Jump to content

WLAN Access Point


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo Kollegen,

ich habe folgende Anforderungen an einen Access-Point:

 

Er sollte 2-3 verschiedene WLAN-Schlüssel haben, damit ich auf der einen Seite Firmen-Laptops damit verbinden kann, auf denen der Schlüssel längere Zeit gleich bleiben kann und nur von Hand ändert. Und der als zweites einen zweiten Schlüssel hat, der sich oft automatisch ändert, den ich aber dann z.B. per Webseite über ein nur mir bekanntes Passwort ansehen kann.

 

Gibt es so etwas?

 

Oder wie löst ihr das, wenn ihr einen Access Point habt an dem sich Domänen-Benutzer und Besucher anmelden sollen?

 

Gruß

Thomas

Link to comment

Hallo Thomas,

 

wie löst ihr das, wenn ihr einen Access Point habt an dem sich Domänen-Benutzer und Besucher anmelden sollen?
Wir verwenden Accesspoints mit Multi-SSID-Unterstützung. Die Gäste buchen sich halt in ein separates (logisches) WLAN ein. Je nachdem, aus welchem WLAN man kommt, taggt der Accesspoint die Frames zum kabelgebundenen Netzwerk hin mit unterschiedlichen VLAN-IDs, so dass die Switching-Infrastruktur Freund und Feind unterscheiden kann. Das Gäste-VLAN wird bis zur Firewall geführt. Diese gestattet den (Internet-)Zugriff aber erst nach vorheriger Authentifizierung des Benutzers (Captive Portal). Die entsprechenden User-Infos werden momentan noch auf der Firewall gepflegt - kann man aber auch per Radius oder LDAP aus einer externen Quelle holen. So könnte man das Ganze auch mit OTP-Token kombinieren.

 

Gruß

Steffen

Edited by s.k.
Link to comment

Hallo Thomas,

 

Dir auch frohe Weihnachten!

 

was isnd denn das fr Access-Points (Hersteller, ArtNr.?)
MultiSSID- und VLAN-Unterstützung sollte heutzutage eigentlich jeder halbwegs brauchbare Accesspoint können.

Das von mir dargestellte Szenario haben wir an unseren städtischen Schulen realisiert. Dort sind die Kosten natürlich ein dominierendes Kriterium. Wobei ich hierunter nicht nur die Anschaffungs-, sondern vorallem auch die Implementierungs- und Folgekosten subsummiere. Um die Gebäude und den Campus jeweils weitgehend komplett auszuleuchten, benötigen wir zwischen 5 und 20 APs pro Schule. Für einfaches Roullout und zentrale Administration suchten wir deshalb von Anfang an nach einer Controller-Lösung. Nach einigen Teststellungen und auch zwei Produktivinstallationen mit Aruba/Netgear und Lancom haben wir uns letztendlich wieder für Zyxel entschieden (NWA-3160/3166/3500). Diese Geräte bieten zwar nicht die Funktions- und Debugtiefe professionellerer Geräte, sind dafür aber sehr einfach zu administrieren, sehr preiswert und erfüllen dennoch unsere funktionalen Anforderungen. Ich schrieb "wieder", weil wir bereits seit Jahren an den Schulen die Firewalls von Zyxel ("ZyWALL") einsetzen.

 

mssen die irgendwie mit speziellen Switchen bzw. Routern zusammen spielen?
Die Switches müssen natürlich VLAN nach dot1q unterstützen.

Firewallseitig gibt es normalerweise keine besonderen Anforderungen, weil die meisten WLAN-Controller-Lösungen die vorgeschlagene webbasierte Authentifizierung bereits integriert haben. Wir machen es halt an der Firewall, weil die genannten Zyxel-APs dies leider nicht können. Stattdessen routen wir den Traffic der Gäste-WLANs komplett über VPN ins Rathaus und dort über eine Zywall USG, welche Captive Portal und Contentfilter bereitstellt, ins Internet.

Wenn Du eine Lösung ohne Controller wählst, wirst Du die webbasierte Authentifizierung vermutlich ebenfalls auf andere Weise realisieren müssen. Sofern die vorhandene Firewall dies nicht bereits bietet, lohnt ein Blick auf die kostenfreien Firewall-Distries M0n0wall und pfSense. Nett ist auch die Lösung "G-4100" von Zyxel: Da ist ein kleiner Bondrucker dabei, mit dem man einfach auf Knopfdruck einen Ausdruck mit (zeitlich eingeschränkten) Zugangsdaten erzeugt und dem Gast aushändigt.

 

Gruß

Steffen

Edited by s.k.
Link to comment
Für sowas gibt es doch Radius

Hallo Zahni,

 

Radius allein ist keine Lösung, sondern stets nur ein Element dessen - auch in Deinem Link. Dort geht es - wenn ich das richtig überflogen habe - um 802.1X mit (P)EAP. Beim Einsatz von verwalteten Notebooks ist das klasse, jedoch für Notebooks von Dritten aufgrund der clientseitig erforderlichen Einstellungen m.E. nur bedingt zu gebrauchen. Siehe diese Diskussion: http://www.mcseboard.de/government-53/laptop-schulnetz-155880.html

Um Gästen einen zeitlich befristeten (Internet-)Zugang zu verschaffen, ist ein nicht oder nur mäßig gesichertes WLAN mit zusätzlicher webbasierter Authentifizierung sowohl für den Admin als auch den Gast der einfachste und zweckmäßigste Weg. Nicht umsonst funktionieren alle Hotspots auf diese Weise. Auch hier kann fürs AAA natürlich Radius verwendet werden. An unserem Gymnasium docken wir die Webauthentifizierung beispielsweise über einen IAS ans AD des pädagogischen Netzes an, damit der dortige Informatiklehrer die Accounts fürs WLAN verwalten kann.

 

Gruß

Steffen

Link to comment
Er hat aber von Firmen-Laptops geredet...
Naja, die eigentliche Kernfrage war m.E.:
wie löst ihr das, wenn ihr einen Access Point habt an dem sich Domänen-Benutzer und Besucher anmelden sollen?
Daraus habe ich implizit herausgelesen, dass die Besucher ihre eigenen mobilen Geräte verwenden. Des Weiteren nahm ich an, dass die Gäste nach Möglichkeit nicht nur zeitlich eingeschänkten Zugang, sondern auch keinen oder zumindest reglementierten Zugriff auf interne Ressorcen haben sollten.

 

Vielleicht kann ja Thomas seine Anforderungen nochmal genauer darlegen... ;)

 

Gruß

Steffen

Link to comment
Besucher ihre eigenen mobilen Geräte verwenden.

 

die Gäste nach Möglichkeit nicht nur zeitlich eingeschänkten Zugang, sondern auch keinen oder zumindest reglementierten Zugriff auf interne Ressorcen haben sollten.

 

Mmmmhhhh.... Steffen.

Vielleicht solltest Du den Job wechseln und Wahrsager werden, beides absolut richtig.

Genau das sind die Anforderungen und ich werde mir deshalb auch mal den Access Point mit dem angeschlossenen Bondrucker ansehen.

Um endlich unser Netz von unseren Gästen zu 100% trennen zu können.

 

Sobald ich da weiter gekommen bin (werde mal ein Angebot bei dem Systemhaus unseres Vertrauens) einholen.

 

Danke für Eure Hilfe und Ideen!

Falls man sich nicht mehr liest:

guten Ruuuuuuuuutsch!

Thomas

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...