Req: Ideen für größeres Netzwerk

NeM

OC Addicted

Registered: Oct 2004
Location: Austria
Posts: 4887

12.10.2011 - 21:14

Hab eine kleine Aufgabenstellung bekommen, zu deren möglicher Lösung ich mir Meinungen einholen möchte.

Folgende Situation:

Großes Gebäude, mehrere APs im Gebäude verteilt. Im Haus gibts VIELE Personen, jeder von denen soll die Möglichkeit haben, via WLAN zu den APs zu verbinden (welche wiederum via Kabel am Netz hängen), bis hierhin wärs vermutlich gelöst (gleiche SSID, gleiches Pass). Es dürfen aber ned zu viele Geräte gleichzeitig drin hängen, weil die Performance sonst in den Keller geht.

Die Idee wäre gewesen, die MAC von jedem der bei uns anfragt in die MAC Filter der APs einzutragen und nur diese MACs zuzulassen. Das würde Missbrauch etwas vorbeugen, gleichzeitig die Anzahl der Clients von Haus aus begrenzen. Der Nachteil ist halt der etwas krass wirkende Verwaltungsaufwand.

Eine weitere Idee war, einen DHCP in das Netz zu kriegen, welcher nur für WLAN Clients IPs in einem gewissen Bereich vergibt, Leasedauer sagen wir z.B. eine Stunde. Das soll einerseits die Anzahl der gleichzeitig verbundenen Clients reduzieren, andererseits aber die Möglichkeit geben, dass "jeder" (extra Anführungszeichen..) mal reinkommt und ned die ersten X Clients den ganzen Tag drin hängen und das WLAN für den Rest komplett blockieren.

Die Fragen die sich hier natürlich stellen:

1.) Gäbe es bessere Methoden, das Netz innerhalb des Hauses "frei zugänglich" zu machen, aber Missbrauch vorzubeugen? Auf WPA alleine wollen wir uns ned wirklich verlassen, das Passwort muss relativ kurz bleiben, damit jeder problemlos rein kommt. Mich würde auch die rechtliche Lage hier interessieren. WPA2 ist so eine Sache, weil das offenbar noch ned jeder Client kann.

2.) Wie könnte man den DHCP da ins Spiel bringen?

3.) Gibt es zu diesen Ideen KOSTENGÜNSTIGE Alternativen, evtl. mit weniger Verwaltungsaufwand, oder kann / sollte man das Vorhaben so durchziehen?

Danke im Voraus für evtl. Ideen.

Master99

verträumter realist

Registered: Jul 2001
Location: vie/grz
Posts: 12691

12.10.2011 - 21:29

performance-abfall von der wlan-seite meinst du oder der restlichen infrastruktur?

NeM

OC Addicted

Registered: Oct 2004
Location: Austria
Posts: 4887

12.10.2011 - 21:33

Im Wesentlichen beides, da am verkabelten Netzwerk auch bereits so einige Rechner hängen. Außerdem sind es ned soo viele APs.

Crash Override

BOfH

Registered: Jun 2005
Location: Germany
Posts: 2951

12.10.2011 - 21:36

Lass das WLAN unverschlüsselt und löse es über ein Captive Portal. Da kann man dann einstellen wer wann und wie lange das Netz nutzen darf und jeder hat seine eigenen Zugangsdaten.

Master99

verträumter realist

Registered: Jul 2001
Location: vie/grz
Posts: 12691

12.10.2011 - 21:38

netzwerkmäßig wäre das mit QoS halt weit schöner gelöst... und je nachdem von wievielen clients und ap wir reden könnt man die wlan-seite vielleicht auch anders umschiffen.

NeM

OC Addicted

Registered: Oct 2004
Location: Austria
Posts: 4887

12.10.2011 - 21:51

Anzahl Clients: Unbekannt, potentiell sinds dutzende wenn ned hunderte (was wieder zum krassen Verwaltungsaufwand führt). Geplante max. Anzahl wären so zwischen einem Dutzend und z.B. 50 gewesen.

