzwerk - vorgeschriebene Fremdhardware

Beitrag von Dr.Einstein »

Hab ich das richtig verstanden, dass du dann 2 Firewalls und einen Router hättest? Das macht aus meiner Sicht keinen Sinn und sollte vermieden werden.

Gruß Dr.Einstein
Aushilfsinformatiker
Beiträge: 46
Registriert: 13 Apr 2020, 10:56

Re: Schulnetzwerk - vorgeschriebene Fremdhardware

Beitrag von Aushilfsinformatiker »

Hallo, seit einem Jahr haben wir den Glasfaseranschluss, Telekom und feste IP.
Vom Glasfasermodem geht es direkt in den 1906VA, eine redundante VDSL-Leitung ist ebenfalls noch am 1906.
Dann gehen sternchenförmig vier Lancom-Switche ab, auf einem ist der WLC nebst AP's mit einem WLC-Tunnel für Publicspot (private Geräte) und einem eingehängten LAN (für mich).
Eingerichtet sind 3 VLANS's (Wartungsnetzwerk, internes Schulnetzwerk für verkabelte und selbst gewartete Rechner, PC-Kabinett).

So, aber in einem kleinen Maßstab sind die beiden anderen Gebäude eingerichtet und standortvernetzt.

Die zweite Firewall ist auf dem Server, als letzte Brandmauer, nur bestimmte IP-Adressbereiche für bestimmte Dienste zugelassen und GEO-IP-Blocking.

Auf dem 1906 fahre ich die Deny All-Strategie.... alles sehr ruhig und entspannt.

Eigentlich ist alles vollständig und wird nur noch im nächsten Jahr skaliert? Wie passt die Palo Alto da rein? Diese soll der Endpunkt, also auch die Einwahl machen. Über den Zugriff habe ich noch keine Info. Es hat noch nie jemand nach unserem Schulnetzwerk in den letzten 10 Jahren gesehen.... alles Stück für Stück neu aufgebaut. Auf einmal ein Aktionismus... gleiche Geräte für alle.... wer keine Netzwerkstruktur hat, dem kann es egal sein.

Grüße und Danke für die Hilfe am Sonntag
AH
C/5
Beiträge: 90
Registriert: 18 Jul 2019, 10:55

Re: Schulnetzwerk - vorgeschriebene Fremdhardware

Beitrag von C/5 »

Hallo AH,

wenn man hier überhaupt außer ganz allgemein, etwas zu einem Device von Palo Alto sagen kann, dann wäre zumindest die Modellbezeichnung hilfreich.

Generell kann es zum Beispiel auch sein, dass das Gerät lediglich als Router operiert. Dann könnte Dir das schnuppe sein, ob der davor steht oder nicht. Aber das ist natürlich nicht wahrscheinlich.

Gerade an einem Schulstandort würde ich eher eine ausgewachsene UTM Firewall erwarten. Dann allerdings ist ein administrativer Zugang unumgänglich, um wenigstens zeitnah auf Probleme reagieren zu können. Einmal einstellen und läuft, kann ich mir hingegen eher nicht vorstellen, selbst wenn der Techniker das initial sehr sorgfältig mit Dir zusammen durchführt. Jedenfalls nicht, wenn man das Potential einer UTM dann auch nutzt - und sonst bräuchte man sie nicht. Außerdem ist das Handling einer UTM Firewall deutlich anders als die uns bekannte Implementierung der SPI Firewall auf den Lancom 17xx / 19xx etc.

Andererseits, wenn man sich das noch mal überlegt, müsstet ihr eigentlich 3 x Palo Alto hingestellt bekommen, um dann auch jeden Standort entsprechend abzusichern.

Gruß
C/5
roell.f
Beiträge: 59
Registriert: 04 Okt 2014, 11:39

Re: Schulnetzwerk - vorgeschriebene Fremdhardware

Beitrag von roell.f »

hallo AH,

du schreibst einerseits:
... stand ein freundlicher Techniker im Serverkeller ...
und andererseits
..., wenn etwas nicht funktioniert, bin ich der Ansprechpartner ...
wie kann es sein, dass du der ansprechpartner bist, aber bei der neubeschaffung nicht einbezogen wirst? deshalb scheint mir, dass du nur nachrangig ein technisches problem hast. dagegegen steht im vordergrund, dass dein "chef" dir zwar verantwortung zuweisen will, dir aber die dafür notwendige (entscheidungs-) macht vorenthält. da du ja in der lage bist ein funktionierendes schulnetzerk herzustellen, scheinen mir deine aussichten anderswo einen besseren chef zu finden doch recht gut.

beste grüße
frank
Aushilfsinformatiker
Beiträge: 46
Registriert: 13 Apr 2020, 10:56

Re: Schulnetzwerk - vorgeschriebene Fremdhardware

Beitrag von Aushilfsinformatiker »

So einfach ist das nicht. Es wird was zentral beschlossen ohne dass eine Information zu uns dringt. Vermutlich wurden für alle Schulen diese Geräte angeschafft. Eine Erhebung, was wo verbaut ist, wurde nie gemacht. Wo nichts ist (bei den meisten Schulen) ist es egal.
Der Techniker ist von einer privaten Firma, der im Auftrag des Trägers die Geräte anbaut. Ich habe das Problem schriftlich eingereicht, mal sehen. Ansonsten habe ich alles verschlossen und den Schlüssel im "geheimen" Schließfach versteckt.
Ich arbeite sehr gerne hier, ansonsten würde ich mich nicht so engagieren. Ohne das Vertrauen des Chefs hätte ich das System nicht in den Jahren etablieren können.

Grüẞe M41
Aushilfsinformatiker
Beiträge: 46
Registriert: 13 Apr 2020, 10:56

Re: Schulnetzwerk - vorgeschriebene Fremdhardware

Beitrag von Aushilfsinformatiker »

Es bleibt erst einmal alles wie gehabt. Sie wird nun nicht eingebaut sondern verschwindet im Schrank. Da kann ich erst einmal durchatmen.
Grüße AH
ua
Beiträge: 704
Registriert: 29 Apr 2005, 12:29

Re: Schulnetzwerk - vorgeschriebene Fremdhardware

Beitrag von ua »

Moin,

sorry, will jetzt nicht maulen ...
Aber das ist genau das Thema, warum es in den Schulen nicht vorrangeht.
Jeder Kreis/Träger kocht sein eigenes Süppchen, es gibt keine einheitliche Strategie.
Es wird verbrannt (Hardware vergammelt im Schrank und kostet...die Lizenz wird wahrscheinlich auch noch jedes Jahr kostenpflichtig verlängert).

Sorry und nix für ungut, habe nur beruflich jeden Tag damit zu tuen, es ist ein Graus!

Trotzdem schöne Grüße und ein schönes WE
... das Netz ist der Computer ...
n* LC und vieles mehr...
Aushilfsinformatiker
Beiträge: 46
Registriert: 13 Apr 2020, 10:56

Re: Schulnetzwerk - vorgeschriebene Fremdhardware

Beitrag von Aushilfsinformatiker »

Hallo, mir hätte es die Struktur von drei Gebäuden ruiniert. Vielleicht verbauen sie diese woanders. Wir haben bei uns ohne Träger seit Jahren alles selber gebaut und konfiguriert. In den Richtlinien für Schulnetzwerke gibt es vom Land ein Papier, was eine homogene Struktur verbindlich vorschreibt. Daran haben wir uns gehalten, als konsequent Lancom. Und alles funktioniert, es gibt keinen Handlungsbedarf. Viele Grüße
Antworten