udobec
Goto Top

Gebäude mit WLAN ausstatten

Hallo,
ich bin dabei, unsere Schule mit WLAN auszustatten. Das Schülernetz (192.168.8.x) wird von den Clients (Fat Clienst, Thin Clients) Lehrern etc. gleichermaßen genutzt. Ein Server 2008r2 verrichtet hier die Hauptarbeit. Als Firewall haben wir eine Sophos UTM 9 auf der Hardware Version 120 laufen.

Meine Gedanken bzgl. WLAN ist nun folgender:

Gebäude mit Profi APs von Unifi z.B. AC Pro komplett bestücken. Damit wäre die Abdeckung gegeben. Die Controller Software auf einem Rechner bzw. Server laufen lassen und die Teile damit verwalten. Wir haben bisher für unsre 300 Schüler keine benutzer-, sondern eine platzbezogene Anmeldung, sodass ich auf RADIUS verzichten möchte. Am liebsten wäre mir, das ganze mit dem Captive Portal des Unifi Controllers zu machen. Lehrer Voucher 1 Jahr. Schüler haben ein bestimmtes Kontingent. Jede Klasse wäre evtl. eine Gruppe, für die der Klassleiter verantwortlich ist.
Jetzt meine Fragen: Lasse ich das ganze über das bestehende Netz: 192.168.8.x laufen, gehen mir irgendwann die Adressen aus. Hier war mein Gedanke, das WLAN über ein VLAN laufen zu lassen, hätte auch den Charme, dass das ganze etwas sicherer würde. Leider sind aber nicht alle switches im Gebäude managebar, sodass ich mind. 5 24 Port Switches austauschen müsste.
Andere Option: Bin nicht sicher, ob das stimmt: Wir haben schon ein Produkt von Sophos. Die Firewall kann man auch als WLAN Controller verwenden. Leider geht die dann, wie ich meine, bei 300 Leuten in die Knie. Scheinbar ist es bei den Sophos Wlan APs so, dass diese ein eigenes Netz ähnlich einem VLAN oder VPN aufbauen und somit die Anzahl der Adressen im bestehenden Netz unberührt bleiben soll. Hat da jemand Kenntnis/Erfahrung?
Seht ihr noch andere Möglichkeiten? Das Zeug von Sophos ist halt nicht ganz billig...;)
Ganz anderer Gedanke: Ich lasse alles, wie es ist, bau die APs ein, installiere den Controller etc. und ändere das bestehende Netz in ein 10er Netz???

Danke für Antworten.

Gruß

Content-ID: 355353

Url: https://administrator.de/contentid/355353

Ausgedruckt am: 22.11.2024 um 18:11 Uhr

certifiedit.net
certifiedit.net 18.11.2017 um 08:55:25 Uhr
Goto Top
Hallo,

die Sophos macht das natürlich, aber auch hier kommt ggf. ein bzw mehrere VLAN zum Einsatz. Ergo kommst du um den Austausch schwerlich herum. Grundsätzlich kann man zwar sagen, dass die Sophos AP nicht ganz billig sind, aber sie machen Ihren Job sehr gut.

Wenn du dafür Bedarf hast, klopf gerne mal an, ggf. lässt sich da was in Hinsicht auf Schulen machen. Bitte dann per Mail.

VG
aqui
aqui 18.11.2017 aktualisiert um 09:15:07 Uhr
Goto Top
Niemals baut man ein WLAN Netz in den gleichen IP Adressbereich in dem auch Server usw. stehen.
Das wäre schlechtes und laienhaftes IP Design. Das WLAN Netz sollte immer einen eigenen IP Adressbereich bekommen. Und zwar Lehrer und Schüler getrennt.
Du solltest deshalb auch zwingend mit MSSIDs arbeiten und den Lehrern eine eigene SSID und Subnetz zuteilen also eine andere als den Schülern. Schon aus Eigensicherung.
Du bist also wenn du es richtig machen willst zwingend auf eine Segmentierung angewiesen und das bedeutet dann immer VLANs.
Man kann dir nur dringenst raten diese geringen Mehrkosten bei den Switches zu investieren und hier VLAN Support vorzuusehen. Alles andere riecht nach übler Frickelei die sich langfristig rächen wird. Wenn also dann einmal richtig machen und gut iss.
Franz-Josef-II
Franz-Josef-II 18.11.2017 um 09:23:14 Uhr
Goto Top
Guten Morgäähhhn

1) WLAN in einem größeren Gebäude: Wie schauts da mit dem Empfang aus? Mauerdicke und Ausführung? Mußt Du berücksichtigen.

2) Swiches: Du kannst ja einen nicht Managebaren in ein gesamtes VLAN hängen. Also z.B. alle APs vom ersten Stock zusammen auf einen Switch und den zum Managebaren .......

3) Mindestens 5 Switche a 24 Port .... = 120 Ports bei ca 300 Schülern + ein paar Lehrer ..... 3 Personen teilen sich einen Port?