Anzahl APs: Unter ein Dutzend.

Die APs sind schon da und verkabelt, darauf hab ich keinen Einfluss mehr. Momentan halt jeder mit eigener SSID und den Clients noch unbekanntem Pass. Die SSID / Pass Sache wollten wir in den nächsten Tagen machen.

@ Colossus: Das Captive Portal schaut, wenn man die Beschreibung @ Wiki liest, sehr interessant aus. Fragt sich halt, ob jedes Smartphone SSL kann (hab kA, ehrlich

). Außerdem steht auf der Wiki, dass ein Packet Sniffer das Ganze recht einfach angreifbar macht. Wir wollen uns aber natürlich gegen Missbrauch schützen, ned dass wir dann schuld sind, weil das Netz unzureichend gesichert war oder ähnlicher Mist. Oder dass jemand mit fremdem Login da herumgeistert.. Drum auch die Frage wie es rechtlich mit einem "größeren" WLAN ausschaut, wo viele Leute Zugang hätten und das man evtl. auch leicht außerhalb des Gebäudes empfangen kann.

@ Master: Das is für mich ehrlich gesagt komplettes Neuland. Ich war schon froh, dass die SSID Idee (gleiche SSID, hab hier nochmal nachträglich nachgefragt -> Anderer Thread) kürzlich im kleinen Testaufbau funktioniert hat.

Hab daher auch keine Ahnung, wie sowas implementiert wird. Muss man da serverseitig rangehen, oder hängt man da irgendwo einen Router dazwischen?

(....ja, ich bin in der Materie Netzwerk grad erst angekommen, falls die Fragen zu dämlich klingen

)

Bearbeitet von NeM am 12.10.2011, 21:55

Burschi1620

24/7 Santa Claus

Registered: Apr 2004
Location: Drüber da Donau
Posts: 6792

12.10.2011 - 23:39

Wie wärs mit einer RADIUS Server Lösung?

Viper780

Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 50178

13.10.2011 - 01:35

Zitat von Crash Override
Lass das WLAN unverschlüsselt und löse es über ein Captive Portal. Da kann man dann einstellen wer wann und wie lange das Netz nutzen darf und jeder hat seine eigenen Zugangsdaten.

davon rate ich stark ab da der traffic dann auch unverschlüsselt ist.

Zitat von Burschi1620
Wie wärs mit einer RADIUS Server Lösung?

hätt ich auch vorgeschlagen

oder halt ordentliche Router die man über einen Controller Steuern kann (da war im Mai/Juni/Juli mal ein Test in der c't)

NeM

OC Addicted

Registered: Oct 2004
Location: Austria
Posts: 4887

13.10.2011 - 05:26

Hmm, was Router angeht; angeblich haben wir noch ein paar ältere Cisco Router, aber kA wie die ausschauen oder was die können bzw. wo ich die reinhängen sollte.

RADIUS schaut sehr gut aus, afair haben die APs sogar eine Option für RADIUS Server. Auch hier die Frage: Wie? Is das Software, die einfach am Domain Controller rennt oder wie hab ich mir das in der Praxis vorzustellen?

Bearbeitet von NeM am 13.10.2011, 05:30

noledge

CWNE #540

Registered: Apr 2001
Location: ::1
Posts: 6837

13.10.2011 - 07:32

ja.
in dem windoof-server-zeugs gibts dann sicherlich gruppenrichtlinien bzw netzwerkrichtlinien, über die du den zugriff beschränken kannst. (hab wenig plan von AD - gottseidank)

die auth per EAP unterstützen sogut wie alle clients mittlerweile, auch smartphones. und es ist deutlich sicherer, weil du einzelne user sperrst, und nicht jedesmal wenn jemand die firma verlässt, den WPA key ändern musst.

