2 getrennte WLAN Netzwerke flächendeckend in 3 stöckigem Haus installieren
Hallo
Welche Hardwarezusammenstellung würdet ihr empfehlen für folgendes Projekt ????
Ich möchte in einem großem Haus, 60 Meter lang und 3 Stockwerke hoch, 2 getrennte WLAN Netzwerke aufbauen. Ein Netz für Mitarbeiter (SSID= MItarbeiter) mit zugriff auf alle Freigaben, Internet, Drucker usw und ein zweites WLAN Netz für Kinder(SSID= Kinder) die nur Internet nutzen dürfen und kein zugriff auf irgendeine Freigabe des Mitarbeiternetzes haben darf.
Die Etagen haben einen langen Flur wo links und rechts Zimmer sind. In jedem Zimmer sollen beide Netze erreichbar sein.
Ich möchte gern eine Benutzerkontrolle in beiden Netzen haben, sowas wie Kinderschutz oder dieses Captive Portal? Es sollen also auch Seiten im Sinne des Kinder- und Jugendschutzes Webseiten gefiltert werden können. Es sollen auch Webaktivitätsverläufe speicherbar sein. Ein Ticketsystem für Internetbegrenzung wäre auch Sinnvoll.
Die verwendeten APs bzw Hotspots sollen zentral verwaltbar sein zB zum aktualisieren von Firmware und um zu sehen welches und wieviele Geräte (Handys,Tablets,Notebooks..) an diesem angemeldet sind . Wenn möglich auch die Trafficüberwachung und Datenmenge.
ICh bräuchte eine Möglichkeit um Geräte vom Netzzugang auszusperren. Also zB auch wenn das WLAN Passwort bekannt ist soll nicht sofort das Netzwerk benutzbar sein sondern von einem Admin aktiviert bzw deaktiviert werden können.
Das Internet liegt bereits via Fritzbox 7490 und VDSL an.
Ich dachte mir, ich mache in jedem Flur in jeder Etage aller 20 Meter 2 Accesspoints an die Decke (wohin Kabel gelegt werden) . Ein AP auf der linken Flurseite für Mitarbeiter und rechts im Flurgang das Netz für Kinder. Die Mitarbeiternetz APs senden zB alle auf Kanal 3 und die ganzen Kinder APs senden zB auf Kanal 13. Das wären 6 APs pro Etage also 18 insgesamt. ICh weiß aber nicht ob ich hier mit Kanonen auf Spatzen schieße. . GIbt es vielleicht schon APs, die beide Netze aus einem Gerät heraussenden können? Wie ist das mit Kanalinterferenzen mit mehren APs in einem Flur? Gibt es da vielleicht schon Geräte die das managen ?(zB wie in der Fritzbox diese Autokanal funktion) Die beiden getrennten Netze sollten ja sicher unterschiedliche IP Adressbereiche haben, nimmt man da heutzutage noch einen 2. Router (zB 2. Fritzbox als IP Client mit ander IP Adresse)?? Oder ist VLAN eine bessere Möglichkeit? Die Business Variante EAP-Serie von TP-Link mit der EAP Controllersoftware hat sich interessant gelesen - aber ist das in meinem Fall eine gescheite Lösung?
Ich hoffe, hier findet sich jemand, der so ein Anwendungsbereich kennt und weiß mit welcher Hardwarekombination man diesen Fall lösen sicher und stabil kann.
Bisdahin, danke erstmal fürs lesen und mitdenken !!!!
Gruß Christian
Welche Hardwarezusammenstellung würdet ihr empfehlen für folgendes Projekt ????
Ich möchte in einem großem Haus, 60 Meter lang und 3 Stockwerke hoch, 2 getrennte WLAN Netzwerke aufbauen. Ein Netz für Mitarbeiter (SSID= MItarbeiter) mit zugriff auf alle Freigaben, Internet, Drucker usw und ein zweites WLAN Netz für Kinder(SSID= Kinder) die nur Internet nutzen dürfen und kein zugriff auf irgendeine Freigabe des Mitarbeiternetzes haben darf.
