TruckerTom 10 Posted December 21, 2009 Report Share Posted December 21, 2009 Hallo Kollegen, ich habe folgende Anforderungen an einen Access-Point: Er sollte 2-3 verschiedene WLAN-Schlüssel haben, damit ich auf der einen Seite Firmen-Laptops damit verbinden kann, auf denen der Schlüssel längere Zeit gleich bleiben kann und nur von Hand ändert. Und der als zweites einen zweiten Schlüssel hat, der sich oft automatisch ändert, den ich aber dann z.B. per Webseite über ein nur mir bekanntes Passwort ansehen kann. Gibt es so etwas? Oder wie löst ihr das, wenn ihr einen Access Point habt an dem sich Domänen-Benutzer und Besucher anmelden sollen? Gruß Thomas Quote Link to comment
s.k. 11 Posted December 25, 2009 Report Share Posted December 25, 2009 (edited) Hallo Thomas, wie löst ihr das, wenn ihr einen Access Point habt an dem sich Domänen-Benutzer und Besucher anmelden sollen?Wir verwenden Accesspoints mit Multi-SSID-Unterstützung. Die Gäste buchen sich halt in ein separates (logisches) WLAN ein. Je nachdem, aus welchem WLAN man kommt, taggt der Accesspoint die Frames zum kabelgebundenen Netzwerk hin mit unterschiedlichen VLAN-IDs, so dass die Switching-Infrastruktur Freund und Feind unterscheiden kann. Das Gäste-VLAN wird bis zur Firewall geführt. Diese gestattet den (Internet-)Zugriff aber erst nach vorheriger Authentifizierung des Benutzers (Captive Portal). Die entsprechenden User-Infos werden momentan noch auf der Firewall gepflegt - kann man aber auch per Radius oder LDAP aus einer externen Quelle holen. So könnte man das Ganze auch mit OTP-Token kombinieren. Gruß Steffen Edited December 25, 2009 by s.k. Quote Link to comment
TruckerTom 10 Posted December 26, 2009 Author Report Share Posted December 26, 2009 Hallo Steffen, was isnd denn das fr Access-Points (Hersteller, ArtNr.?) und mssen die irgendwie mit speziellen Switchen bzw. Routern zusammen spielen? Gruß Thomas P.S.: fröhliche Weihnachten noch! Quote Link to comment
s.k. 11 Posted December 26, 2009 Report Share Posted December 26, 2009 (edited) Hallo Thomas, Dir auch frohe Weihnachten! was isnd denn das fr Access-Points (Hersteller, ArtNr.?)MultiSSID- und VLAN-Unterstützung sollte heutzutage eigentlich jeder halbwegs brauchbare Accesspoint können.Das von mir dargestellte Szenario haben wir an unseren städtischen Schulen realisiert. Dort sind die Kosten natürlich ein dominierendes Kriterium. Wobei ich hierunter nicht nur die Anschaffungs-, sondern vorallem auch die Implementierungs- und Folgekosten subsummiere. Um die Gebäude und den Campus jeweils weitgehend komplett auszuleuchten, benötigen wir zwischen 5 und 20 APs pro Schule. Für einfaches Roullout und zentrale Administration suchten wir deshalb von Anfang an nach einer Controller-Lösung. Nach einigen Teststellungen und auch zwei Produktivinstallationen mit Aruba/Netgear und Lancom haben wir uns letztendlich wieder für Zyxel entschieden (NWA-3160/3166/3500). Diese Geräte bieten zwar nicht die Funktions- und Debugtiefe professionellerer Geräte, sind dafür aber sehr einfach zu administrieren, sehr preiswert und erfüllen dennoch unsere funktionalen Anforderungen. Ich schrieb "wieder", weil wir bereits seit Jahren an den Schulen die Firewalls von Zyxel ("ZyWALL") einsetzen. mssen die irgendwie mit speziellen Switchen bzw. Routern zusammen spielen?Die Switches müssen natürlich VLAN nach dot1q unterstützen.Firewallseitig gibt es normalerweise keine besonderen Anforderungen, weil die meisten WLAN-Controller-Lösungen die vorgeschlagene webbasierte Authentifizierung bereits integriert haben. Wir machen es halt an der Firewall, weil die genannten Zyxel-APs dies leider nicht können. Stattdessen routen wir den Traffic der