15
28 WLANs isolieren und ein Internet Zugang
Hallo,
ich habe 28 WLAN Bereiche, in dem sich mehrere Clients befinden. Jeder Bereich soll einen eigenen WLAN Zugang bekommen und alle teilen sich einen Internet Anschluß.
Ich dachte an einen WLAN Router, welcher ca. 10-15 verschiedene SSID´s bereit stellt und den Datenverkehr über VLANS an einen Server leitet, welcher dann allen den Internetzugang bereit stellt.
Also statt 28 eigenständige WLAN Router, 3-4 WLAN Router die mehrere SSID´s bereit stellen können.
Ist das möglich? Kennt jemand einen passenden Router?
Oder würded ihr das anders aufbauen?
Danke!
ich habe 28 WLAN Bereiche, in dem sich mehrere Clients befinden. Jeder Bereich soll einen eigenen WLAN Zugang bekommen und alle teilen sich einen Internet Anschluß.
Ich dachte an einen WLAN Router, welcher ca. 10-15 verschiedene SSID´s bereit stellt und den Datenverkehr über VLANS an einen Server leitet, welcher dann allen den Internetzugang bereit stellt.
Also statt 28 eigenständige WLAN Router, 3-4 WLAN Router die mehrere SSID´s bereit stellen können.
Ist das möglich? Kennt jemand einen passenden Router?
Oder würded ihr das anders aufbauen?
Danke!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 424820
Url: https://administrator.de/contentid/424820
Printed on: April 26, 2024 at 20:04 o'clock
15 Comments
Latest comment
Moin,
die Watchguard kann das. Wieviele, weiß ich allerdings nicht. Wir betreiben hier zwei mit einem AP (bzw. mehreren, auf denen aber immer beide laufen).
https://www.watchguard.com/help/docs/help-center/en-US/Content/en-US/Fir ...
hth
die Watchguard kann das. Wieviele, weiß ich allerdings nicht. Wir betreiben hier zwei mit einem AP (bzw. mehreren, auf denen aber immer beide laufen).
https://www.watchguard.com/help/docs/help-center/en-US/Content/en-US/Fir ...
hth
Moin,
Gruß,
Dani
Oder würded ihr das anders aufbauen?
warum nicht eine WLAN SSID nutzen und mit Hilfe von Client Isolation die Geräte entsprechend schützen bzw. blockieren?!Gruß,
Dani
Weil die Bereiche dynamisch sind. Da kommen Geräte hinzu und wieder weg. Jedesmall diese zu konfigurieren ist nicht möglich.
Am besten wäre es wenn es einzelne SSID´s wären.
Ich habe den EAP225 von TP Link gefunden. Der kann bis zu 16 SSID´s (Multi-SSID (bis zu 16 SSIDs, 8 pro Band)) und hat "SSID-to-VLAN-Mapping".
Müsste ja passen.
Kann man mit einem Switch 16 VLAN´s zu einem Internetanschluß leiten? Wenn unterschiedliche IP´s dann müsste der Switch ja Routen.
Oder ein großes Netz und die DHCP entsprechend einstellen?
Am besten wäre es wenn es einzelne SSID´s wären.
Ich habe den EAP225 von TP Link gefunden. Der kann bis zu 16 SSID´s (Multi-SSID (bis zu 16 SSIDs, 8 pro Band)) und hat "SSID-to-VLAN-Mapping".
Müsste ja passen.
Kann man mit einem Switch 16 VLAN´s zu einem Internetanschluß leiten? Wenn unterschiedliche IP´s dann müsste der Switch ja Routen.
Oder ein großes Netz und die DHCP entsprechend einstellen?
Auf alle Faelle gibts eins zu sagen:
Je mehr SSIDs, desto langsamer ist das gesamte WLAN!
Die Beacons warden naemlich immer in der langsamsten, als verfuegbar eingestellten, geschwindigkeit ausgestrahlt. Und je mehr SSID, desto mehr Beacons muss der AP ausstrahlen.
Radius-Server, managebare Switche und eine angemessene Zahl an APs, das waeren die Zutaten um das verneunftig zum laufen zu bekommen, alles andere ist halbgarer pfusch der wahrscheinlich mehr schlecht als recht funktionieren wird.
Je mehr SSIDs, desto langsamer ist das gesamte WLAN!
Die Beacons warden naemlich immer in der langsamsten, als verfuegbar eingestellten, geschwindigkeit ausgestrahlt. Und je mehr SSID, desto mehr Beacons muss der AP ausstrahlen.
Radius-Server, managebare Switche und eine angemessene Zahl an APs, das waeren die Zutaten um das verneunftig zum laufen zu bekommen, alles andere ist halbgarer pfusch der wahrscheinlich mehr schlecht als recht funktionieren wird.