Die Etagen haben einen langen Flur wo links und rechts Zimmer sind. In jedem Zimmer sollen beide Netze erreichbar sein.
Ich möchte gern eine Benutzerkontrolle in beiden Netzen haben, sowas wie Kinderschutz oder dieses Captive Portal? Es sollen also auch Seiten im Sinne des Kinder- und Jugendschutzes Webseiten gefiltert werden können. Es sollen auch Webaktivitätsverläufe speicherbar sein. Ein Ticketsystem für Internetbegrenzung wäre auch Sinnvoll.
Die verwendeten APs bzw Hotspots sollen zentral verwaltbar sein zB zum aktualisieren von Firmware und um zu sehen welches und wieviele Geräte (Handys,Tablets,Notebooks..) an diesem angemeldet sind . Wenn möglich auch die Trafficüberwachung und Datenmenge.
ICh bräuchte eine Möglichkeit um Geräte vom Netzzugang auszusperren. Also zB auch wenn das WLAN Passwort bekannt ist soll nicht sofort das Netzwerk benutzbar sein sondern von einem Admin aktiviert bzw deaktiviert werden können.
Das Internet liegt bereits via Fritzbox 7490 und VDSL an.
Ich dachte mir, ich mache in jedem Flur in jeder Etage aller 20 Meter 2 Accesspoints an die Decke (wohin Kabel gelegt werden) . Ein AP auf der linken Flurseite für Mitarbeiter und rechts im Flurgang das Netz für Kinder. Die Mitarbeiternetz APs senden zB alle auf Kanal 3 und die ganzen Kinder APs senden zB auf Kanal 13. Das wären 6 APs pro Etage also 18 insgesamt. ICh weiß aber nicht ob ich hier mit Kanonen auf Spatzen schieße. . GIbt es vielleicht schon APs, die beide Netze aus einem Gerät heraussenden können? Wie ist das mit Kanalinterferenzen mit mehren APs in einem Flur? Gibt es da vielleicht schon Geräte die das managen ?(zB wie in der Fritzbox diese Autokanal funktion) Die beiden getrennten Netze sollten ja sicher unterschiedliche IP Adressbereiche haben, nimmt man da heutzutage noch einen 2. Router (zB 2. Fritzbox als IP Client mit ander IP Adresse)?? Oder ist VLAN eine bessere Möglichkeit? Die Business Variante EAP-Serie von TP-Link mit der EAP Controllersoftware hat sich interessant gelesen - aber ist das in meinem Fall eine gescheite Lösung?
Ich hoffe, hier findet sich jemand, der so ein Anwendungsbereich kennt und weiß mit welcher Hardwarekombination man diesen Fall lösen sicher und stabil kann.
Bisdahin, danke erstmal fürs lesen und mitdenken !!!!
Gruß Christian
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 338531
Url: https://administrator.de/contentid/338531
Ausgedruckt am: 22.11.2024 um 05:11 Uhr
25 Kommentare
Neuester Kommentar
Moin...
Schau die einfach mal das an ...
https://www.ubnt.com/unifi/unifi-ap-ac-pro/
kann man bei zwei Netzen gut mit FB Gastnetz kombinieren ... und damit kommst du vermutlich mit einem je Etage aus ... zur Not wo es eng wird einen mehr hinpacken.
VG
Ashnod
Schau die einfach mal das an ...
https://www.ubnt.com/unifi/unifi-ap-ac-pro/
kann man bei zwei Netzen gut mit FB Gastnetz kombinieren ... und damit kommst du vermutlich mit einem je Etage aus ... zur Not wo es eng wird einen mehr hinpacken.
VG
Ashnod
Und hier steht wie man die Switching Infrastruktur dazu aufbaut mit MSSID Accesspoints und entsprechenden VLANs
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Mit den Ubiquities machst du nichts falsch. Cisco WAP oder Ruckus R300 wären auch denkbar aber vermutlich über deinem Budget ?!