Ich würde sowieso möglichst alles in verschiedene VLANs legen. Server (+ Drucker), Lehrer, Schüler etc. (Da kann ich den Lehrern eine größere Bandbreite als den Schülern geben) Wie schauts mit der Verkabelung aus? 100MBit "Sparvariante" oder cat7? Irgendwo dazwischen? (Es geht da um die Anbindung des APs, was nützen 800MBit pro Gerät, wenn der AP mit 100MBit am Kabel hängt?)

Wo ist das Ganze inetwa?
maretz
maretz 18.11.2017 um 12:07:58 Uhr
Goto Top
Moin,

wie sieht es mit deiner Erfahrung für so ein Projekt aus? Zum einen der Bereich "Abdeckung" - hängst du zuviele APs hin stören die sich dümmstenfalls selbst. Zu wenig und die Abdeckung ist schlecht... Und dazu dann die Roaming-Funktionen die ja auch gehen sollten.

Dann der Bereich "Technik" - ich würde in ner Schule nie nen AP sichtbar / erreichbar hinhängen. Den kannst du auch mal direkt ersetzen weil der nicht lange hängt und/oder Schüler das Kabel nutzen um eigenen Kram dran zu packen.

Fürs Netz-Design würde ich ebenfalls diverse Netze und SSIDs nehmen - und warum nicht über nen Radius? So schwer is der nich einzurichten...
Cometcola
Cometcola 18.11.2017 um 12:39:04 Uhr
Goto Top
Bzgl. deiner Planung , überprüfe auf alle Fälle nochmal, ob es eventuell Vorschriften gibt, bspw. die eine Netztrennung zwischen Lehrer, Schüler, Verwaltung vorschreibt (Datenschutz). Bevor man jetzt eine Mittellösung erarbeitet.

Wenn du eh einen Server am laufen hast, dort den Controller installieren und du bist glücklich. Das mit den Vouchern würde ich mir überlegen, mach es lieber richtig und lege für jeden Schüler ein Konto an. Auch wenn man vielleicht mal eine Lernplattform bereitstellen möchte, braucht jeder Schüler einen Account und diese Accounts kannst du immer noch gruppieren.
aqui
aqui 18.11.2017 um 18:34:10 Uhr
Goto Top
Du kannst ja einen nicht Managebaren in ein gesamtes VLAN hängen. Also z.B. alle APs vom ersten Stock zusammen auf einen Switch
Das ist Unsinn wenn er mit MSSIDs arbeitet und auch in jedem Falle zwingend tun sollte ! Dort kommen ja schon getaggte Frames an von den APs.
Die Unmanaged könnte man als Klassenraum Switches nehmen wenn Kupferverkabelung gefordert ist. Was ja mit dem WLAN vermutlich vermieden werden soll.
Zu dem Thema ist das hier unbedingt lesenswert:
http://wlanpros2.project.ihelphosting.com/wp-content/uploads/2013/02/Wi ...
108012
108012 18.11.2017 um 23:11:28 Uhr
Goto Top
Hallo zusammen,

wir sollten auch ein paar andere Fragen vielleicht zuerst erörtern denn sonst raten wir hier im freien Fall.
- wie schnell ist den der sind denn die Internetanbindungen bzw. Zugänge?
- Wie viele WLAN APs sollten denn zusammen dort verbaut werden?
- Warum nicht auf dem MS 2008R Server auch eine LDAP und eine Radius Server Rollen installieren?
- Was ist denn das Budget für das gesamte unterfangen? (Also alle APs, Controller und Switche)

ich bin dabei, unsere Schule mit WLAN auszustatten. Das Schülernetz (192.168.8.x) wird von den Clients
(Fat Clienst, Thin Clients) Lehrern etc. gleichermaßen genutzt.
VLAN1 = alle Geräte zur Administration
VLAN10 = alle PCs (Lehrer) - LDAP
VLAN20 = alle Drucker - LDAP
VLAN30 = alle PCs (Schüler) - LDAP
VLAN40 = alle Server - LDAP
VLAN50 = SSID Schüler 2,4GHz - Captive Portal mit Vouchers (Gruppe Schüler 6 Monate Zugang) 1 € pro Monat
VLAN60 = SSID Schüler 5,0GHz - Captive Portal mit Vouchers (Gruppe Schüler 6 Monate Zugang) 1 € pro Monat
VLAN70 = SSID Lehrer 2,4GHz - Radius Server mit Zertifikaten (Gruppe Lehrer mit 1 Jahr Zugang) kostenlos
VLAN80 = SSID Lehrer 5,0GHz - Radius Server mit Zertifikaten (Grupper Lehrer mit 1 Jahr Zugang) kostenlos
VLAN90 = SSID Gäste 2,4GHz - Captive Portal mit Voucher (Gruppe Gäste mit 24h Zugang) kostenlos
VLAN100 = SSID Gäste 5,0GHz - Captive Portal mit Voucher (Gruppe mit 24h Zugang) kostenlos

Und jeder hat sein eigenes VLAN und seine eigene SSID sowie eine andere Absicherung.

