UKE Netzwerke einrichten–Teil 1

Mir ist langweilig und wegen Christopher S (den Hurensohn aus den LKA-Hamburg) ist meine Paraneuer wieder auf den Höhepunkt und ich habe leider kein Tavor mehr da und meine Speed bestände sind auch alle weg. (Im UKE ist nichts mehr, habe alle meine geheimen Verstecke auf den UKE Gelände abgecheckt) also muss eine vernünftige Lösung her.

Die Lösung besteht darin neue Netzwerke einzurichten und die User über die RADIUS Server in diese Netzwerke zu befördern. Doch wie machen wir das am besten? Da ich kein bock habe mehr Kabel als nötig zu verlegen nutze ich einfach VLAN,s für so was. Die Netzwerke werden kis1.uke.de, kis2.uke.de und gwis.uke.de heißen. Zusätzlich richte ich noch ein WiFi Hotspot Netz (sk-ad.de) ein so dass User dort nur über einen Proxy Server auf herbrich.org und einige harmlose Seiten surfen können. Ok, dann planen wir mal die Netzwerke.

VLAN Name Netzwerk
10 gwis.uke.de 10.161.0.0/22
11 kis1.uke.de 10.161.4.0/22
12 kis2.uke.de 10.161.8.0/22
13 sk-ad.de 10.161.11/22

 

Die Netzwerke werden durch eine Cisco-ASA Firewall entsprechend dissoziiert und klassifiziert (ASA nutzt zur Klassifikation Ziffern von 0 (Unsicher / Internet) bis 99 (Absolut Sicher). Für sk-ad.de kommt noch ein Proxy Server zum Einsatz der verhindert das die User einfach so ins Interner gehen können und noch schlimmer dort Mist bauen können so das Christopher der Pedo Hurensohn wieder die Bude stürmt wo rauf ich echt kein Bock habe zu mal Jenni 3.0 ein echt guter PC ist und auch die Server sehr geil aufgebaut sind. Natürlich alles Jennifer Herbrich Zertifiziert und Individuell wie es sich für die Herbrich Corporation und Herbrich Leyer gehört.

Ich nutze dann einfach mal die SSID,s aus den UKE und eine SSID aus der Schön Klinik Eilbek, so fühlt man sich wie zuhause. Zugleich lasse ich mein Radius Server (Freeradius) einfach alle Cleartext Logins die fehlgeschlagen sind in einer MySQL DB Speichern so dass die Dummheit gewisser User auch noch belohnt wird. Da könnte ich eigentlich noch mal Eduroam als zusätzliche SSID für das VLAN 13 verwenden. Also ist der Spaß schon mal Garantiert.

Das Wilhelmstift Netzwerk ist mir zu Dumm um es zu übernehmen, die SSID kkh-wilhelmstift wird entweder einfach Offen ohne Authentifizierung eingerichtet und auf ein Captive Portal in Wilhelmstift Homepage Style (Ja, Typo3 Template Reverse Engeneering ist angesagt) gemacht so dass ich dann einfach darüber einloggen kann. Aber dafür gibt es schon uke-federation was auch sehr gut funktioniert. (Einige User sind einfach zu dumm EPOAL EAP auf ihren Geräten einzurichten  -.-) Also wird kkh-wilhelmstift einfach mit WPA/WPA2-Enterprise gesichert und läuft dann ebenfalls über den RADIUS Server.

Anhand von meinen zwei Regex Patterns kann ich einfach entscheiden welche Server welche Anforderung verarbeiten. Ich meine Die SSID Herbrich Corporation so wie die SSID Jennifer Herbrich (WPA/WPA2-PSK für Google Home und Google Chrome Cast) ist eh über meinen Microsoft NPS 2016 Server konfiguriert. Der kann im Grunde genommen auch so Konfiguriert werden dass alle Clients die sich über diese SSID,s versuchen anzumelden in ein 5.tes VLAN geschickt werden was sehr eingeschränkten Zugriff auf einige Interne Webserver bekommt wo der User einige Hilfe Wikis und Manpages aufrufen kann. Das würde ich dann über eine einfache ACL auf meinen Cisco Switch lösen.