Joshua

transparent nobody

Registered: Dec 2000
Location: dahoam
Posts: 833

13.10.2011 - 07:41

Das ganze läuft so:
(falls es unter windows laufen soll)

Du installierst auf einen 2008r2 den NPS dazu, in diesem konfigurierst du dann quasi den Radius-Server bzw die restlichen Sachen, den AP musst so konfigen, das er auf dem NPS-Server per Radius um "erlaubnis" fragt.

Was man unbedingt beachten sollte: die standardversion von windows 2008 r2 kann nur 50 Radius-Clients bedienen, für unbegrenzte Clients benötigt man die Enterpriseversion!

Kleiner Tipp: ohne zertifikat hab ichs nicht zum laufen gebracht

Im Endeffekt verbindet man sich dann per AD-User/PW zum Wlan

Bearbeitet von Joshua am 13.10.2011, 07:46

NeM

OC Addicted

Registered: Oct 2004
Location: Austria
Posts: 4887

13.10.2011 - 16:28

Ach das war also gemeint, als es hieß "An RADIUS haben wir gedacht, ist aber zu klein.."

Das was du da mit dem AD-User / PW beschreibst, klingt nach Verwaltungsaufwand, dazu müsste ja jeder User einzeln eingetragen werden, oder? Da kann man gleich übern MAC Filter gehen..

Wir arbeiten ned mit Usernames, sondern mit Computernamen fürs verkabelte Netzwerk. Es gibt also keinen User "Max Müller", es gibt bestenfalls seinen Rechner im Netzwerk, der nur eine Nummer hat.... AD kennt die Namen der Leute in dem Haus ned.

Gruppenrichtlinien wären vielleicht eine Idee, neue Gruppe "WLAN Clients".... Evtl. überlegenswert

Viper780

Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 50178

13.10.2011 - 20:14

bevor du alles händisch mit den Mac Adressen durchgehst kannst dir gleich das mit passenden AD-usern überlegen