Zitat von @unqiue24:
Kann man mit einem Switch 16 VLAN´s zu einem Internetanschluß leiten? Wenn unterschiedliche IP´s dann müsste der Switch ja Routen.
Jein, ein Layer 3 Switch kann routen, ein Layer 2 Switch nicht.Kann man mit einem Switch 16 VLAN´s zu einem Internetanschluß leiten? Wenn unterschiedliche IP´s dann müsste der Switch ja Routen.
Ich würde das Ganze aber an die Firewall klemmen die das Internet bereit stellt und dort VLAN raus in Internet lassen, aber Intern untereinander verhindern.
Die meisten besseren Switche könne auch mehr als 16 VLANs.
Oder ein großes Netz und die DHCP entsprechend einstellen?
Da hast du keine Sicherheit, falls einer mal was manuell einstellt.Lieber eigene VLANs.
Hallo,
Nein, der kann 8 SSIDs pro Band, also 8 für 2,4 GHz und 8 für 5 GHz. 16 auf einem Band geht nicht.
cu,
ipzipzap
Zitat von @unqiue24:
Ich habe den EAP225 von TP Link gefunden. Der kann bis zu 16 SSID´s (Multi-SSID (bis zu 16 SSIDs, 8 pro Band)) und hat "SSID-to-VLAN-Mapping".
Müsste ja passen.
Ich habe den EAP225 von TP Link gefunden. Der kann bis zu 16 SSID´s (Multi-SSID (bis zu 16 SSIDs, 8 pro Band)) und hat "SSID-to-VLAN-Mapping".
Müsste ja passen.
Nein, der kann 8 SSIDs pro Band, also 8 für 2,4 GHz und 8 für 5 GHz. 16 auf einem Band geht nicht.
cu,
ipzipzap
Und Client-Isolation in einer SSID macht auch schon das, was du suchst.
welcher ca. 10-15 verschiedene SSID´s bereit stellt
Das sind nach Adam Riese aber nicht 28 !! Da ist dann schon dein erstes Problem.und den Datenverkehr über VLANS an einen Server leitet,
Könnte man so machen wenn man sog. Private VLANs oder Isolated VLANs verwendet.Einen Server braucht man dazu nicht ! Wozu sollte der gut sein ?? Höchstens als Proxy... Sowas können aber auch bessere Router oder Firewall wie z.B. die pfSense
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Moin,
anderer Vorschlag: Du nimmst eine SSID und machst die Benutzerauthentisierung per Radius und weist per Radius dem Benutzer gleich das passende VLan zu. Spart dir Overhead auf den APs, erhöht die Sicherheit weil jeder seine eigenen Zugangsdaten hat und eine Weitergabe damit nachvollziehbar wäre. Auch eine Sperre einzelner Benutzer ist somit möglich.
Ich habe das mit pfSense als Firewall & Radius und zwei Unifi AP AC pro am laufen.
-teddy
anderer Vorschlag: Du nimmst eine SSID und machst die Benutzerauthentisierung per Radius und weist per Radius dem Benutzer gleich das passende VLan zu. Spart dir Overhead auf den APs, erhöht die Sicherheit weil jeder seine eigenen Zugangsdaten hat und eine Weitergabe damit nachvollziehbar wäre. Auch eine Sperre einzelner Benutzer ist somit möglich.
Ich habe das mit pfSense als Firewall & Radius und zwei Unifi AP AC pro am laufen.
-teddy
Die Idee ist noch besser ! Da hast du Recht !
Erheblich sinnvoller als ein WLAN mit 28 SSIDs.
Erheblich sinnvoller als ein WLAN mit 28 SSIDs.
Danke, das werde ich in einem Testaufbau mal prüfen.
Sollte Kollege @magicteddy mal ein pfSense Tutorial von machen hier. 
(Oder nur ein paar Screenshots der wichtigsten pfSense/FreeRadius Setups posten...)
Ist ja ein interessantes Thema was sicher auch noch andere betrifft.
(Oder nur ein paar Screenshots der wichtigsten pfSense/FreeRadius Setups posten...)Ist ja ein interessantes Thema was sicher auch noch andere betrifft.
Zitat von @aqui:
Sollte Kollege @magicteddy mal ein pfSense Tutorial von machen hier. (Oder nur ein paar Screenshots der wichtigsten pfSense/FreeRadius Setups posten...)
Ist ja ein interessantes Thema was sicher auch noch andere betrifft.
Sollte Kollege @magicteddy mal ein pfSense Tutorial von machen hier.
(Oder nur ein paar Screenshots der wichtigsten pfSense/FreeRadius Setups posten...)Ist ja ein interessantes Thema was sicher auch noch andere betrifft.
[X] Dafür
Anregung dankend angenommen Erledigung im nächsten Zeitfenster
-teddy
-teddy
