Wlan für Gäste

[freakazoid]

Hallo!

Wir würden gerne bei uns in der Firma ein Wlan für Besucher einrichten. Firewall ist vorhanden. Welche Lösungsansätze habt ihr da? Wer hat sowas schon in seiner Firma realisiert?

Die Besucher sollen ohne viel Aufwand und unabhängig vom Betriebssystem den Internetzugang ohne Einschränkungen benutzen können. Ein Port der beiden Netzwerkkarten der Firewall wurde schon entsprechend konfiguriert. Ich bin mir nur noch nicht schlüssig wie ich einen komfortablen Zugang ermögliche.

Immer wieder sind nämlich Besucher genervt, weil sie einen Key eingeben müssen und die Mac-Adresse im Router eingepflegt werden muss.
Ich will aber auch nicht, dass jeder Außenstehende über unsere Internetverbindung nach draußen kann.

[bergesel]

hallo


ich denke, dass mit den key ist nicht unumgänglich. oder du erstellst nur die mac-adressen im ap ohne verschlüsselung. so können "nur" bekannte surfen.

gruss

[zahni]

Ob die MAC-Filterung wirklich sinnvoll ist, sei mal dahin gestellt. WEP ist in wenigen Minuten geknackt und sollte nicht mehr verwendet werden.
Ansonsten gibt es auch Password/Zertifikat-basierende Lösungen, die dann aber auch wieder spezille Software auf dem Laptop erfordern. Einige der Lösungen funktionieren wohl mit dem WPA2-Patch zum SP2 von XP .

-Zahni

[MacBoon]

Hallo,

das klingt wieder nach einer Mischung von maximal/minimal-Prinzip.
Hab mal in BWL gelernt, das währe unmöglich.
Irdenwo muß man sich schon entscheiden maximale Sicherheit oder minimaler Aufwand.
Das Thema klint aber interresant. Wäre schön wenn du deine Lösung posten würdest.

(wir haben ein komplett offenes Wlan ohne Verbindung zur Außenwelt, bei Bedarf kann jedoch ein VPN-Zugang beantragt werden:
nur zum Internet=Externe
Intranet+Internet= Mitarbeiter
aber ohne administratvive Aufwand stelle ich mir Sicherheit schwierig vor)

Gruß MacBoon

[CoolAce]

Hy

ich würde einfach (falls du managed Switches mit VLAN Unterstützung hast) 2 VLANs machen eins fürs normale User Netz und eins entsprechend für die Gäst ohne Authentifizierung und der gleichen. Der Zugang der gäste wird ja eh ins Gebäude gewissermassen kontrollieren, ansonten würd ich halt den Access Point so positionieren das er nur kontrolliert erreichbar ist

Gruß

CoolAce

[zahni]

Schau mal beim Cable Guy vorbei:

http://www.microsoft.com/windowsserv...i/default.mspx

-Zahni

[s.k.]

Hallo freakazoid,

Zitat von freakazoid ...ein Wlan für Besucher... Die Besucher sollen ohne viel Aufwand und unabhängig vom Betriebssystem den Internetzugang ohne Einschränkungen benutzen können. ...Immer wieder sind nämlich Besucher genervt, weil sie einen Key eingeben müssen und die Mac-Adresse im Router eingepflegt werden muss. Ich will aber auch nicht, dass jeder Außenstehende über unsere Internetverbindung nach draußen kann.

