FreeRadius-Server mit Let's-Encrypt-Zertifikat ausstatten

Im Zuge von WPA 3 wird es zwingend erforderlich, dass die Verbindung von Clients zum Radiusserver verschlüsselt stattfindet. So wird z. B. ab Android 11 der Workaround, das Zertifikat nicht validieren zu müssen, nicht mehr angeboten.

Ich habe die Anleitung zum Radius-Server und zu OPNSense entsprechend angepasst.

Anleitung FreeRadius

Anleitung OPNSense

Jitsi-Meet als Alternative zu Nextcloud Talk/Spreed

Leider ist es mir bis heute noch nicht gelungen, das High-Performance-Backend für die Nextcloud so zu installieren/konfigurieren, dass es ein Teilnehmerkreis über 20 Personen sinnvoll einsetzen könnte. Ich vermute, dass dies damit zusammenhängt, dass die WebRTC-Verbindungen eines jeden Teilnehmers nicht wie bei anderen Videokonferenzlösungen zu einer Verbindung gebündelt werden. Bei der von mir beschriebenen Spreed-Installation hat man in einer Konferenz so viele gleichzeitige WebRTC-Verbindungen wie Teilnehmer in der Konferenz anwesend sind. Dies überfordert bei höheren Teilnehmerzahlen in hohem Maße die einzelnen Clients.

Als Alternative möchte ich die Installation eines Jitsi-Servers und die optionale Anbindung an den Samba-Server via ldaps vorstellen.

Hier geht's zur Anleitung

Aktualisierung der Firewallegeln

Bisher waren die Firewallregeln der LAN-Schnittstellen so gestaltet, dass am Ende eine Regel der Form "Default allow XXX to any" eingetragen war. Dieses Vorgehen ist grundsätzlich nicht optimal, da eine vergessene vorangestellte Blockregel zu entsprechenden Sicherheitslücken führen kann.

Das neue Firewallkonzept verzichtet auf die o. g. Default-Regeln sowie auf vorangestellte Blockregeln. Durch die Überarbeitungen u. a. mit einem neuen Alias für private Netzwerke (RFC1918 bzw. dessen Invertierung = Internet) werden insgesamt deutlicher weniger Regeln bei gleichzeitig gesteigerter Übersicht und Effektivität benötigt.

Hier geht's zur aktualisierten Anleitung

Spreed - High-Performance-Video-Backend

Mit dem High-Performance-Backend ist es möglich, die Nextcloud-Talk-App derart zu erweitern, dass bei entsprechender Dimensionierung weit über 100 Teilnehmer gleichzeitig an einer oder mehreren Videokonferenzen parallel und vor allem datenschutzkonform teilnehmen können.

Man kann nur hoffen, dass die Kultusministerien in unserem Land auch solche Lösungen in Betracht ziehen und nicht nur bei den großen amerikanischen Firmen in der Lobby sitzen!

Hier geht's zur Anleitung

Neu: getrennte VLANs für Schüler und Lehrer

Um netzwerktechnisch besser zwischen Schülern und Lehrern unterscheiden zu können, wurde das Schulnetzkonzept wie folgt abgeändert bzw. erweitert:

  • Das LAN/VALN LAN_CLIENTS wurde ersetzt durch zwei LANS/VLANS: LAN_SCHUELER und LAN_LEHRER.
  • Der Proxy-Server ist nur für das Netzwerk LAN_SCHUELER aktiv. Clients in LAN_LEHRER unterliegen keiner Proxy-Filterung.
  • Drucker oder Cast-Lösungen (HDMI-Sticks, Airserver, ...) sind im LAN_SCHUELER beheimatet. Damit man auf diese auch von LAN_LEHRER zugreifen kann, wurde das OPNsense-Modul Multicast DNS installiert und konfiguriert.
  • Bei WLAN-Anmeldungen kann die angepasste FreeRADIUS-Installation nun zwischen Lehrern und Schülern unterscheiden und entsprechend unterschiedliche VLANs zuweisen.

Folgende Anleitungen wurden hierzu aktualisiert:

OPNsense

Samba

Neu: Beschreibung zu eigenem Collabora-Server für die Nextcloud

Um Dokumente direkt in der Nextcloud editieren zu können gibt es mittlerweile mehrere Produkte. Ich finde, dass Collabora in Kombination mit einem eigenen Server hier am besten abschneidet.

Hier geht's zur Anleitung.

Extrem vereinfachte Proxy-Konfiguration und -Verwendung

Die Verteilung von Proxy-Informationen über WPAD sowie die notwendigen manuellen Einstellungen an mobilen Endgeräten haben die Konfiguration und Nutzung des Proxys immer sehr aufwändig gestaltet.

Ich habe nun mithilfe von SNI (Server Name Indication) eine datenschutzkonforme Methode gefunden - vielen Dank lieber Herr Weigert für die Tipps! - den Proxy auch für https-Anfragen transparent zu betreiben.

Hier gelangen sie zur aktualisierten Anleitung.
Zum Vergleich/Wechsel hier die alte Anleitung.

Debian-Anleitung auf Debian 10 (Buster) aktualisiert

Seit 07.07. ist Debian in der Version 10 "Buster" freigegeben.

Die Anleitung für Debian wurde entsprechend aktualisiert.

OPNsense statt pfSense

Das FreeBSD-System OPNsense ersetzt im Schulnetzkonzept die Komponente pfSense.

Gründe hierfür:

  • OPNSense basiert im Vergleich zu pfSense zu 100% auf Open Source: Entwicklungen und Planungen rund um das System werden stets offen und nachvollziehbar kommuniziert.
  • OPNSense wird wöchtentlich mit Sicherheitsupdates und Bugfixes versorgt.
  • Die Oberfläche von OPNsense ist wesentlich intuitiver zu bedienen als die von pfSense.
  • Einige für das Schulnetzkonzept relevante Features können benutzerfreundlich über die Weboberfläche statt über die Konsole konfiguriert werden, darunter:
    • Updates für Proxy-Blacklists
    • Generierung einer .pac-Datei für die automatische Verteilung der Proxy-Informationen

Die Anleitung für pfSense finden Sie weiterhin hier. Allerdings werden die Inhalte hierzu nicht mehr aktualisiert.

Raspberry Pi als Anzeigesystem

... Anleitung endlich fertig

Leider bin ich in den letzten Monaten nicht dazu gekommen, an diesen Seiten weiter zu arbeiten - ich gelobe Besserung...

Einen kleinen weiteren Baustein kann ich aber heute präsentieren: Raspberry Pi als Anzeigesystem

Vortrag in Roding: Nextcloud an Schulen

... für die Schulleiter der Oberpfalz

Liebe Kollegen in der Oberpfalz,

herzlichen Dank für die Einladung und die guten Gespräche!

> Hier können Sie die Folien zum Vortrag herunterladen!

Achtung: Samba-Bug

Ein Fehler, der auch die hier beschriebene Samba-Installation betrifft: Alle Nutzer können alle Passwörter - auch das Admin-Passwort - ändern. Der Fehler steckt in Sambas Domain-Controller-Umsetzung.

> Weiterführende Infos

Das Update das zugrunde liegenden Debian-Systems behebt die Lücke!

schulnetzkonzept.de ist geboren!

Die Seite schulnetzkonzept.de startet heute ihren Betrieb.

Ich bitte um Verständnis dafür, dass die Seite inhaltlich extrem fragmentiert startet. So gut es meine Zeit zulässt, werde ich die hoffentlich hilfreichen Anleitungen hier veröffentlichen.