Openschoolproxy Forum

Forum für Fragen, Probleme und Anregungen zum OSP

Du bist nicht angemeldet.

#1 2013-04-25 15:34:24

PS
Mitglied
Registriert: 2013-04-25
Beiträge: 24

Fragen vor der ersten Installation in bestehendem LAN mit AD

Hallo Benedikt,
hallo alle anderen User hier,

Zugegeben, konkrete Probleme mit dem OSP sind bei uns noch nicht aufgetreten, da er noch gar nicht läuft. ;-)
Dennoch schien mir die Kategorie hier am passendsten.
Wir interessieren uns an unserer Realschule sehr für den OSP3 und haben allerdings noch ein paar Fragen. Es wäre toll darauf ein paar Antworten zu bekommen, bevor ich in den nächsten Wochen mit einer Testinstallation beginne. Übrigens haben wir bewusst die Version 3 abgewartet, da wir auch zukünftig eine stabile EDV benötigen und die hier im Forum beschriebenen Probleme mit der AD vermeiden möchten.

Hintergrundinfo zum Szenario:
1)    Der OSP soll lediglich die Proxy/Blacklistfunktion einer frühere KEN4-Installation ersetzen, granulare Abstufungen für unterschieliche Gruppen werden nicht benötigt
2)    Das Schulnetz besteht im wesentlichen aus:
   - 1 Host-Server (FTS-Hardware mit 2008R2 mit Hyper-V)
   - 1 VM (2008R2 mit ADS und Filediensten, WSUS, VPN-Zugang für Wartung, Norman-AV-Verteilserver usw.)
   - an 4 Subnetzen hängen insgesamt ca. 150 Client-PC (Drucker usw.)
   - Eine Fritzbox ist zentrales Gateway und über ein Transfernetz mit dem Host verbunden (dediz. NIC), es ist ein Routing von/zu den 4 Sub-LANs konfiguriert
3)    Das Netz ist stabil, funktional und soll in seiner Struktur aktuell NICHT verändert werden.

Zu den konkreten Fragen:
1)    Soweit ich die Doku gelesen und verstanden habe, wird die (an Schulen sicher sehr häufig verwendete) Fritzbox nicht explizit unterstützt;
gerade da man hier keine eigenen ACL definieren kann vermutlich ein Nachteil, wenn man nicht auf die Umgehungsmöglichkeiten verzichten mag.
Gibt es hierzu ein spezielles Workaround/Konfig-Empfehlung, da wir auf die ganz neu angeschaffte Fritzbox nicht verzichten wollen, natürlich aber auch keinen (an sich sosnt unnötigen) zusätzlichen Router aufstellen möchten?
2)    Wie andere User hier auch, möchten wir den OSP als VM auf dem Hyper-V-Host laufen lassen (der noch entsprechende HW-Ressourcen frei hat). Gibt es hierzu spezielle Install-Empfehlungen bzw. wäre eine Downloadbare fertige VM natürlich eine tolle Idee…
[Kann man gerne in die WISH-Liste aufnehmen]  :-D
3)    Aus 1) und2) folgt ggf., dass die IP und Routing-Konfig des OSP (und Windows-LANs) angepasst werden muss, gibt es hierzu eine Anleitung/Hilfe, da ich mit Linux bisher nichts am Hut hatte?
4)    Wichtig ist selbstredend, dass der VPN-Zugang und andere Funktionen wie WSUS, Norman usw. ohne rumzubasteln weiterlaufen müssen. D.h. kann man die Server generell von den Blacklistings/Sperren ausnehmen und direkt durchlassen oder muss man dazu Linux-Bastler sein?
5)    Gibt es sonst noch Tipps die ich in diesem Szenario beherzigen könnte?

An der Stelle erst mal herzlichen Dank für das tolle Projekt!

Besten Dank vorab und schöne Grüße
Peter

Offline

#2 2013-04-25 19:47:39

Benedikt B
Administrator
Registriert: 2010-12-05
Beiträge: 249

Re: Fragen vor der ersten Installation in bestehendem LAN mit AD

Hallo Peter

Herzlich Willkommen im Forum.

PS schrieb:

1)    Soweit ich die Doku gelesen und verstanden habe, wird die (an Schulen sicher sehr häufig verwendete) Fritzbox nicht explizit unterstützt;
gerade da man hier keine eigenen ACL definieren kann vermutlich ein Nachteil, wenn man nicht auf die Umgehungsmöglichkeiten verzichten mag.
Gibt es hierzu ein spezielles Workaround/Konfig-Empfehlung, da wir auf die ganz neu angeschaffte Fritzbox nicht verzichten wollen, natürlich aber auch keinen (an sich sosnt unnötigen) zusätzlichen Router aufstellen möchten?

Zumindest teilweise. Wenn ihr die Browsereinstellungen als Gruppenrichtlinie verteilt und sie für den Nutzer als unveränderlich festsetzt, kann er mit den bereits installierten Browsern den Proxy nicht umgehen. Bringt er aber seine eigene Portable-Version eines Firefox, etc. mit, ist das anders. Dann kann der Nutzer seine eigenen Einstellungen treffen und ggf. direkt über den Router ins Internet. 100% Schutz bietet da nur eine enstprechende interne Firewall.

