Projekt: Netzwerk in der Schule

[cgone]

Für eine Berliner Schule unterstütze ich als Elternteil die Erneuerung des Netzwerks. Ich persönlich finde es ein interessantes Projekt und hätte gerne Eure Meinung.

Oberste Anforderung:
Da für eine Schule kein IT-Abteilung vorgesehen ist und notwendigen Arbeiten stets von einer Lehrkraft nebenbei ausgeführt werden mus, ist die wichtigte Eingeschaft, dass das Netzwerk einfach mit seiner Funktion zuverlässig  laufen muss.

Ein grundlegenden Netzwerkplan habe ich als Anhang beigelegt.

Eine Aufteilung in VLANs habe ich jetzt nicht in der Diagramm eingefügt, aber es ist angedacht verschiedene Segmente via VLAN einzurichten.

Das OM2-Glasfaserkabel zwischen Hauptgebäude und Nebengebäude ist wahrscheinlich allerdings länger als 82m.
Gibt es Erfahrungen wie weit man mit den UF-MM-10G Modulen über die Spezifikation hinauskommt?

Nach jetzigem Plan wird in jedem Klassenzimmer ein Access Point UAP-AC-PRO angeschlossen. Es werden neben Smartboards, ipads und Apple TV auch noch einige Rechner per Kabel angeschlossen. Die AppleTV dienen dazu, dass dort der Bildschirm des ipads des Lehrers gespiegelt werden kann. Viele mit kabelgebundene Clients und auch die Smartboards ziehen bei jedem Start ein aktuelles Image vom Server, so dass uns die Verkabelung zwischen den Switchen mit 10Gb sinnvoll scheint.

Offene Frage bei uns ist, wie wir den Jugendschutz organisieren, wenn die Kinder auch das WLAN nutzen können.
Zurzeit werden alle Rechner, an denen sich Kinder einloggen können, über den LogoDIDACT-Server geroutet, der per Proxy-Filter Inhalte verbietet. (Wir wissen alle, dass dies nicht mehr gut funktioniert.  )

In der ersten Phase des neuen Netzwerks ist vorgesehen, dass erst nur die Lehrer und die schuleigenen Geräte ins WLAN kommen sollen.

Ich würde mich freuen, wenn jemand Erfahrungen in diesen großen Netzwerken mit Ubiquiti-Geräten hat, und sagen kann, ob es so sinnvoll umgesetzt werden kann.

[maclinuxfree]

Hallo,

dazu gibt es was Schönes.

https://schulnetzkonzept.de/opnsense

Grüße.

[lidynia.sven]

Hallo,

dazu gibt es was Schönes.

https://schulnetzkonzept.de/opnsense

Grüße.

Genau das hätte ich jetzt auch vorgeschlagen.

Da steht alles drin was du brauchst und was für eine Schule sinnvoll ist

Gesendet mit Tapatalk pro

[cgone]

..
dazu gibt es was Schönes.

https://schulnetzkonzept.de/opnsense
...

Ja, dass kenn ich und das ist gut, wenn OPNsense neu ist.

Die OPNsene-Konfiguration traue ich mir auch ohne Anleitung zu, aber OPNsense ist nur ein Teil des ganzen Kunstwerks. 

[lidynia.sven]

Warum denn das Rad neu erfinden?

Gesendet mit Tapatalk pro

[fabian]

Aus Netzwerk-Sicht spricht vermutlich wenig dagegen aber wenn du bei jedem Netzwechsel über die OPNsense gehst, dann musst du die so dimensionieren, dass die den Traffic auch verarbeiten kann.

Dann brauchst du dort viel CPU und Memory und vor allem schnelle Netzwerkkarten. Vor allem wenn du TLS inspection verwenden willst, wirst du viel Leistung brauchen (ist ohnehin eine Frage, wie lange das überhaupt noch funktioniert da TLS 1.3 das verhindern kann).

[cgone]

Warum denn das Rad neu erfinden?

Wir sind doch noch in einer ganz anderen Phase. Erstmal ein stabiles Netzwerk bereitstellen.
Die Lehrer müssen sich daran gewöhnen, dass sie mit dem Netzwerk normal und zuverlässig arbeiten können.

Welche Services, wie Nextcloud, Collabora, dann auch genutzt werden, liegt in der Hoheit der Lehrer.
Es macht wenig Sinn dort etwas vorzugeben, ohne den Anwender in die Auswahl einzubinden.

Abgesehen davon möchte ich nochmal auf die Problematik verweisen, die bei schulnetzkonzept.de etwas vernachlässigt wird: Der Adminstrator ist auch ein Lehrer, der normalen Unterricht durchführt, so dass die Service, die im Netzwerk bereitgestellt werden, schmal gehalten werden sollen. Z.B. jeder öffentliche Instanz von Nextcloud muss intensiv gewartet und aktuell gehalten werden. Jedes Problem liegt dann beim Lehrer auf dem Tisch. Momentan stellt man sich daher vor, dass eine Cloud-basierte Lösung, die außerhalb (vom Senat oder eingekauft) bereitgestellt wird, nutzen kann und dann damit keinen Aufwand in die Administration und Wartung hat.

[cgone]

Aus Netzwerk-Sicht spricht vermutlich wenig dagegen aber wenn du bei jedem Netzwechsel über die OPNsense gehst, dann musst du die so dimensionieren, dass die den Traffic auch verarbeiten kann.

Dann brauchst du dort viel CPU und Memory und vor allem schnelle Netzwerkkarten.

Nach jezigen Stand würde ich zu einem Modell der DEC3800 Series greifen oder etwas vergleichbares selbst bauen.

Das größte Problem mit der DEC3800 finde, ich dass keine Festplatte eingebaut werden kann, da meine Erfahrung ist, dass sich die SSDs ziemlich schnell abnutzen.

Vor allem wenn du TLS inspection verwenden willst, wirst du viel Leistung brauchen (ist ohnehin eine Frage, wie lange das überhaupt noch funktioniert da TLS 1.3 das verhindern kann).

Mit TLS inspection habe ich noch so meine Probleme. Ich bin mir nicht sicher, ob ich bei den Schülern mehr Probleme verursache, wenn Sie auf ihre BYODs ein CA-Zertifikat der Schule installieren müssen.

Bei den Schul-eigenen Geräten habe ich keine Probleme damit.

Außerdem können die Schüler ganz einfach den Jugendschutz umgehen, wenn sie WLAN ausschalten und über Mobilfunk ins Internet gehen. Praktisch hat man also nicht wirklich etwas gewonnen.

[fabian]

Mit TLS inspection habe ich noch so meine Probleme. Ich bin mir nicht sicher, ob ich bei den Schülern mehr Probleme verursache, wenn Sie auf ihre BYODs ein CA-Zertifikat der Schule installieren müssen.

Bei den Schuleigenen Geräten habe ich keine Probleme damit.

Falls du das machen willst, kannst du das Feature auch auf schuleigene Geräte begrenzen. Wie auch immer, ist die Frage ob das rechtlich zulässig ist und und ob du das verwalten kannst.

Außerdem können die Schüler ganz einfach den Jugendschutz umgehen, wenn sie WLAN ausschalten und über Mobilfunk ins Internet gehen. Praktisch hat man also nicht wirklich etwas gewonnen.

Geht noch einfacher:
VPN, Web Proxy, SSH

Und ab ESNI ist es ohnehin unmöglich.