Openschoolproxy Forum

Forum für Fragen, Probleme und Anregungen zum OSP

Du bist nicht angemeldet.

#1 2013-04-23 17:18:20

amw
Mitglied
Registriert: 2013-04-23
Beiträge: 4

OSP hinter Schulfilter Plus (transparent)

Hallo liebes Forum,

ich arbeite in Teilzeit an einer Schule in Düsseldorf und bin dort für die IT in wenigen Klassenräumen zuständig. Leider wird die Hautp IT vom Schulleiter bestimmt und so habe ich bis zu den Klassenraumnetzwerken keinen Einfluss auf die Gerätschaften.

In der Schule ist Zentral ein Schulfilter Plus installiert, der als Internetgateway fungiert. Da mich einige Lehrer gefragt hatten wie sie denn in Ihren Klassen das Internet abschalten können, installierte ich OSP in diesen Klassen. Bis hiuerhin lief alles. Ich habe die OSP IP konfigurierte Version genommen.

Die Lehrer arbeiten dort mit Office365, welches auch bei gesperrtem Internet verfügbar sein soll. Leider ist das überhaupt nicht der Fall.

Bis zur Login Seite kommt man noch "https://login.microsoftonline.com", aber dann bekommt ich nach der Zugangsdateneingabe ein: ERR_EMPTY_RESPONSE

Meine Squid.conf ist die Originale. Ich habe alles dort wie beschrieben eingerichtet. Außerdem habe ich sogar die IP-Adressen von Office365 in die Whitelist eingetragen.

Wo könnte das problem liegen?

Vielen Dank im vorraus.

PS: Kann man die Zeitschaltung für das Internetsperren herausnehmen? Wenn ja wäre das sehr hilfreich.

Beitrag geändert von amw (2013-04-23 17:29:22)

Offline

#2 2013-04-23 18:38:07

Benedikt B
Administrator
Registriert: 2010-12-05
Beiträge: 249

Re: OSP hinter Schulfilter Plus (transparent)

Hallo amw

Herzlich willkommen im Forum.

Prinzipiell ist dein Vorgehen mit den Einträgen in der Whitelist völlig richtig. Um das Problem zu finden, wäre es sehr hilfreich, wenn du die IPs und Domains, die du in die Whitelist eingetragen hast, hier posten könntest.

Alternative zur Whitelist: Falls die Lehrer-Rechner feste IP-Adressen haben, könntest du diese im Webinterface als Lehrer-Rechner definieren und ihnen weniger strikt gefilterteten (oder ungefilterten) Zugang geben.

Die Zeitschaltung kann man nicht so einfach rausnehmen. Dafür müsstest  du in den Dateien startmedien.php und stopinternet.php den Wert der Zeitabschaltung von 2700 (=45 min, angegeben in Sekunden) auf zum Beispiel 9000000000 ändern.

Viele Grüße

Benedikt

Offline

#3 2013-04-24 18:29:24

amw
Mitglied
Registriert: 2013-04-23
Beiträge: 4

Re: OSP hinter Schulfilter Plus (transparent)

Danke,

ich habe hier die Update Whitelist:

Domänen:

.microsoft.com
.download.windowsupdate.com
.wustat.windows.com
.msft.net
.avira-update.com
.microsoftonline.com
.g.microsoftonline.com
.microsoftonline-p.com
.aadcdn.microsoftonline-p.com
.microsoftonline-p.net
.microsoftonlineimages.com
.microsoftonlinesupport.net
.msecnd.net
.office365.com
.sharepoint.com
.sharepointonline.com
.wikipedia.com
.outlook.com


IP-Adressen:

89.202.157.135
89.202.157.136
89.202.157.137
89.202.157.138
89.202.157.139
62.146.66.178
62.146.66.179
80.190.143.229
80.190.143.241
62.67.184.68
89.202.149.36
89.202.157.227
111.221.111.196
65.52.196.64
94.245.108.85
70.37.97.234
65.52.208.73
65.52.240.233
157.55.185.100
157.55.194.46
65.54.165.55
65.55.239.168
207.46.216.54
207.46.73.250
94.245.117.53
65.54.55.201
65.52.184.75


In den Dateien "startmedien.php und stopinternet.php" habe ich die Zeit angepasst.

Alle Rechner dort bekommen die IP-Adressen fest von einem DHCP-Server zugewiesen. Der Lehrer-PC geht über den Router(Time for Kids) (IP: 172.24.1.254) direkt raus, den Proxy bekommen die Schüler-PCs per GPO. Daher kann auch kein Schüler den so einfach umgehen .

Der Schulfilter Plus ist in den Räumen als einziges Transparentes Gateway(IP: 172.24.1.254) eingerichtet. Das heißt, so denke ich auf jedenfall, der Openschoolproxy (IP: 172.24.1.243) weiß nichts von einem vorgelagerten Proxyserver daher kommt es bei den HTTPs Verbindungen zu Office365 immer zu dem besagten: ERR_EMPTY_RESPONSE. Aufgerufen habe ich die Seite mit dem SRWareIron Browser.

Kann das so sein?

Ich finde es auf jedenfall toll, das du alleine ein solches Produkt entwickelt hast.

Beitrag geändert von amw (2013-04-24 18:33:40)

Offline

#4 2013-04-25 19:13:20

Benedikt B
Administrator
Registriert: 2010-12-05
Beiträge: 249

Re: OSP hinter Schulfilter Plus (transparent)

Hallo amw

Die Whitelists sehen soweit alle gut aus.