NeM OC Addicted Registered: Oct 2004 Location: Austria Posts: 4887	12.10.2011 - 21:14 Hab eine kleine Aufgabenstellung bekommen, zu deren möglicher Lösung ich mir Meinungen einholen möchte. Folgende Situation: Großes Gebäude, mehrere APs im Gebäude verteilt. Im Haus gibts VIELE Personen, jeder von denen soll die Möglichkeit haben, via WLAN zu den APs zu verbinden (welche wiederum via Kabel am Netz hängen), bis hierhin wärs vermutlich gelöst (gleiche SSID, gleiches Pass). Es dürfen aber ned zu viele Geräte gleichzeitig drin hängen, weil die Performance sonst in den Keller geht. Die Idee wäre gewesen, die MAC von jedem der bei uns anfragt in die MAC Filter der APs einzutragen und nur diese MACs zuzulassen. Das würde Missbrauch etwas vorbeugen, gleichzeitig die Anzahl der Clients von Haus aus begrenzen. Der Nachteil ist halt der etwas krass wirkende Verwaltungsaufwand. Eine weitere Idee war, einen DHCP in das Netz zu kriegen, welcher nur für WLAN Clients IPs in einem gewissen Bereich vergibt, Leasedauer sagen wir z.B. eine Stunde. Das soll einerseits die Anzahl der gleichzeitig verbundenen Clients reduzieren, andererseits aber die Möglichkeit geben, dass "jeder" (extra Anführungszeichen..) mal reinkommt und ned die ersten X Clients den ganzen Tag drin hängen und das WLAN für den Rest komplett blockieren. Die Fragen die sich hier natürlich stellen: 1.) Gäbe es bessere Methoden, das Netz innerhalb des Hauses "frei zugänglich" zu machen, aber Missbrauch vorzubeugen? Auf WPA alleine wollen wir uns ned wirklich verlassen, das Passwort muss relativ kurz bleiben, damit jeder problemlos rein kommt. Mich würde auch die rechtliche Lage hier interessieren. WPA2 ist so eine Sache, weil das offenbar noch ned jeder Client kann. 2.) Wie könnte man den DHCP da ins Spiel bringen? 3.) Gibt es zu diesen Ideen KOSTENGÜNSTIGE Alternativen, evtl. mit weniger Verwaltungsaufwand, oder kann / sollte man das Vorhaben so durchziehen? Danke im Voraus für evtl. Ideen.
Master99 verträumter realist Registered: Jul 2001 Location: vie/grz Posts: 12691	12.10.2011 - 21:29 performance-abfall von der wlan-seite meinst du oder der restlichen infrastruktur?
NeM OC Addicted Registered: Oct 2004 Location: Austria Posts: 4887	12.10.2011 - 21:33 Im Wesentlichen beides, da am verkabelten Netzwerk auch bereits so einige Rechner hängen. Außerdem sind es ned soo viele APs.
Crash Override BOfH Registered: Jun 2005 Location: Germany Posts: 2951	12.10.2011 - 21:36 Lass das WLAN unverschlüsselt und löse es über ein Captive Portal. Da kann man dann einstellen wer wann und wie lange das Netz nutzen darf und jeder hat seine eigenen Zugangsdaten.
Master99 verträumter realist Registered: Jul 2001 Location: vie/grz Posts: 12691	12.10.2011 - 21:38 netzwerkmäßig wäre das mit QoS halt weit schöner gelöst... und je nachdem von wievielen clients und ap wir reden könnt man die wlan-seite vielleicht auch anders umschiffen.
NeM OC Addicted Registered: Oct 2004 Location: Austria Posts: 4887	12.10.2011 - 21:51 Anzahl Clients: Unbekannt, potentiell sinds dutzende wenn ned hunderte (was wieder zum krassen Verwaltungsaufwand führt). Geplante max. Anzahl wären so zwischen einem Dutzend und z.B. 50 gewesen. Anzahl APs: Unter ein Dutzend. Die APs sind schon da und verkabelt, darauf hab ich keinen Einfluss mehr. Momentan halt jeder mit eigener SSID und den Clients noch unbekanntem Pass. Die SSID / Pass Sache wollten wir in den nächsten Tagen machen. @ Colossus: Das Captive Portal schaut, wenn man die Beschreibung @ Wiki liest, sehr interessant aus. Fragt sich halt, ob jedes Smartphone SSL kann (hab kA, ehrlich ). Außerdem steht auf der Wiki, dass ein Packet Sniffer das Ganze recht einfach angreifbar macht. Wir wollen uns aber natürlich gegen Missbrauch schützen, ned dass wir dann schuld sind, weil das Netz unzureichend gesichert war oder ähnlicher Mist. Oder dass jemand mit fremdem Login da herumgeistert.. Drum auch die Frage wie es rechtlich mit einem "größeren" WLAN ausschaut, wo viele Leute Zugang hätten und das man evtl. auch leicht außerhalb des Gebäudes empfangen kann. @ Master: Das is für mich ehrlich gesagt komplettes Neuland. Ich war schon froh, dass die SSID Idee (gleiche SSID, hab hier nochmal nachträglich nachgefragt -> Anderer Thread) kürzlich im kleinen Testaufbau funktioniert hat. Hab daher auch keine Ahnung, wie sowas implementiert wird. Muss man da serverseitig rangehen, oder hängt man da irgendwo einen Router dazwischen? (....ja, ich bin in der Materie Netzwerk grad erst angekommen, falls die Fragen zu dämlich klingen ) Bearbeitet von NeM am 12.10.2011, 21:55