Gäste-WLANs komplett über VPN ins Rathaus und dort über eine Zywall USG, welche Captive Portal und Contentfilter bereitstellt, ins Internet. Wenn Du eine Lösung ohne Controller wählst, wirst Du die webbasierte Authentifizierung vermutlich ebenfalls auf andere Weise realisieren müssen. Sofern die vorhandene Firewall dies nicht bereits bietet, lohnt ein Blick auf die kostenfreien Firewall-Distries M0n0wall und pfSense. Nett ist auch die Lösung "G-4100" von Zyxel: Da ist ein kleiner Bondrucker dabei, mit dem man einfach auf Knopfdruck einen Ausdruck mit (zeitlich eingeschränkten) Zugangsdaten erzeugt und dem Gast aushändigt. Gruß Steffen Edited December 26, 2009 by s.k. Quote Link to comment
zahni 550 Posted December 27, 2009 Report Share Posted December 27, 2009 Für sowas gibt es doch Radius: Hier mal ein Treffer von Google: WLAN Radius configuration -Zahni Quote Link to comment
s.k. 11 Posted December 27, 2009 Report Share Posted December 27, 2009 Für sowas gibt es doch Radius Hallo Zahni, Radius allein ist keine Lösung, sondern stets nur ein Element dessen - auch in Deinem Link. Dort geht es - wenn ich das richtig überflogen habe - um 802.1X mit (P)EAP. Beim Einsatz von verwalteten Notebooks ist das klasse, jedoch für Notebooks von Dritten aufgrund der clientseitig erforderlichen Einstellungen m.E. nur bedingt zu gebrauchen. Siehe diese Diskussion: http://www.mcseboard.de/government-53/laptop-schulnetz-155880.html Um Gästen einen zeitlich befristeten (Internet-)Zugang zu verschaffen, ist ein nicht oder nur mäßig gesichertes WLAN mit zusätzlicher webbasierter Authentifizierung sowohl für den Admin als auch den Gast der einfachste und zweckmäßigste Weg. Nicht umsonst funktionieren alle Hotspots auf diese Weise. Auch hier kann fürs AAA natürlich Radius verwendet werden. An unserem Gymnasium docken wir die Webauthentifizierung beispielsweise über einen IAS ans AD des pädagogischen Netzes an, damit der dortige Informatiklehrer die Accounts fürs WLAN verwalten kann. Gruß Steffen Quote Link to comment
zahni 550 Posted December 27, 2009 Report Share Posted December 27, 2009 Er hat aber von Firmen-Laptops geredet... -Zahni Quote Link to comment
s.k. 11 Posted December 27, 2009 Report Share Posted December 27, 2009 Er hat aber von Firmen-Laptops geredet...Naja, die eigentliche Kernfrage war m.E.:wie löst ihr das, wenn ihr einen Access Point habt an dem sich Domänen-Benutzer und Besucher anmelden sollen?Daraus habe ich implizit herausgelesen, dass die Besucher ihre eigenen mobilen Geräte verwenden. Des Weiteren nahm ich an, dass die Gäste nach Möglichkeit nicht nur zeitlich eingeschänkten Zugang, sondern auch keinen oder zumindest reglementierten Zugriff auf interne Ressorcen haben sollten. Vielleicht kann ja Thomas seine Anforderungen nochmal genauer darlegen... ;) Gruß Steffen Quote Link to comment
TruckerTom 10 Posted December 28, 2009 Author Report Share Posted December 28, 2009 Besucher ihre eigenen mobilen Geräte verwenden. die Gäste nach Möglichkeit nicht nur zeitlich eingeschänkten Zugang, sondern auch keinen oder zumindest reglementierten Zugriff auf interne Ressorcen haben sollten. Mmmmhhhh.... Steffen. Vielleicht solltest Du den Job wechseln und Wahrsager werden, beides absolut richtig. Genau das sind die Anforderungen und ich werde mir deshalb auch mal den Access Point mit dem angeschlossenen Bondrucker ansehen. Um endlich unser Netz von unseren Gästen zu 100% trennen zu können. Sobald ich da weiter gekommen bin (werde mal ein Angebot bei dem Systemhaus unseres Vertrauens) einholen. Danke für Eure Hilfe und Ideen! Falls man sich nicht mehr liest: guten Ruuuuuuuuutsch! Thomas Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.