TPs gleich vergessen, denn damit erleidest du in so einem Umfeld ganz sicher Schiffbruch.
20 Meter ist schon sehr großzügig gerechnet.
Am besten ist du beschaffst dir mal einen Accesspoint stellst den in einer geplanten Lokation auf und rennst mal mit einem Laptop rum der einen kostenlosen WLAN Sniffer hat wie den WiFi View:
http://www.nirsoft.net/utils/wifi_information_view.html
https://play.google.com/store/apps/details?id=com.farproc.wifi.analyzer& ...
Der RSSI Indikator ist die Feldstärke ! Daten WLAN sollten nicht unter -80 bis -85 dbm liegen Voice WLANs nicht unter -75.
Diese Grenzen merkst du dir und so kannst du dann mit einem einzigen AP einmal relativ sicher abschätzen wie die Reichweiten aussehen. Die sind sehr stark vom baulichen Umfeld abhängig.
Bei APs mit aktivem Beamforming wie dem Ruckus brauchst du erheblich weniger APs beim gleichen Ergebnis z.B.
Dinge die bei der WLAN Planung zu beachten sind findest du hier:
Seit WLAN Umstellung von Cisco WAP 200 auf Zyxel NWA3560-N schlechtere Verbindung
Im Grunde alles banal und kein Hexenwerk.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Mit den Ubiquities machst du nichts falsch. Cisco WAP oder Ruckus R300 wären auch denkbar aber vermutlich über deinem Budget ?!
TPs gleich vergessen, denn damit erleidest du in so einem Umfeld ganz sicher Schiffbruch.
Die Mitarbeiternetz APs senden zB alle auf Kanal 3 und die ganzen Kinder APs senden zB auf Kanal 13
Das ist natürlich Blödsinn, denn sowas löst man über MSSID Accesspoints die mehrere WLANs über einen physischen AP bedienen.20 Meter ist schon sehr großzügig gerechnet.
Am besten ist du beschaffst dir mal einen Accesspoint stellst den in einer geplanten Lokation auf und rennst mal mit einem Laptop rum der einen kostenlosen WLAN Sniffer hat wie den WiFi View:
http://www.nirsoft.net/utils/wifi_information_view.html
https://play.google.com/store/apps/details?id=com.farproc.wifi.analyzer& ...
Der RSSI Indikator ist die Feldstärke ! Daten WLAN sollten nicht unter -80 bis -85 dbm liegen Voice WLANs nicht unter -75.
Diese Grenzen merkst du dir und so kannst du dann mit einem einzigen AP einmal relativ sicher abschätzen wie die Reichweiten aussehen. Die sind sehr stark vom baulichen Umfeld abhängig.
Bei APs mit aktivem Beamforming wie dem Ruckus brauchst du erheblich weniger APs beim gleichen Ergebnis z.B.
Dinge die bei der WLAN Planung zu beachten sind findest du hier:
Seit WLAN Umstellung von Cisco WAP 200 auf Zyxel NWA3560-N schlechtere Verbindung
Im Grunde alles banal und kein Hexenwerk.
Also die einfachste Möglichkeit mit möglichst guten WLAN sind definitiv die Netgear Orbi, du könntest dir Kinder dann einfach ins "Gast WLAN" verbinden.
Die Orbi sind außerdem genial in Sachen Reichweite.
Kauf es bei Amazon und probiere es aus, wenn es nicht passt, kannst du die Dinger Ei Fach zurück senden.
Orbi auf Amazon
Es gibt auch eine kleinere Lösung für 350 €.
Gruß
Die Orbi sind außerdem genial in Sachen Reichweite.
Kauf es bei Amazon und probiere es aus, wenn es nicht passt, kannst du die Dinger Ei Fach zurück senden.
Orbi auf Amazon
Es gibt auch eine kleinere Lösung für 350 €.
