CoolAce 17 Geschrieben 26. August 2014 Melden Teilen Geschrieben 26. August 2014 Hallo zusammen, ich habe einen Managed Switch bestellt und möchte mehrere VLANs betreiben, Server, Gäste WLAN, Arbeitsstationen. Was ich verhindern will ist das zwischen dem Gäste WLAN Netz und den anderen Netzen ein Routing stattfindet, sprich die sich sehen. Da es in der bestehenden Infrastruktur nur eine Fritzbox gibt, und diese das nicht kann benötige ich einen Router der das kann. Nun hab ich mir diesen Router herausgesucht, den Cisco RV110W Wireless-N VPN Firewall , ich bin mir aber nicht sicher ob ich das mit dem realisieren kann ? Mein Plan, alles Clients und Access Points auf den managed Switch anschließen, dort VLANs konfigurieren, auf einen Port einen Trunk setzen und an den Cisco anschließen und die Fritz Box ebenfalls an den Cisco anschließen, als Standardgateway für die Clients gilt der Cisco Router und für den Cisco Router als Standardgateway die Fritzbox, so sollte nach meinem Verständnis alle Internet haben aber die sich untereinander nicht sehen, oder liege ich da falsch ? Über ein kurzen Input würde ich mich freuen. Gruß Coolace Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 26. August 2014 Melden Teilen Geschrieben 26. August 2014 Da es in der bestehenden Infrastruktur nur eine Fritzbox gibt, und diese das nicht kann benötige ich einen Router der das kann. Nun hab ich mir diesen Router herausgesucht, den Cisco RV110W Wireless-N VPN Firewall , ich bin mir aber nicht sicher ob ich das mit dem realisieren kann ? Die Fritz!Box kann seit einigen Firmwarerevisionen ein Gäste-WLAN und auch ein Gäste-LAN (an Port 4) zur Verfügung stellen, über das man ins Internet kommt, aber nicht in das private Netzwerk. Hier mal am Beispiel der 7270: http://avm.de/nc/service/fritzbox/fritzbox-7270/wissensdatenbank/publication/show/294_WLAN-Gastzugang-in-FRITZ-Box-einrichten/ Oder suchst Du etwas anderes? Have fun! Daniel Zitieren Link zu diesem Kommentar
CoolAce 17 Geschrieben 26. August 2014 Autor Melden Teilen Geschrieben 26. August 2014 Hallo Herr Melanchthon, vielen Dank für die Information die mir nicht bekannt war bezüglich des Gäste-LAN Ports, das bedeutet wenn ich es richtig verstehe wenn ich zur Sicherheit auf dem Managed Switch ein VLAN für irgendwelche Access Points setze von AVM, einen freien Port auf das selbe VLAN und den Port auf Port 4 der Fritzbox dann kann ich sicher sein das die normalen Arbeitsplatz PCs und die Gäste WLAN Pcs keinerlei Berührungen miteinander haben ? Das Problem ist das man über die Fritzbox keine Gäste Tickets und Nachweise bezüglich Anschlussinhaberhaftung bei gewerblicher Nutzung realisieren kann :-( Deshalb dachte ich an verschiedene VLANs und eigenständige Lösungen oder kann das die FritzBox ? Gruß Coolace Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 26. August 2014 Melden Teilen Geschrieben 26. August 2014 Mhm, beschreib doch mal das genaue Netzwerkdesign und wieviele Geräte es nutzen werden sowie wieviele Access Points Du planst, einzusetzen. Die Fritzbox unterstützt im WLAN einen statischen Schlüssel. Lösungen mit Captive Portal kann man sicher auch mit Freetz realisieren, wobei eine professionelle Lösung hier empfehlenswert ist. Das hatten wir in http://www.mcseboard.de/topic/199069-account-generator-bon-drucker/ gerade diskutiert. Zitieren Link zu diesem Kommentar