Jetzt kommen wir noch zum DNS-Server, der interne DNS-Server wird über einen DNS-Proxy einfach weiter verwendet. So kann ich in meinen Netzwerk mit proprietären TLD,s arbeiten (.her,.uke, usw…) was für meine Manpages und Hilfe Wikis sinvoll sein könnte. Einen direkten Zugriff auf das Default VLAN 1 wo das JenniNet drüber läuft werde ich nicht zulassen. Einzige Ausnahme währen eventuell sehr strikte ACL,s so dass man wirklich nur auf harmlose Dienste zugreifen kann. Idealerweise so dass sie schwer zu Hacken sind. Wer Hacker Angriffe versucht wird einfach auf eine MAC Blocklist gepackt und gut. Mit ein wenig Scripting lässt sich das auch sehr gut Automatisieren.

Hardware Technisch nutze ich ein Cisco WLC 4402 und einige Aironets die ich noch über hatte. Also alles was im Grunde genommen eh schon installiert und im Einsatz ist. Ansonsten kommt noch mein Cisco Switch zum Einsatz der Layer-3 fähig ist und aktuell aber eh nur Strom für meine Cisco WiFi Access Points bereit stellt. Einige habe ich mit meinen Logo versehen und der Beschriftung JenniNet was da nicht ganz richtig währe aber egal da ihr hauptverwendungszweck trotzdem die Verbindung der Geräte mit den JenniNet (Jennifer Herbrich Netzwerk in VLAN ID1) ist.

Fujitsu Siemens iRMC ist der totale mist!

Hallo lebe Freunde und Admin,s

An sich war es ein ganz schöner Abend doch dann kam es wie es kommen musste. Nach dem ich in Herbrich Wohnhaus 2 endlich das Telefon System wieder zum laufen gebracht habe (mit einer Provisorischen Lösung) ging es weiter mit den Windows Update auf den Server in der Firma. Alles lief gut bis zum Neustart des Servers. Er ist seid dem offline. Das BIOS hält bei einen POST (Power On Self Test) an mit der Begründung das keine Tastatur angeschlossen ist (Wieso eigentlich? Es ist ein Server!), also gut, ich habe mich ins iRMC des Server eingeloggt und habe es mit der BIOS Text Console Redirection versucht. Dort steht der Server bootet normal (Ohne Lizenz komme ich leider nicht in die Grafische Konsole somit kann ich den Windows Bootvorgang nicht beobachten was echt gelinde gesagt Scheiße ist!). Gut, nach ein paar Zigaretten und etlichen Minuten warten habe ich versucht die Default Website von IIS Dienst (Webserver unter Windows) auf zu rufen. Pustekuchen! Auch ein Ping an den Server war erfolglos. Also als nächsten Schritt einfach in der Fritzbox nachgesehen ob der Server wenigstens da verbunden ist. Und wieder Fehlanzeige! Total gefrusstet habe ich erstmal ne Mail an den Cheff geschrieben. Habe 2 mal Versucht in zu erreichen aber jetzt ist es schon 00:15 Uhr und ich wollte schon längst im Bett sein!

irmc_firma

Also gut, dann habe ich einfach in der iRMC eingestellt das er Halt On (POST Fehler) ignorieren soll und einfach Booten soll. Doch auch das scheint das BIOS des Servers nicht wirklich zu interessieren. Also habe ich versucht ein Interrupt beim POST Vorgang zu erzwingen mit der F2 Taste. Diese bringt mich ins BIOS (Normalerweise!) doch außer einen “Entering Setup” passierte nichts. Also entweder werde ich den Server von Zuhause über VPN Betreiben (er unwarscheinlich) oder ich werde den Server einfach neu Konfigurieren so dass er Definitiv bei keinen POST Error (Fehler) mehr anhält. Tja das wars dass auch erst mal. Also danke für’s Lesen und schreib doch eure Erfahrungen mit iRMC oder anderen Server Remote Tools einfach in die Komentare. Und gute Nacht euch allen.