Gruß
sind definitiv die Netgear Orbi,
Nein das ist aus technischer Sicht Schrott und keine gute Lösung, denn die machen ein Bridging über das 5Ghz Radio im Gerät. Bridging ist immer Mist und ein Backbone auf Funkbasis auch, da man je nach Baustruktur und HF Störungen wechselnde Bandbreiten bekommt die das Netz generell lähmen. So teuer wie die Gurken sind ist ein D-LAN für die AP Verbindung da allemal besser und zuverlässiger.Noch besser wäre eine Kabel Infrastruktur für die APs zu der man dem TO nur unter allen Umständen raten kann wenn er keinen Schiffbruch erleiden will.
Diese Äußerung zeigt eigentlich eher das du sehr wenig bis kein WLAN Know How hast, sorry
Wenn ich jedem AP einen anderen Kanal geben sollte
Das musst du sogar zwingend wenn die sich überlappen sollten !! 4 Kanäle sind das Minimum an Abstand !1, 5, 9, 13 usw. oder dazwischen. Wichtig ist der 4 kanalige Abstand:
https://www.elektronik-kompendium.de/sites/net/0907051.htm
(siehe Frequenznutzung und Kanalaufteilung )
Wie konfiguriere ich da die Kanäle?
Bei MSSIDs AP spielen die Kanäle doch keine Rolle. Hier machst du einen Denkfehler wenn du denken solltest das jede SSID ihren eigenen Kanal hat. Das wäre ja auch Blödsinn und gar nicht skalierbar wenn du dir mal vorstellst jemand hat 4 SSIDs pro AP und 100 APs.Die MSSIDs werden pro AP natürlich immer auf dem gleichen Kanal betrieben !
Wenn du den AP also auf Kanal 5 einstellst und hast 3 SSIDs Wurstsemmel, Bitschleuder und Bockwurst dann arbeiten alle diese SSIDs auf Kanal 5
Das gleiche musst du natürlich auch für den 5 Ghz Bereich festlegen und deren Kanäle dort.
Ist die Kanalverteilung bzw AP Positionen da so OK?
Wie dir oben bereits mehrfach erklärt wurde kann dir KEINER das vorab sagen. Die HF Ausbreitung ist in ganz eintscheidendem Maße von baulichen Gegebenheiten und den verwendeten Materialien abhängig. So ist also jedes WLAN absolut individuell.Deshalb an dich ja auch der dringende Appell EINEN einzigen AP zu beschaffen und damit und einem kostenlosen WLAN Scanner erstmal eine sehr grobe Ausleuchtung zu machen.
So kannst du einigermaßen sicher abschätzen wie die Ausbreitungsbedingungen im Haus sind und die APs dann genau platzieren.
Oder du machst Blindflug und baust das erstmal so auf, beschaffst dir 2 oder 3 APs mehr und setzt die dann später dahin wo du "blinde Flecken" hast.
Eigentlich doch ganz logisch und kommt man auch mit dem gesunden Menschenverstand drauf
Zitat von @christiande:
1. Wenn ich Multi SSID Accesspoints mit VLAN nehme und von einem AP aus mein Gastnetz und mein Mitarbeiternetz auf einem Kanal ausstrahle , kann ich da auch jeder SSID einen eigenen VLAN Bereich zuteilen obwohl der AP nur an einem Kabel hängt?
1. Wenn ich Multi SSID Accesspoints mit VLAN nehme und von einem AP aus mein Gastnetz und mein Mitarbeiternetz auf einem Kanal ausstrahle , kann ich da auch jeder SSID einen eigenen VLAN Bereich zuteilen obwohl der AP nur an einem Kabel hängt?
Moin ...
Yep, dafür ist das gedacht und problemlos möglich
2. Hinsichtlich der Geräteauswahl. Reicht es wenn ich einen Switch (zB Ubiquiti US-24-500W) nehme, der VLAN kann um die VLANs damit herzustellen und ein Cloud Key um mein VLAN zu managen?
Den Switch kannst du nehmen, die Ubiquitis sind jetzt aber auch nicht die preiswertesten ... jeder andere Switch der VLAN und PoE kann tuts auch ... also z.B. auch ein Cisco.