Ein Server 2008r2 verrichtet hier die Hauptarbeit.
Warum dort nicht für alle Schüler und Lehrer ein Konto erstellen und dann die LDAP Server und Radius Server Rolle
zusätzlich installieren? Oder gar einen Univention oder SME Server mit ins spiel bringen.

Als Firewall haben wir eine Sophos UTM 9 auf der Hardware Version 120 laufen.
Was ist denn dort alles drauf installiert worden? (AddOns oder Plugins)
Wie schnell ist denn der gesamte Internetanschluss und wie viele Schüler benötigen denn nun genau WLAN?

Meine Gedanken bzgl. WLAN ist nun folgender:
Gebäude mit Profi APs von Unifi z.B. AC Pro komplett bestücken. Damit wäre die Abdeckung gegeben.
Wie viele APs sind das denn nun genau und für wie viele Schüler genau?

- pfSense aus gebrauchten Teilen für kleines Geld!
(Firewall, Squid & SquidGuard, SARG, pfBlockerNG & DNSBL & TLD, Snort)
- Intel Xeon E3-1230v2 ~100 € auf Intel DQ77KB ~60 €
- Xeon E3 LAG 1155 Kühler & Paste ~45 €
- 16/32 GB RAM (kein ECC) ~ 200 € & 2 x SSD 128 GB ~100
- Gehäuse nach Wahl ohne Netzteil & Laptop Netzteil (92 Watt) ~80 €

- Ubiquiti UniFi UAP AC LITE ~77 € pro Stück
- Ubiquiti CloudKey ~80 €

- Cisco SG-200 PoE Switch Serie oder
- Zyxel GS1910 PoE Switch Serie

Gruß
Dobby
Franz-Josef-II
Franz-Josef-II 19.11.2017 aktualisiert um 10:44:57 Uhr
Goto Top
Zitat von @aqui:
Das ist Unsinn wenn er mit MSSIDs arbeitet und auch in jedem Falle zwingend tun sollte ! Dort kommen ja schon getaggte Frames an von den APs.

Verdammt face-wink Ich habe nicht A(ccess)P(oint) sondern A(rbeits)P(latz) gemeint. Also Dinger in einem gemeinsamen VLAN ohne irgendwelche "FremdVLANs", also z.B. alle KlassenPCs in einem Stockwerk.


Zitat von @aqui:
Die Unmanaged könnte man als Klassenraum Switches nehmen wenn Kupferverkabelung gefordert ist. Was ja mit dem WLAN vermutlich vermieden werden soll.

Ich sehe das WLAN eher als Ergänzung. PCs in der Klasse, Lehrerzimmer, Lehrsäle etc auf Kabel und WLAN für Schüler, Lehrer und Gastgeräte, kurzfristig, als Ergänzung.
udobec
udobec 19.11.2017 um 14:38:43 Uhr
Goto Top
Danke für eure fachlich fundierten Antworten.
Es geht eher in die Richtung wie FJII bemerkt hat: Wlan als Ergänzung zu der bestehenden Kupfer/LWL Verkabelung, um Endgeräte wie Tablets, Handys evtl auch der Schüler mit einbinden zu können. Zum Hintergrund: In Bayern wird die ganze Nummer mit Medienbildung an staatl. Schulen momanten unter dem "Medien Masterplan Bayern 2";) forciert. Es scheinen auch staatl. Gelder zu fließen. Umfang: unklar. Ich bin momentan dabei, ein Konzept für unsere Schule zu erstellen, das bei der Internetanbindung anfängt und bei der Ausstattung der Klassenzimmer (Beamer, Wireless TV Sticks (Apple/Miracast) als Dokucamersatz ....) aufhört. In diesem Konzept spielt das neu aufzubauende WLAN eine zentrale Rolle. Verwaltungsnetz muss zwingend vom päd. Netz getrennt sein. Im Verwaltungsnetz haben wir uns darauf geeinigt, kein WLAN zu betreiben. Es geht vornehmlich um 300 Schüler und ca. 40-50 Personen, die ich bei "Lehrpersonal" im engeren oder weiteren Sinn subsumieren möchte. Diese nutzen gleichermaßen das vorhandene päd. Netz, das durch Firewall nach außen und durch GPO v.a. nach innen abgesichert ist. Priorität liegt bei den ganzen Überlegungen auf der Internetanbindung (50mbit möglich) und dem WLAN. Was dann übrig bleibt vom Budget wird für Endgeräte usw. verwendet. Wie auch von jemand schon erwähnt auch meine Devise: Lieber gleich gescheites WLAN, bevor wir dann hinterher nur wieder Ärger haben.
Als Rahmen, in den wir uns als Schule zu bewegen haben/bewegen können, seien diese Artikel erwähnt( nur eine Auswahl, es gibt noch mehr Eckpunkte):
1. https://www.mebis.bayern.de/wp-content/uploads/sites/2/2015/11/Votum_201 ...
2. http://alp.dillingen.de/schulnetz/materialien/Digitales_Klassenzimmer.p ...