Gebäude mit WLAN ausstatten
Hallo,
ich bin dabei, unsere Schule mit WLAN auszustatten. Das Schülernetz (192.168.8.x) wird von den Clients (Fat Clienst, Thin Clients) Lehrern etc. gleichermaßen genutzt. Ein Server 2008r2 verrichtet hier die Hauptarbeit. Als Firewall haben wir eine Sophos UTM 9 auf der Hardware Version 120 laufen.
Meine Gedanken bzgl. WLAN ist nun folgender:
Gebäude mit Profi APs von Unifi z.B. AC Pro komplett bestücken. Damit wäre die Abdeckung gegeben. Die Controller Software auf einem Rechner bzw. Server laufen lassen und die Teile damit verwalten. Wir haben bisher für unsre 300 Schüler keine benutzer-, sondern eine platzbezogene Anmeldung, sodass ich auf RADIUS verzichten möchte. Am liebsten wäre mir, das ganze mit dem Captive Portal des Unifi Controllers zu machen. Lehrer Voucher 1 Jahr. Schüler haben ein bestimmtes Kontingent. Jede Klasse wäre evtl. eine Gruppe, für die der Klassleiter verantwortlich ist.
Jetzt meine Fragen: Lasse ich das ganze über das bestehende Netz: 192.168.8.x laufen, gehen mir irgendwann die Adressen aus. Hier war mein Gedanke, das WLAN über ein VLAN laufen zu lassen, hätte auch den Charme, dass das ganze etwas sicherer würde. Leider sind aber nicht alle switches im Gebäude managebar, sodass ich mind. 5 24 Port Switches austauschen müsste.
Andere Option: Bin nicht sicher, ob das stimmt: Wir haben schon ein Produkt von Sophos. Die Firewall kann man auch als WLAN Controller verwenden. Leider geht die dann, wie ich meine, bei 300 Leuten in die Knie. Scheinbar ist es bei den Sophos Wlan APs so, dass diese ein eigenes Netz ähnlich einem VLAN oder VPN aufbauen und somit die Anzahl der Adressen im bestehenden Netz unberührt bleiben soll. Hat da jemand Kenntnis/Erfahrung?
Seht ihr noch andere Möglichkeiten? Das Zeug von Sophos ist halt nicht ganz billig...;)
Ganz anderer Gedanke: Ich lasse alles, wie es ist, bau die APs ein, installiere den Controller etc. und ändere das bestehende Netz in ein 10er Netz???
Danke für Antworten.
Gruß
ich bin dabei, unsere Schule mit WLAN auszustatten. Das Schülernetz (192.168.8.x) wird von den Clients (Fat Clienst, Thin Clients) Lehrern etc. gleichermaßen genutzt. Ein Server 2008r2 verrichtet hier die Hauptarbeit. Als Firewall haben wir eine Sophos UTM 9 auf der Hardware Version 120 laufen.
Meine Gedanken bzgl. WLAN ist nun folgender:
Gebäude mit Profi APs von Unifi z.B. AC Pro komplett bestücken. Damit wäre die Abdeckung gegeben. Die Controller Software auf einem Rechner bzw. Server laufen lassen und die Teile damit verwalten. Wir haben bisher für unsre 300 Schüler keine benutzer-, sondern eine platzbezogene Anmeldung, sodass ich auf RADIUS verzichten möchte. Am liebsten wäre mir, das ganze mit dem Captive Portal des Unifi Controllers zu machen. Lehrer Voucher 1 Jahr. Schüler haben ein bestimmtes Kontingent. Jede Klasse wäre evtl. eine Gruppe, für die der Klassleiter verantwortlich ist.
Jetzt meine Fragen: Lasse ich das ganze über das bestehende Netz: 192.168.8.x laufen, gehen mir irgendwann die Adressen aus. Hier war mein Gedanke, das WLAN über ein VLAN laufen zu lassen, hätte auch den Charme, dass das ganze etwas sicherer würde. Leider sind aber nicht alle switches im Gebäude managebar, sodass ich mind. 5 24 Port Switches austauschen müsste.