CoolAce 17 Geschrieben 26. August 2014 Autor Melden Teilen Geschrieben 26. August 2014 Es handelt sich um 6 Access Points und schätze ca 100 WLAN Devices. Der Therad war sehr interessant und auf die http://www.zyxel.com/de/de/products_services/g_4100_v2_n4100_vsg_1200_v2.shtml?t=p Lösung bin ich auch schon mal gestoßen, das einzinge was ich noch nicht gefunden habe ist einen Syslog Server als "Applicance" bzw. am besten Cloud Lösung um das ganze Thema Userzuordnung im Falle des Falles zu gewährleisten. Gruß Coolace Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 26. August 2014 Melden Teilen Geschrieben 26. August 2014 (bearbeitet) Was ich verhindern will ist das zwischen dem Gäste WLAN Netz und den anderen Netzen ein Routing stattfindet, sprich die sich sehen. Ich behaupte mal, es gibt kein VLAN-Routing. Falls zwischen den VLAN(Layer 2) kein Routing(Layer 3) eingerichtet, dann findet auch keines statt. bearbeitet 26. August 2014 von lefg Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 26. August 2014 Melden Teilen Geschrieben 26. August 2014 (bearbeitet) Bei der Userzuordnung und dem Logging muss man genau hinschauen, was man machen muss oder darf oder auch nicht darf. Betreiber von WLAN-Hotspots dürfen heute schon anonyme Internetverbindungen anbieten. Wo eine Identifizierung von Nutzern nicht erforderlich sei, ist es auch nicht zulässig, denn das Telekommunikationsgesetz verbietet die Erhebung nicht erforderlicher Daten: http://www.zeit.de/digital/datenschutz/2012-07/wlan-nutzer-identifizierung-urteil Telekommunikations-Verbindungsdaten dürfen eh nur solange gespeichert werden, wie diese zu Abrechnungszwecken benötigt werden. Wenn die Internetnutzung kostenfrei ist, müssen die Daten sofort gelöscht bzw. dürfen nicht gespeichert werden. Bei die Störerhaftung ist auch eine Lösung in Sicht: http://www.zeit.de/digital/internet/2014-08/stoererhaftung-wlan-hotels-cafe Daher würde ich mal schauen, inwieweit man hier Datenschutz, Telekomunikationsgesetz, etc. unter einen Hut bringen kann. Frag da am Besten mal einen Fachanwalt für Internet-Recht. Der kann Dir da am ehesten weiterhelfen. Wir dürfen hier keine Rechtsberatung erbringen. bearbeitet 26. August 2014 von Daniel -MSFT- Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 26. August 2014 Melden Teilen Geschrieben 26. August 2014 Das mit dem Captive Portal und ggf. Routing kannst du mit einem Lancom super lösen. Meine alte Firma hat das öfter in Hotels usw. eingerichtet und es lief eigentlich immer problemlos. Auch 2 größere Krankenhäuser in Dortmund wurden mit der Lancom Lösung ausgestattet. Wenn es günstig sein muss, geht das ganze auch mit einer PFSense Firewall auf z.b. einem Alix Board Zitieren Link zu diesem Kommentar
substyle 20 Geschrieben 26. August 2014 Melden Teilen Geschrieben 26. August 2014 (bearbeitet) In der Größenordnung ist auch der DLINK DWC-1000 interessant: http://www.dlink.com/de/de/business-solutions/wireless/unified-wireless/wireless-controllers/dwc-1000-d-link-wireless-controller Gutes Preis/Leistungsverhältniss. Weil es gerade zu jedem DWC 3x den 3600er AP geschenkt gibt. (Aktionsbundle über Distribution) LG Lars bearbeitet 26. August 2014 von substyle Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 27. August 2014 Melden Teilen Geschrieben 27. August 2014 Wir hatten mal den DWS zur Evalution/Test bei uns und fanden die Konfiguration etwas hakelig. P/L waren die Dinger echt gut und bieten viele Features für den Preis. Es muss halt nicht immer Cisco sein ;) Zitieren Link zu diesem Kommentar
CoolAce 17 Geschrieben 27. August 2014 Autor Melden Teilen Geschrieben 27. August 2014 @ Herr Melanchthon: Das Thema Rechtsberatung will ich auch nicht da dies durch die Forenregeln ausdrücklich untersagt ist. Ich wollte nur darlegen das dieses Thema in meiner Lösung technisch berücksichtigt werden muss, nach meinem Kenntnisstand, den Rest muss wie Sie richtig gesagt haben ein Fachanwalt näher erklären falls es da Bedarf gibt. Es ist blöderweise ein unangenehmes und schweres Thema was einem bei der umfangreichen Technik die es in der IT-Welt gibt mit der man sich beschäftigen muss das Leben unnötig schwer macht, wir sind schließlich IT'ler und keine Anwälte. Vielen Dank übrigens für die 2 Links, die haben mich wieder auf einen aktuellen Wissensstand gebracht. zum technischen zurück: Ich würde gern 2 VLANs aufspannen und hier das inter-vlan Routing verhindern, kann ich das mit dem Router und einem VLAN fähigen Switch ? @substyle: Der DLINK DWC-1000 klingt interessant. hat dieses Gerät eine Möglichkeit die Daten zu speichern bezüglich WLAN Gästetickets und welche unkompliziert auszustellen ? Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 27. August 2014 Melden Teilen Geschrieben 27. August 2014 (bearbeitet) @ Herr Melanchthon: Das Thema Rechtsberatung will ich auch nicht da dies durch die Forenregeln ausdrücklich untersagt ist. Ich wollte nur darlegen das dieses Thema in meiner Lösung technisch berücksichtigt werden muss, nach meinem Kenntnisstand, den Rest muss wie Sie richtig gesagt haben ... Vielen Dank übrigens für die 2 Links, die haben mich wieder auf einen aktuellen Wissensstand gebracht. ... @substyle: Der DLINK DWC-1000 klingt interessant. hat dieses Gerät eine Möglichkeit die Daten zu speichern bezüglich WLAN Gästetickets und welche unkompliziert auszustellen ? Mein Hinweis bezog sich darauf, dass ich erst einmal rechtlich klären lassen würde, ob man überhaupt diese Daten speichern darf. Solange sie für die Abrechnung nicht (mehr) gebraucht werden, ist es nicht erlaubt, diese längerfristig aufzubewahren. zum technischen zurück: Ich würde gern 2 VLANs aufspannen und hier das inter-vlan Routing verhindern, kann ich das mit dem Router und einem VLAN fähigen Switch ? Ein VLAN-fähiger Switch kann die Netze entsprechend trennen. Bei der Netzgröße würde ich zu getrennter Hardware tendieren, da bei VLAns immer die Gefahr einer Fehlkonfiguration besteht. Der Router muss dann entweder VLAn-fähig sein, oder mehrere Interfaces haben, mit denen er dann an verschiedenen LAN-Ports in verschiedenen Netzen hängt. Die FRITZ!Box kann so konfiguriert werden, dass LAN1-3 das interne Netzwerk und LAN4 ein Gästenetzwerk ist, von dem aus nicht auf das interne Netzwerk zugegriffen werden kann. Die Managementfunktionen eines WLAN-Controllers würde ich bei 6 APs und vermutlich einer größeren, abzudeckenden Fläche bevorzugen. Gerade für WLAN ändern sich ja durchaus die Empfangs- und Sendebedingungen über die Zeit, was man damit besser im Griff hat. Have fun! Daniel bearbeitet 27. August 2014 von Daniel -MSFT- Zitieren Link zu diesem Kommentar
CoolAce 17 Geschrieben 27. August 2014 Autor Melden Teilen Geschrieben 27. August 2014 Vielen Dank Herr Melanchthon, wenn ich es richtig verstehe dann könnte ich auf dem managend Switch 1 VLAN für die Gäste Access Points bauen und einen freien Port auf das selbe VLAN und auf Port 4 der FritzBox stecken, ich muss nur noch die richtige Firmware auf der Fritzbox installieren. Die anderen PCs können in VLAN 1 bleiben. Kurze Frage: klappt das so und weil ich mit Fritzbox noch nichts zu tun hatte kann das jede Fritzbox mit dem passenden Firmwarestand ? Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 27. August 2014 Melden Teilen Geschrieben 27. August 2014 Kurze Frage: klappt das so und weil ich mit Fritzbox noch nichts zu tun hatte kann das jede Fritzbox mit dem passenden Firmwarestand ? Solange es keine uralte Box ist und sie mehrere LAN-Ports hat, dann geht das mit einer aktuellen Firmware: http://avm.de/nc/service/fritzbox/fritzbox-3272/wissensdatenbank/publication/show/949_LAN-Gastzugang-in-FRITZ-Box-einrichten/ Welche Box ist denn genau im Einsatz? Zitieren Link zu diesem Kommentar
CoolAce 17 Geschrieben 28. August 2014 Autor Melden Teilen Geschrieben 28. August 2014 Danke für die Information Herr Melanchthon. Ich werde mal das genau Modell heraussuchen und denke im Moment das es eine gute Kombination ist ein VLAN zu machen das auf der Fritzbox auf Port 4 angeschlossen wird und ein VLAN 1 für das normale. Damit ist kostengünstig der Bereich der Netzwerksegmentierung abgedeckt, jetzt muss ich nur noch die WLAN Lösung anschauen, die von Zyxel sieht bis jetzt am interessantesten aus aber was ich noch klären muss ist das Thema Gäste WLAN und Anschlussinhaberhaftung. Ich werde auf alle Fälle mein Ergebnis für andere Posten Gruß Coolace Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.