Dann lass das WLAN komplett ungeschützt und sorge nur dafür, dass sich der User vor dem ersten Zugriff auf das Internet per Webformular authentifizieren muss. Dies kann man mit einem sog. Captive Portal realisieren.
Der User kann sich dann mangels diesbezüglicher Sicherheitsvorkehrungen zwar frei mit dem WLAN verbinden, kann aber zunächst nicht ins Internet (mit keinem Protokoll - nicht nur http/s). Beim ersten Zugriff per Browser bekommt er statt der Zielseite eine selbst gefertigte Anmeldeseite zu Gesicht, auf der er erstmal einen von Dir mitgeteilten Benutzernamen und Passwort angeben muss (diese Seite sollte natürlich ssl-verschlüsselt sein). Sind diese Angaben korrekt, wird er automatisch auf die eigentliche Zielseite weitergeleitet oder - je nach gewünschter Konfig - auch erst mal auf eine Intranetseite (z.B. mit rechlichen Hinweisen/Nutzungsbedingungen). Hat sich der User erstmal authentifiziert, ist seine Kombination aus IP-Adresse und MAC-Adresse solange freigeschaltet, bis entweder ein (konfigurierbares) Idle-Timeout oder ein anderer Trennungsgrund auftritt. So ist es selbstverständlich möglich, die Gültigkeit von Accounts zeitlich zu begrenzen (z.B. Tagesauccounts?). Professionelle Lösungen sollten auch die Vergabe von Zeit- oder Volumenlimits erlauben. Schau Dich diesbezüglich mal bei spezieller Hotspot-Hardware um!
Wenn das Budget knapp ist, tut es aber auch ein normaler SOHO-AP an einer M0n0wall. Die Authentifizierung erfolgt entweder gegenüber der "lokalen" Benutzerdatenbank der M0n0wall oder aber gegenüber einem Radius-Server. Dies könnte z.B. der IAS von Microsoft sein, welcher dann aufs AD zugreift.
Das ganze Konstrukt in einer DMZ der Unternehmens-Firewall platziert und sauber beregelt, ergibt hoffentlich genau das, was Du gesucht hast...

Gruß
Steffen

[sisifus]

eine sehr einfache Lösung wäre ein Router, der das Internetsignal Y-förmig aufteilt: eins zum Firmennetz, eins zum AP. Kannst sogar in beiden Netzen wenn Du willst die gleichen IP-Adressen nehmen, stört sich nicht - absolut unmöglich von einem in das andere netz zu kommen. Theoretisch brauchst Du dann noch nicht mal eine weitere Absicherung mit WEP, WPA oder Mac-Adresse.

[Tobikom]

Hallo,

wie s.k. bereits geschrieben hab würde ich auch mit einem Captive Portal arbeiten. So machen das auch fast alle professionalen Hotspot-Betreiber. Über einen seperaten Port an der Firewall kannst du den Zugang zum Internet entsprechend konfigurieren. Evtl ein transparenten Proxy zur Webseiten Filterung. Für Mitarbeiter wäre dann ein Zugang über VPN zum Firmennet konfigurierbar. Ich würde sagen die beste und sicherste Lösung.

Grüße

Tobias

[maxfrankfurt]

Hallo,

also habe einige Zeit in Hotels WLAN implementiert und kenne das Problem.
Also die wirklich einfachste aber nicht eleganteste Lösung ist ein zweiter DSL Anschluss. Dort einfach einen Hotspot Router aufstellen und fertig.
Wenn es denn etwas eleganter sein soll wäre folgendes von Interesse
WLAN-Hotspot Router eine Option wäre die auf SourceForge mit einem Liksys: http://sourceforge.net/projects/hotspot-zone
Wegen der Sicherheit beim Router folgende Einstellungen vornehmen:
- Client to Client Verbindungen übers WLAN aus
- Man kann bei einigen Linksys auch ein VPN einrichten. Für eure Gäste erstellt ihr dann VPN Nutzer auf dem Router. Die "on air" Verbindung zwischen Laptop und AP / Router ist somit verschlüsselt.

oder
einen WLAN Gateway einsetzen:
http://sourceforge.net/projects/wlan-gateway

noch etwas zur Sicherheit jenachdem wieviele Nutzer (Gäste) ihr habt und wenn es über mehrere Standorte hinweg geht ist ein Radius Server eventuell hier auch von Interesse aber er muss gewartet werden und die Einrichtung ist nicht ganz ohne.

Alles in allem kommt es auf folgende Merkmale an:
a) welche Fläche soll ausgeleuchtet werden
b) besteht ein WLAN
c) bisherige Server / Firewalls
d) Anzahl der WLAN Nutzer
e) Billing ja / nein
f) nicht vpn fähige Endgeräte im WLAN ?