Andere Option: Bin nicht sicher, ob das stimmt: Wir haben schon ein Produkt von Sophos. Die Firewall kann man auch als WLAN Controller verwenden. Leider geht die dann, wie ich meine, bei 300 Leuten in die Knie. Scheinbar ist es bei den Sophos Wlan APs so, dass diese ein eigenes Netz ähnlich einem VLAN oder VPN aufbauen und somit die Anzahl der Adressen im bestehenden Netz unberührt bleiben soll. Hat da jemand Kenntnis/Erfahrung?
Seht ihr noch andere Möglichkeiten? Das Zeug von Sophos ist halt nicht ganz billig...;)
Ganz anderer Gedanke: Ich lasse alles, wie es ist, bau die APs ein, installiere den Controller etc. und ändere das bestehende Netz in ein 10er Netz???
Danke für Antworten.
Gruß
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 355353
Url: https://administrator.de/forum/gebaeude-mit-wlan-ausstatten-355353.html
Ausgedruckt am: 23.12.2024 um 13:12 Uhr
9 Kommentare
Neuester Kommentar
Hallo,
die Sophos macht das natürlich, aber auch hier kommt ggf. ein bzw mehrere VLAN zum Einsatz. Ergo kommst du um den Austausch schwerlich herum. Grundsätzlich kann man zwar sagen, dass die Sophos AP nicht ganz billig sind, aber sie machen Ihren Job sehr gut.
Wenn du dafür Bedarf hast, klopf gerne mal an, ggf. lässt sich da was in Hinsicht auf Schulen machen. Bitte dann per Mail.
VG
die Sophos macht das natürlich, aber auch hier kommt ggf. ein bzw mehrere VLAN zum Einsatz. Ergo kommst du um den Austausch schwerlich herum. Grundsätzlich kann man zwar sagen, dass die Sophos AP nicht ganz billig sind, aber sie machen Ihren Job sehr gut.
Wenn du dafür Bedarf hast, klopf gerne mal an, ggf. lässt sich da was in Hinsicht auf Schulen machen. Bitte dann per Mail.
VG
Niemals baut man ein WLAN Netz in den gleichen IP Adressbereich in dem auch Server usw. stehen.
Das wäre schlechtes und laienhaftes IP Design. Das WLAN Netz sollte immer einen eigenen IP Adressbereich bekommen. Und zwar Lehrer und Schüler getrennt.
Du solltest deshalb auch zwingend mit MSSIDs arbeiten und den Lehrern eine eigene SSID und Subnetz zuteilen also eine andere als den Schülern. Schon aus Eigensicherung.
Du bist also wenn du es richtig machen willst zwingend auf eine Segmentierung angewiesen und das bedeutet dann immer VLANs.
Man kann dir nur dringenst raten diese geringen Mehrkosten bei den Switches zu investieren und hier VLAN Support vorzuusehen. Alles andere riecht nach übler Frickelei die sich langfristig rächen wird. Wenn also dann einmal richtig machen und gut iss.
Das wäre schlechtes und laienhaftes IP Design. Das WLAN Netz sollte immer einen eigenen IP Adressbereich bekommen. Und zwar Lehrer und Schüler getrennt.
Du solltest deshalb auch zwingend mit MSSIDs arbeiten und den Lehrern eine eigene SSID und Subnetz zuteilen also eine andere als den Schülern. Schon aus Eigensicherung.
Du bist also wenn du es richtig machen willst zwingend auf eine Segmentierung angewiesen und das bedeutet dann immer VLANs.
Man kann dir nur dringenst raten diese geringen Mehrkosten bei den Switches zu investieren und hier VLAN Support vorzuusehen. Alles andere riecht nach übler Frickelei die sich langfristig rächen wird. Wenn also dann einmal richtig machen und gut iss.
Guten Morgäähhhn
1) WLAN in einem größeren Gebäude: Wie schauts da mit dem Empfang aus? Mauerdicke und Ausführung? Mußt Du berücksichtigen.
2) Swiches: Du kannst ja einen nicht Managebaren in ein gesamtes VLAN hängen. Also z.B. alle APs vom ersten Stock zusammen auf einen Switch und den zum Managebaren .......
3) Mindestens 5 Switche a 24 Port .... = 120 Ports bei ca 300 Schülern + ein paar Lehrer ..... 3 Personen teilen sich einen Port?