Ob der Cloud Key sinnvoll ist musst du selbst entscheiden ... sind die Geräte erst konfiguriert benötig man den nicht mehr unbedingt und die VLAN's managed du damit ohnehin nicht. Du kannst die Software auch auf einem Rechner oder einem Rasperry Pi installieren. Letzterer wäre sinnvoll wenn du das dauerhaft am laufen haben möchtest und dann bist du damit auch flexibler als mit dem Cloudkey
3. Aktuell stellt eine Fritzbox den VDSL Zugang her. Muss die Fritzbox da auch VLAN können? Kann ich die FB7490 da als Gateway überhaupt nehmen ?
Bei der Fritzbox kannst du bleiben ... benötigst dann aber einen Layer 3 switch, einen kleinen VLAN-fähigen Router, oder statt CloudKey eine kleine Ubiquiti USG.4. Gibt es die Ubiquiti s auch mit deutscher Firmware oder was wäre eine alternative?
afaik, ja .. allerdings ist das nicht unbedingt ein Vorteil.
5. Wenn ich die FB7490 als Gateway und VDSL Router und IP Telefonanalge verwende, dann hat diese ja einen Netzwerkbereich zb 192.168.178.0 mit zB DHCP. Wo an welcher Stelle kann ich jetzt ein VLAN20 erzeugen mit einem anderen Adressbereich (zB 192.168.179.0) der dann auch die FB als Gateway und DHCP Server nutzen kann, wenn doch die FB nur das DHCP für das eine Netz bereitstellt? ---> oder brauch ich einen anderen Router? Kann der auch die IP Telefonie? Welchen schlagt Ihr da vor?
siehe Punkt 3 - Die anderen Netze baust du über den L3 Switch oder aber über einen Router auf, entweder kaskadierend mit NAT oder echtes Routing ohne NAT.
6. Wenn ich einen Drucker für beide Netzwerke zusammen nutzen möchte, muss da der Drucker VLAN beherrschen denn er ist doch nur in einem WLAN Netz angemeldet. Wie löst man sowas?
Am besten in ein eigenes VLAN auf das die anderen Netze zugreifen können (Firewall-Rules oder ACL's). Geht aber auch nicht mit jedem Drucker ... ist in dem Sinne also vom Drucker bzw. dessen Treiber abhängig ... VLAN braucht der Drucker selbst nicht.
VG
Ashnod
siehe Punkt 3 - Die anderen Netze baust du über den L3 Switch oder aber über einen Router auf
Dieses Tutorial erklärt das:Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Ahoi .....
Ne vergiss das ... der Aufbau mit VLAN's ist weit flexibler und rein von der Verwaltung viel einfacher und übersichtlicher .....
das was du dir angeschaut hast ist nicht nur anklicken und gut ist ... da gehört wesentlich mehr dazu ...
schau dir den Punkt an; https://help.ubnt.com/hc/en-us/articles/115000166827-UniFi-Wireless-Gues ...
Wenn du dir das antun möchtest dann mal los ...
VG
Ashnod
Moin ...
Nein brauchst du nicht ... sofern irgendein anderes Gerät einen DHCP-Server zur Verfügung stellt ...
Aus meiner Sicht ein guter Marketingtrick von Ubiquiti
Kannst halt über die gleiche Software (Controller) AP's, Switche und eben die USG konfigurieren.
Wenn du die passenden Geräte nicht hast kannst du diese Funktionen halt nicht über den Controller aktivieren ... eigentlich logisch .. und musst die anderen Geräte halt über deren Webconfig oder ae. einstellen.
VG
Nein brauchst du nicht ... sofern irgendein anderes Gerät einen DHCP-Server zur Verfügung stellt ...
Aus meiner Sicht ein guter Marketingtrick von Ubiquiti
Kannst halt über die gleiche Software (Controller) AP's, Switche und eben die USG konfigurieren.
Wenn du die passenden Geräte nicht hast kannst du diese Funktionen halt nicht über den Controller aktivieren ... eigentlich logisch .. und musst die anderen Geräte halt über deren Webconfig oder ae. einstellen.