Burschi1620 24/7 Santa Claus Registered: Apr 2004 Location: Drüber da Donau Posts: 6792	12.10.2011 - 23:39 Wie wärs mit einer RADIUS Server Lösung?
Viper780 Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 50178	13.10.2011 - 01:35 Zitat von Crash Override Lass das WLAN unverschlüsselt und löse es über ein Captive Portal. Da kann man dann einstellen wer wann und wie lange das Netz nutzen darf und jeder hat seine eigenen Zugangsdaten. davon rate ich stark ab da der traffic dann auch unverschlüsselt ist. Zitat von Burschi1620 Wie wärs mit einer RADIUS Server Lösung? hätt ich auch vorgeschlagen oder halt ordentliche Router die man über einen Controller Steuern kann (da war im Mai/Juni/Juli mal ein Test in der c't)
NeM OC Addicted Registered: Oct 2004 Location: Austria Posts: 4887	13.10.2011 - 05:26 Hmm, was Router angeht; angeblich haben wir noch ein paar ältere Cisco Router, aber kA wie die ausschauen oder was die können bzw. wo ich die reinhängen sollte. RADIUS schaut sehr gut aus, afair haben die APs sogar eine Option für RADIUS Server. Auch hier die Frage: Wie? Is das Software, die einfach am Domain Controller rennt oder wie hab ich mir das in der Praxis vorzustellen? Bearbeitet von NeM am 13.10.2011, 05:30
noledge CWNE #540 Registered: Apr 2001 Location: ::1 Posts: 6837	13.10.2011 - 07:32 ja. in dem windoof-server-zeugs gibts dann sicherlich gruppenrichtlinien bzw netzwerkrichtlinien, über die du den zugriff beschränken kannst. (hab wenig plan von AD - gottseidank) die auth per EAP unterstützen sogut wie alle clients mittlerweile, auch smartphones. und es ist deutlich sicherer, weil du einzelne user sperrst, und nicht jedesmal wenn jemand die firma verlässt, den WPA key ändern musst.
Joshua transparent nobody Registered: Dec 2000 Location: dahoam Posts: 833	13.10.2011 - 07:41 Das ganze läuft so: (falls es unter windows laufen soll) Du installierst auf einen 2008r2 den NPS dazu, in diesem konfigurierst du dann quasi den Radius-Server bzw die restlichen Sachen, den AP musst so konfigen, das er auf dem NPS-Server per Radius um "erlaubnis" fragt. Was man unbedingt beachten sollte: die standardversion von windows 2008 r2 kann nur 50 Radius-Clients bedienen, für unbegrenzte Clients benötigt man die Enterpriseversion! Kleiner Tipp: ohne zertifikat hab ichs nicht zum laufen gebracht Im Endeffekt verbindet man sich dann per AD-User/PW zum Wlan Bearbeitet von Joshua am 13.10.2011, 07:46
NeM OC Addicted Registered: Oct 2004 Location: Austria Posts: 4887	13.10.2011 - 16:28 Ach das war also gemeint, als es hieß "An RADIUS haben wir gedacht, ist aber zu klein.." Das was du da mit dem AD-User / PW beschreibst, klingt nach Verwaltungsaufwand, dazu müsste ja jeder User einzeln eingetragen werden, oder? Da kann man gleich übern MAC Filter gehen.. Wir arbeiten ned mit Usernames, sondern mit Computernamen fürs verkabelte Netzwerk. Es gibt also keinen User "Max Müller", es gibt bestenfalls seinen Rechner im Netzwerk, der nur eine Nummer hat.... AD kennt die Namen der Leute in dem Haus ned. Gruppenrichtlinien wären vielleicht eine Idee, neue Gruppe "WLAN Clients".... Evtl. überlegenswert
Viper780 Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 50178	13.10.2011 - 20:14 bevor du alles händisch mit den Mac Adressen durchgehst kannst dir gleich das mit passenden AD-usern überlegen

Req: Ideen für größeres Netzwerk

Forum Index > Hardware > Peripherie > Netzwerktechnik

NeM

Master99

NeM

Crash Override

Master99

NeM

Burschi1620

Viper780

NeM

noledge

Joshua

NeM

Viper780