Ich würde sowieso möglichst alles in verschiedene VLANs legen. Server (+ Drucker), Lehrer, Schüler etc. (Da kann ich den Lehrern eine größere Bandbreite als den Schülern geben) Wie schauts mit der Verkabelung aus? 100MBit "Sparvariante" oder cat7? Irgendwo dazwischen? (Es geht da um die Anbindung des APs, was nützen 800MBit pro Gerät, wenn der AP mit 100MBit am Kabel hängt?)
Wo ist das Ganze inetwa?
1) WLAN in einem größeren Gebäude: Wie schauts da mit dem Empfang aus? Mauerdicke und Ausführung? Mußt Du berücksichtigen.
2) Swiches: Du kannst ja einen nicht Managebaren in ein gesamtes VLAN hängen. Also z.B. alle APs vom ersten Stock zusammen auf einen Switch und den zum Managebaren .......
3) Mindestens 5 Switche a 24 Port .... = 120 Ports bei ca 300 Schülern + ein paar Lehrer ..... 3 Personen teilen sich einen Port?
Ich würde sowieso möglichst alles in verschiedene VLANs legen. Server (+ Drucker), Lehrer, Schüler etc. (Da kann ich den Lehrern eine größere Bandbreite als den Schülern geben) Wie schauts mit der Verkabelung aus? 100MBit "Sparvariante" oder cat7? Irgendwo dazwischen? (Es geht da um die Anbindung des APs, was nützen 800MBit pro Gerät, wenn der AP mit 100MBit am Kabel hängt?)
Wo ist das Ganze inetwa?
Moin,
wie sieht es mit deiner Erfahrung für so ein Projekt aus? Zum einen der Bereich "Abdeckung" - hängst du zuviele APs hin stören die sich dümmstenfalls selbst. Zu wenig und die Abdeckung ist schlecht... Und dazu dann die Roaming-Funktionen die ja auch gehen sollten.
Dann der Bereich "Technik" - ich würde in ner Schule nie nen AP sichtbar / erreichbar hinhängen. Den kannst du auch mal direkt ersetzen weil der nicht lange hängt und/oder Schüler das Kabel nutzen um eigenen Kram dran zu packen.
Fürs Netz-Design würde ich ebenfalls diverse Netze und SSIDs nehmen - und warum nicht über nen Radius? So schwer is der nich einzurichten...
wie sieht es mit deiner Erfahrung für so ein Projekt aus? Zum einen der Bereich "Abdeckung" - hängst du zuviele APs hin stören die sich dümmstenfalls selbst. Zu wenig und die Abdeckung ist schlecht... Und dazu dann die Roaming-Funktionen die ja auch gehen sollten.
Dann der Bereich "Technik" - ich würde in ner Schule nie nen AP sichtbar / erreichbar hinhängen. Den kannst du auch mal direkt ersetzen weil der nicht lange hängt und/oder Schüler das Kabel nutzen um eigenen Kram dran zu packen.
Fürs Netz-Design würde ich ebenfalls diverse Netze und SSIDs nehmen - und warum nicht über nen Radius? So schwer is der nich einzurichten...
Bzgl. deiner Planung , überprüfe auf alle Fälle nochmal, ob es eventuell Vorschriften gibt, bspw. die eine Netztrennung zwischen Lehrer, Schüler, Verwaltung vorschreibt (Datenschutz). Bevor man jetzt eine Mittellösung erarbeitet.
Wenn du eh einen Server am laufen hast, dort den Controller installieren und du bist glücklich. Das mit den Vouchern würde ich mir überlegen, mach es lieber richtig und lege für jeden Schüler ein Konto an. Auch wenn man vielleicht mal eine Lernplattform bereitstellen möchte, braucht jeder Schüler einen Account und diese Accounts kannst du immer noch gruppieren.
Wenn du eh einen Server am laufen hast, dort den Controller installieren und du bist glücklich. Das mit den Vouchern würde ich mir überlegen, mach es lieber richtig und lege für jeden Schüler ein Konto an. Auch wenn man vielleicht mal eine Lernplattform bereitstellen möchte, braucht jeder Schüler einen Account und diese Accounts kannst du immer noch gruppieren.