VG
im gegensatz zur Fritzbox ein völlig anderes Konfigurationsverständnis !!
Binsenweisheit, denn ein Lamborghini ist auch was anderes als ein Dacia Logan.Es gibt soviel einzustellen
Ist beim Lamborghini auch so. Du vergleichst hier Äpfel mit Birnen sprich ein billiges Consumer Massenprodukt mit einfachem Klicki Bunti GUI für unwissende Laien mit einem Router der Mittelklasse der entsprechende Features für Firmenanforderungen hat.In einem Administrator Forum wirst du für solche Banalerkenntnis eher ein müdes Lächeln ernten...
Kann ich meine Fragen hier
Dann frag doch einfach mal.... Also passend zu meinem Thema versuche ich nun mit der bintec meine VLANs zu erzeugen.
Das ist mehr oder minder überall auf allen geräten gleich die 802.1q VLANs supporten.Das hiesige Tutorial erklärt es im Primnzip ganz anschaulich:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Analog bei Endgeräten mit .1q fähigen NICs:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Das Prinzip ist wie du siehst immer daselbe und dürfte beim Bintec nicht anders sein. Lediglich das Klicki Bunti GUI.
Hier werden Ports und virtuelle Ports konfiguriert und dabei kann man auch VLAN IDs vergeben.
Das ist auch richtig so. Die virtuellen Ports sind die virtuellen Layer 3 IP Ports die zu den entsprechenden VLAN IDs korrespondieren.Wie schon gesagt...simpler Standard überall.
Zu deinen Fragen:
1.)
Der Ethernet Port ist die Physik. Dort kommen ja mit der VLAN ID getaggte Frames an die der Router einem Layer 3 IP Interface zuordenen muss um es routen zu können.
Dieses IP Interface ist ein virtuelles internes aber aus Router Sicht wie ein richtiges Interface zu sehen.
Mit der VLAN ID 10 getaggte Frames ordnet er dann dem IP Port zu an dem das zum VLAN 10 korrespondioerende IP Netz liegt.
2.)
Alle Ports haben an einem Router IMMER statische IP Adressen !! Ein Muss bei einem Router aus logischen Gründen, denn Gateway IPs dürfen siech nie dynamisch ändern !
Doie statische IP am Port direkt korrespondiert dann zum Default VLAN 1, also dem VLAN bzw. IP Poert dem alle ungetaggten Frames zugeordnet werden.
Wozu brauchen Schnittstellen IP Adressen?
Diese Frage meinst du doch wohl hoffentlich nicht ernst bei einem Router oder ??? Kein Kommentar !!Dann bitte das Routing Grundlagentutorial nochmals lesen und verstehen !!
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Kann ich da irgendwelche nehmen?
Natürlich nicht !!Die IP Adressen der Interfaces MÜSSEN logischerweise zu den IP Netzen korrespondieren die du in den VLANs verwendest.
Stell dir vor du hast 5 LANs oder VLANs. Dann braucht der Router ja auch logischerweise 5 Interfaces in diesen LANs oder VLANs um zwischen ihnen routen zu können. Wie sollte das auch sonst gehen ??
Ich hoffe ihr versteht wo meine Wissenslücke ist
Ja,...leider. Hart gesagt: Du hast keinen blassen Schimmer von IP Routing Lies dir also das obige Tutorial durch...aber wirklich. Das sollte die gröbsten Wissenslöcher stopfen.
Was ich will ist doch nur : 2 VLANs die gemeinsam das Internet über die bintec nutzen dürfen
Ja, und genau das ist das Banalste auf der Netzwerk Welt wenn man weiss was IP Routing ist.Das Routing Tutorial oben und die beiden VLAN Routing Tutorials erklären das explizit. Also bitte lesen !
Diese beiden VLANs sollen über Port 4 der bintec zu meinem Ubiquieti Switch gesendet werden
Exakt genau das Szenario was oben im VLAN Routing Tutorial beschrieben ist !! Und das sogar alles auch mit bunten Bildern damit es noch einfacher ist für den Durchblick