So ganz klar ist mir aber euer Netzwerksetup leider noch nicht. Ich dachte die Lehrer hätten das Problem mit Office365? Aber deren PC geht doch direkt über den Schulfilter raus? Oder ist deren Browser, genau wie der der Schüler, für den OSP konfiguriert?

Wie ist euer Schulfilter konfiguriert? Lässt er https normalerweise generell durch, oder muss man ihn, um https nutzen zu können, explizit im Browser angeben?

Viele Grüße

Benedikt

Offline

#5 2013-04-25 19:49:23

amw
Mitglied
Registriert: 2013-04-23
Beiträge: 4

Re: OSP hinter Schulfilter Plus (transparent)

Zum Netzwerksetup (Bsp. Klassenraum):

172.24.1.0/24 -> Subnetz eines Klassenraums

Lehrer-PC           -> 172.24.1.1
Schüler-PCs        -> 172.24.1.2 - 172.24.1.24
DC-01                -> 172.24.1.241  ( Schuldomaincontroller 1)
DC-02                -> 172.24.1.242  ( Schuldomaincontroller 2)
Openschoolproxy  -> 172.24.1.243
Timeforkids(Gateway)   -> 172.24.1.254

Bei den Schüler-PCs läuft der gesamte Internetverkehr über den Openschoolproxy. Dort ist der als Proxy eingetragen.

Die Lehrer-Pcs haben gar keinen Proxy Eintrag und dürfen direkt über den Time for Kids Gateway raus.

----
Zum Time for Kids:

Dieser ist als Gateway Transparenter Proxy konfiguriert. Auf Port 80 filter der alles mögliche, genaue Informationen gab mir dort bisher keiner. Auf Port 443 ist aber alles frei.

Wenn ich ein "tracert" zu google.de mache bekomme ich auf jedenfall ein Timeout.

Der Time for Kids ist auch ein Squid Proxy der die Schulfilter Plus Software als "i-cap" Modul lädt.

Also er lässt https normal durch ohne Filterung.

Gruß
AMW

Ich werde testweise bei mir Zuhause mal die Schulfilter Plus Software als demo installieren um das Szenario nachzustellen. Vielleicht finde ich da den Fehler.

Beitrag geändert von amw (2013-04-25 19:51:45)

Offline

#6 2013-04-26 10:58:00

Benedikt B
Administrator
Registriert: 2010-12-05
Beiträge: 249

Re: OSP hinter Schulfilter Plus (transparent)

Hallo amw

Jetzt ist mir das Netzwerk-Setup schon deutlich klarer, vielen Dank :-) So wie ich das im Moment verstehe, ist der Fehler mit Office 365 unabhängig vom OSP und hängt nur mit dem Schulrouter/Netzwerksetup zusammen. Wenn die Lehrer direkt über den TFK Router ins Internet gehen, liegt der Fehler entweder am TFK Router selbst, oder auf den Weg (=Netzwerk) dahin.

Sorry, dass ich da gerade nicht mehr helfen kann, aber ich hoffe, dass du den Fehler findest.

Viele Grüße

Benedikt

Offline

#7 2013-05-10 14:42:40

amw
Mitglied
Registriert: 2013-04-23
Beiträge: 4

Re: OSP hinter Schulfilter Plus (transparent)

Hallo Benedikt,

so ich denke ich habe das Problem ausfindig machen können. Das Problem sind beide, der TFK und das Netzwerk.
Die Latenz ist erschreckend hoch 800ms - 2,7sec und mehr, und da durch jeden L7 Router (wozu ja auch der OSP gehört) die Latenz noch weiter erhöht wird, machen immer alle SSL Server dicht.

Hätte mir schon auffallen müssen das bei Office 365 jetzt auch ohne OSP dazwischen die Probleme auftreten. Aufgefallen ist mir das dadurch das ich kein Windows mehr in dem Netzwerk dort Aktivieren konnte. Da habe ich unter höchsten Umständen einen Latenztest machen können. Unter Umständen deshalb, da ich von der IT-Abteilung dort keinerlei Unterstützung in Form von Informationen erhalte. Das sagt mir nur das die dort ihre Arbeit sehr schlecht machen, denn das Netzwerk ist trotz TFK unsicher.  (Böse Seiten etc. gehen alle noch, die die gebraucht werden: "technet" gehören nicht in den Aufgabenbereich....). Und sehr sehr langsam. Leider ist das in den meisten Schulen heutzutage so das nicht mehr zusammen an einem Problem gearbeitet wird.

Ich habe OSP erstmal wieder raus genommen für das Netz. Vielleicht wird das ja irgendwann besser.

MFG

amw

Offline

#8 2013-05-10 15:38:24

Benedikt B
Administrator
Registriert: 2010-12-05
Beiträge: 249

Re: OSP hinter Schulfilter Plus (transparent)

Hallo amw

Wow, solche Latenzen sind extrem. Das klingt nach schweren routing Problemen im Hauptnetz. Gut dass du den Fehler identifizieren konntest, aber sehr schade, dass der Betrieb des OSP damit erstmal nicht möglich ist.

Hoffentlich bessert sich da bald was.

Viele  Grüße

Benedikt

Offline

Fußzeile des Forums

Powered by FluxBB