Du kannst ja einen nicht Managebaren in ein gesamtes VLAN hängen. Also z.B. alle APs vom ersten Stock zusammen auf einen Switch
Das ist Unsinn wenn er mit MSSIDs arbeitet und auch in jedem Falle zwingend tun sollte ! Dort kommen ja schon getaggte Frames an von den APs.Die Unmanaged könnte man als Klassenraum Switches nehmen wenn Kupferverkabelung gefordert ist. Was ja mit dem WLAN vermutlich vermieden werden soll.
Zu dem Thema ist das hier unbedingt lesenswert:
http://wlanpros2.project.ihelphosting.com/wp-content/uploads/2013/02/Wi ...
Hallo zusammen,
wir sollten auch ein paar andere Fragen vielleicht zuerst erörtern denn sonst raten wir hier im freien Fall.
- wie schnell ist den der sind denn die Internetanbindungen bzw. Zugänge?
- Wie viele WLAN APs sollten denn zusammen dort verbaut werden?
- Warum nicht auf dem MS 2008R Server auch eine LDAP und eine Radius Server Rollen installieren?
- Was ist denn das Budget für das gesamte unterfangen? (Also alle APs, Controller und Switche)
VLAN10 = alle PCs (Lehrer) - LDAP
VLAN20 = alle Drucker - LDAP
VLAN30 = alle PCs (Schüler) - LDAP
VLAN40 = alle Server - LDAP
VLAN50 = SSID Schüler 2,4GHz - Captive Portal mit Vouchers (Gruppe Schüler 6 Monate Zugang) 1 € pro Monat
VLAN60 = SSID Schüler 5,0GHz - Captive Portal mit Vouchers (Gruppe Schüler 6 Monate Zugang) 1 € pro Monat
VLAN70 = SSID Lehrer 2,4GHz - Radius Server mit Zertifikaten (Gruppe Lehrer mit 1 Jahr Zugang) kostenlos
VLAN80 = SSID Lehrer 5,0GHz - Radius Server mit Zertifikaten (Grupper Lehrer mit 1 Jahr Zugang) kostenlos
VLAN90 = SSID Gäste 2,4GHz - Captive Portal mit Voucher (Gruppe Gäste mit 24h Zugang) kostenlos
VLAN100 = SSID Gäste 5,0GHz - Captive Portal mit Voucher (Gruppe mit 24h Zugang) kostenlos
Und jeder hat sein eigenes VLAN und seine eigene SSID sowie eine andere Absicherung.
zusätzlich installieren? Oder gar einen Univention oder SME Server mit ins spiel bringen.
Wie schnell ist denn der gesamte Internetanschluss und wie viele Schüler benötigen denn nun genau WLAN?
- pfSense aus gebrauchten Teilen für kleines Geld!
(Firewall, Squid & SquidGuard, SARG, pfBlockerNG & DNSBL & TLD, Snort)
- Intel Xeon E3-1230v2 ~100 € auf Intel DQ77KB ~60 €
- Xeon E3 LAG 1155 Kühler & Paste ~45 €
- 16/32 GB RAM (kein ECC) ~ 200 € & 2 x SSD 128 GB ~100
- Gehäuse nach Wahl ohne Netzteil & Laptop Netzteil (92 Watt) ~80 €
- Ubiquiti UniFi UAP AC LITE ~77 € pro Stück
- Ubiquiti CloudKey ~80 €
- Cisco SG-200 PoE Switch Serie oder
- Zyxel GS1910 PoE Switch Serie
Gruß
Dobby
wir sollten auch ein paar andere Fragen vielleicht zuerst erörtern denn sonst raten wir hier im freien Fall.
- wie schnell ist den der sind denn die Internetanbindungen bzw. Zugänge?
- Wie viele WLAN APs sollten denn zusammen dort verbaut werden?
- Warum nicht auf dem MS 2008R Server auch eine LDAP und eine Radius Server Rollen installieren?
- Was ist denn das Budget für das gesamte unterfangen? (Also alle APs, Controller und Switche)
ich bin dabei, unsere Schule mit WLAN auszustatten. Das Schülernetz (192.168.8.x) wird von den Clients
(Fat Clienst, Thin Clients) Lehrern etc. gleichermaßen genutzt.
VLAN1 = alle Geräte zur Administration(Fat Clienst, Thin Clients) Lehrern etc. gleichermaßen genutzt.