PS schrieb:

2)    Wie andere User hier auch, möchten wir den OSP als VM auf dem Hyper-V-Host laufen lassen (der noch entsprechende HW-Ressourcen frei hat). Gibt es hierzu spezielle Install-Empfehlungen bzw. wäre eine Downloadbare fertige VM natürlich eine tolle Idee…
[Kann man gerne in die WISH-Liste aufnehmen]  :-D

Eine fertige VM gibt es leider nicht, aber die ganz normale Installation über die .iso funktioniert auch auf dem Hyper-V. Ich kenne auch einen Nutzer, der derzeit den osp3 auf einem  Hyper-V betreibt und mir vom reibungslosem Betrieb berichtet hat. Das sollte also kein Problem sein und out of the box funktionieren.

PS schrieb:

3)    Aus 1) und2) folgt ggf., dass die IP und Routing-Konfig des OSP (und Windows-LANs) angepasst werden muss, gibt es hierzu eine Anleitung/Hilfe, da ich mit Linux bisher nichts am Hut hatte?

Für 1) und 2) sollte es nicht nötig sein etwas an der Routing Konfiguration des OSP zu verändern. Und auch für die 4 getrennten Subnetze sollte keine extra Konfiguration von Nöten sein. Ansonsten findet man aber auch viele Anleitungen im Internet. Wenn ein spezifisches Problem auftritt, suche ich gerne die richtige heraus.

PS schrieb:

4)    Wichtig ist selbstredend, dass der VPN-Zugang und andere Funktionen wie WSUS, Norman usw. ohne rumzubasteln weiterlaufen müssen. D.h. kann man die Server generell von den Blacklistings/Sperren ausnehmen und direkt durchlassen oder muss man dazu Linux-Bastler sein?

Der OSP wäre ja nur als zusätzlicher Rechner im Netz. Wenn ihr an der Konfiguration des 2008R2 nichts ändert, geht dieser nach wie vor über die Fritzbox ins Internet und sämtliche Services von und zu diesem Rechner bleiben unberührt.

PS schrieb:

5)    Gibt es sonst noch Tipps die ich in diesem Szenario beherzigen könnte?

Ich würde dir raten, den OSP einfach mal zu installieren. Dabei würde ich noch gar nichts an den Clients umkonfigurieren, sondern alles so lassen wie es ist. Nur an einem Testrechner die Proxy-Einstellungen manuell auf den OSP setzen und ausprobieren, ob er so funktioniert wie gedacht. Nicht ganz sicher bin ich mir zum Beispiel, ob das Single-Sign-On in eurem Setup funktionieren würde, da der OSP und Client sich ja vermutlich in verschiedenen Subnetzen befinden. Konnte das eure KEN4-Installation? Also Logging anhand der Benutzerkennung, ohne das der User seine Credentials eingeben musste? Wenn ja, sollte der OSP das auch hinbekommen.

Wenn du dann mit dem OSP zufrieden bist, kannst du ja mal die Proxy-Einstellungen per Group-Policy auf mehrere Clients erweitern. Und wenn dann immer noch alles so funktioniert, wie von euch gewünscht, dann mal mit allen Nutzern probieren. Und wenn der Proxy dann als permanente Lösung eingesetzt werden soll, dann könnt ihr ja ggf. die Fritzbox durch einen anderen Router ersetzen (Router aus der D-Link dir Serie gibst für 20 Euro).

Bis zu diesem letzten Schritt musst du aber abgesehen von der Group-Policy nichts ändern und auch alle VPN und sonstigen Services bleiben unberührt. Somit sollte es leicht möglich sein, den OSP zu testen und herauszufinden, ob er in eurem Netzwerk so wie gewünscht funktioniert.

Viele Grüße

Benedikt

Offline

#3 2013-04-27 10:58:42

PS
Mitglied
Registriert: 2013-04-25
Beiträge: 24

Re: Fragen vor der ersten Installation in bestehendem LAN mit AD

Hallo Benedikt,
herzlichen dank für die schnelle Antwort.
Wir werden demnächst mal eine Testinstallation ausprobieren und ggf. später kurz berichten wie das so läuft.

Zu 1-3) Das ist mit soweit klar, dass das alles wie vorher läuft wenn wir den OSP nur "zusätzlich" mit ins LAN nehmen und nicht wie in der Anleitung empfohlen alle Geräte per default über den OSP gezwungen werden. Ehrlich gesagt war das aber auch meine Idee, zumindest für das Testscenario und die ersten Wochen Betrieb. ;-)

Zum Ken4: Der hatte einen eigenen Klient mitgebracht der auf jedem PC (ausser den 64 Bit-OS) installiert war und sich am Ken4-Server angemeldet hat.
Allerdings haben wir keine Loggingfunktionen genutzt.
Evtl. werden wir zukünftig mit dem OSP da ab und nachschauen was so läuft.

Schönes WE & viele Grüße
Peter

Offline

Fußzeile des Forums

Powered by FluxBB