Schulserver und Schulnetz
Abschlussbedingungen
3. Glasfaseranschluss mit Palo Alto
Von der Telekom werden seit dem Jahreswechsel 2021 / 2022 keine Digitalisierungsboxen mehr verbaut, es kommt direkt die PaloAlto über SBSK.
Port 2 – Anschluss der Verwaltungs-IT an das ITNXT
Port 5 – Anschluss der Schul-IT an das Internet
Initialkonfiguration
Die PA-820 terminiert den Glasfaseranschluss und stellt nach innen zwei Ports zur Anbindung der lokalen Netze zur Verfügung:
- Ethernet1/2: Anbindung des Verwaltungsnetzes - individueller Adressbereich pro Schule, der sich aus der Schulkennzeichnung herleitet.
z.B.
- Standort 1: 10.0.0.0/24
- Standort 825: 10.3.56.0/24
- Ethernet1/5: Anbindung des Schulnetzes
- Die Vorgabe seitens der Telekom sieht hier für alle Schulen eine einheitliche Konfiguration vor:
- Adressbereich: 192.168.199.0/24 -> angepasst
- Default Gateway: 192.168.199.1
- DHCP: 192.168.199.10 - 192.168.199.240
- DNS: Zwei Server der Telekom, die per PPPoE zugewiesen werden
- Diese Konfiguration kommt in dieser Form nur zum Einsatz, wenn der Glasfaseranschluss zum Zeitpunkt der Installation noch nicht in Benutzung ist. Ist bereits eine Digibox angeschlossen, wird deren interner Adressbereich übernommen.
- Häufig 192.168.2.0/24 oder wie an der GS "Kritzmannstraße" 192.168.0.0/24
- Die PA-820 hält in jedem Fall immer die .1 und agiert mit dieser Adresse als Default Gateway
- Gateway IP: 172.16.0.1/16
- IP Bereich: 172.16.0.1 - 172.16.255.254
- Subnetzmaske: 255.255.0.0
- DHCP Bereich: 172.16.0.46 - 172.16.255.254
- Security Policies
- Für beide Netze, Verwaltung und Schule, existiert eine gemeinsame Regel, welche jeglichen ausgehenden Verkehr erlaubt. Es gibt keinerlei Einschränkungen hinsichtlich Portnummern oder Anwendungen.
- Mit dieser Regel sind die folgenden Security Profiles assoziiert:
- Antivirus
- Anti-Spyware
- Vulnerability Protection
- NAT Policies
- Es existiert eine gemeinsame Source NAT Policy, welche für Verbindungen ins Internet die internen Adressbereiche durch die öffentliche IP-Adresse der PA-820 ersetzt.
Sicherheitsregeln sind für das Verwaltungs- und pädagogisches Netz unterschiedlich konfigurierbar.
ACHTUNG: Abstimmung 05/22 - Verzicht auf Palo Alto, eigener Router vom Träger mit OpenSense aufgrund fehlendem administrativem Zugriff, Kosten ab 2023 und unbeantworteten technischen Fragen zur Konfigurierbarkeit (Feature frühestens Beginn 2023 verfügbar lt. Telekom)
Datenübertragung
Aktuell kommen in den angeschlossenen und freigeschalteten Glasfaserschulen nicht die richtigen Bandbreiten an. Erkenntnisse zu Engpässen, die die Geschwindigkeit der Datenübertragung drosseln:
- mögliche Ursache: Konfiguration der Palo Alto (technisch mögliche Datenübertragung)
- mögliche Ursache: vertraglich zugesicherte Datenübertragung