VLAN10 = alle PCs (Lehrer) - LDAP
VLAN20 = alle Drucker - LDAP
VLAN30 = alle PCs (Schüler) - LDAP
VLAN40 = alle Server - LDAP
VLAN50 = SSID Schüler 2,4GHz - Captive Portal mit Vouchers (Gruppe Schüler 6 Monate Zugang) 1 € pro Monat
VLAN60 = SSID Schüler 5,0GHz - Captive Portal mit Vouchers (Gruppe Schüler 6 Monate Zugang) 1 € pro Monat
VLAN70 = SSID Lehrer 2,4GHz - Radius Server mit Zertifikaten (Gruppe Lehrer mit 1 Jahr Zugang) kostenlos
VLAN80 = SSID Lehrer 5,0GHz - Radius Server mit Zertifikaten (Grupper Lehrer mit 1 Jahr Zugang) kostenlos
VLAN90 = SSID Gäste 2,4GHz - Captive Portal mit Voucher (Gruppe Gäste mit 24h Zugang) kostenlos
VLAN100 = SSID Gäste 5,0GHz - Captive Portal mit Voucher (Gruppe mit 24h Zugang) kostenlos
Und jeder hat sein eigenes VLAN und seine eigene SSID sowie eine andere Absicherung.
Ein Server 2008r2 verrichtet hier die Hauptarbeit.
Warum dort nicht für alle Schüler und Lehrer ein Konto erstellen und dann die LDAP Server und Radius Server Rollezusätzlich installieren? Oder gar einen Univention oder SME Server mit ins spiel bringen.
Als Firewall haben wir eine Sophos UTM 9 auf der Hardware Version 120 laufen.
Was ist denn dort alles drauf installiert worden? (AddOns oder Plugins)Wie schnell ist denn der gesamte Internetanschluss und wie viele Schüler benötigen denn nun genau WLAN?
Meine Gedanken bzgl. WLAN ist nun folgender:
Gebäude mit Profi APs von Unifi z.B. AC Pro komplett bestücken. Damit wäre die Abdeckung gegeben.
Wie viele APs sind das denn nun genau und für wie viele Schüler genau?Gebäude mit Profi APs von Unifi z.B. AC Pro komplett bestücken. Damit wäre die Abdeckung gegeben.
- pfSense aus gebrauchten Teilen für kleines Geld!
(Firewall, Squid & SquidGuard, SARG, pfBlockerNG & DNSBL & TLD, Snort)
- Intel Xeon E3-1230v2 ~100 € auf Intel DQ77KB ~60 €
- Xeon E3 LAG 1155 Kühler & Paste ~45 €
- 16/32 GB RAM (kein ECC) ~ 200 € & 2 x SSD 128 GB ~100
- Gehäuse nach Wahl ohne Netzteil & Laptop Netzteil (92 Watt) ~80 €
- Ubiquiti UniFi UAP AC LITE ~77 € pro Stück
- Ubiquiti CloudKey ~80 €
- Cisco SG-200 PoE Switch Serie oder
- Zyxel GS1910 PoE Switch Serie
Gruß
Dobby
Zitat von @aqui:
Das ist Unsinn wenn er mit MSSIDs arbeitet und auch in jedem Falle zwingend tun sollte ! Dort kommen ja schon getaggte Frames an von den APs.
Das ist Unsinn wenn er mit MSSIDs arbeitet und auch in jedem Falle zwingend tun sollte ! Dort kommen ja schon getaggte Frames an von den APs.
Verdammt Ich habe nicht A(ccess)P(oint) sondern A(rbeits)P(latz) gemeint. Also Dinger in einem gemeinsamen VLAN ohne irgendwelche "FremdVLANs", also z.B. alle KlassenPCs in einem Stockwerk.
Zitat von @aqui:
Die Unmanaged könnte man als Klassenraum Switches nehmen wenn Kupferverkabelung gefordert ist. Was ja mit dem WLAN vermutlich vermieden werden soll.
Die Unmanaged könnte man als Klassenraum Switches nehmen wenn Kupferverkabelung gefordert ist. Was ja mit dem WLAN vermutlich vermieden werden soll.
Ich sehe das WLAN eher als Ergänzung. PCs in der Klasse, Lehrerzimmer, Lehrsäle etc auf Kabel und WLAN für Schüler, Lehrer und Gastgeräte, kurzfristig, als Ergänzung.