Local Internetbreakout für Gäste

Mitglied: edvmaedchenfueralles

edvmaedchenfueralles (Level 1) - Jetzt verbinden

26.08.2020 um 17:16 Uhr, 601 Aufrufe, 11 Kommentare

Hallo.
Ich möchte für unseren Standort für Gäste einen eigenen Internetanschluss zur Verfügung stellen, damit die Gäste nicht die Performance unserer Mainleitung beeinflussen.
Wie mach ich das am besten?
Einfach einen eigenen ADSL-Anschluss oder LTE-Router bestellen und das Modem und die Access-Points bzw. die relevanten LAN-Ports in ein eigenes VLAN rein?


Danke für eure Hilfe.
Euer Mäderl
Mitglied: SeaStorm
26.08.2020 um 18:16 Uhr
Hi

ja grundsätzlich genau das. Kommt natürlich drauf an was du sonst so als WLAN einsetzt. WLCs können normalerweise auch eine eigene SSID für die Gäste bereitstellen, auf einem eigenen VLAN oder getunnelt über den WLC ausbrechend. Und dann halt auf den neuen DSL-Router stecken und ja darauf achten das dieses Netz nirgends geroutet wird
Bitte warten ..
Mitglied: Lochkartenstanzer
26.08.2020, aktualisiert um 18:47 Uhr
Moin,

Die einfache Variante:

  • eigener Anschluß
  • getrennte Infrastruktur oder eigenes VLAN für die Gäste.

Die richtige Variante


lks
Bitte warten ..
Mitglied: erikro
26.08.2020 um 20:05 Uhr
Moin,

Deine Frage:

Zitat von edvmaedchenfueralles:
Wie mach ich das am besten?
Einfach einen eigenen ADSL-Anschluss oder LTE-Router bestellen und das Modem und die Access-Points bzw. die relevanten LAN-Ports in ein eigenes VLAN rein?

Und die Antwort:

Ich möchte für unseren Standort für Gäste einen eigenen Internetanschluss zur Verfügung stellen, damit die Gäste nicht die Performance unserer Mainleitung beeinflussen. (fett von mir)

Erreichst Du das Ziel mit einem VLAN? Nein. Erreichst Du das Ziel mit einem eigenen Anschluss? Ja. Also eigener Anschluss. Dann ein WLAN aufspannen, in dem sich die einzelnen Teilnehmer gegenseitig nicht sehen und fertig ist das Gäste-WLAN. Wenn Du größere Strecken überwinden musst also vernetzte Access Points brauchst, dann musst Du zum Erreichen des Ziels auch eigene Trassen dafür legen. Per VLAN die Leitungen des Betriebs mit zu nutzen, ist wieder mit Performanceverlust verbunden. Und komm bloß nicht auf die Idee, mit Repeatern zu arbeiten.

hth

Erik

Liebe Grüße

Erik
Bitte warten ..
Mitglied: forumuser
27.08.2020, aktualisiert um 11:18 Uhr
Hi,

schau Dir alternativ mal Freifunk an (https://freifunk.net/).
Deine eigene Leitung ist immer priorisiert, die maximale Bandbreite des Gastnetzes ist frei einstellbar.

LG.

Edit: Kosten pro Router bzw. AP sind ca. 30€ einmalig.
Bitte warten ..
Mitglied: tech-flare
27.08.2020 um 11:33 Uhr
Zitat von erikro:
Wenn Du größere Strecken überwinden musst also vernetzte Access Points brauchst, dann musst Du zum Erreichen des Ziels auch eigene Trassen dafür legen. Per VLAN die Leitungen des Betriebs mit zu nutzen, ist wieder mit Performanceverlust verbunden.
Was soll der Käse? Sowas frühstück man mit VLAN auf einer Leitung ab. Bestenfalls hat diese 10Gigabit. Ich glaube kaum, dass der Fragesteller seine Netzwerkleitung mit einem Gäste-VLAN komplett auslastet, wenn er einen ADSL Anschluss bucht. Selbst mit VDSL nicht !
Bitte warten ..
Mitglied: erikro
27.08.2020 um 14:39 Uhr
Moin,

Zitat von tech-flare:
Was soll der Käse?

Erstens ist das nicht der Ton, in dem ich angesprochen werden möchte, und zweitens ist meine Bemerkung vollkommen korrekt.

Sowas frühstück man mit VLAN auf einer Leitung ab. Bestenfalls hat diese 10Gigabit. Ich glaube kaum, dass der Fragesteller seine Netzwerkleitung mit einem Gäste-VLAN komplett auslastet, wenn er einen ADSL Anschluss bucht. Selbst mit VDSL nicht !

Aufgabenstellung war, ein Gäste-WLAN so einzurichten, dass es zu keinem Performanceverlust für die Mitarbeiter kommt. Woher weißt Du, dass im Netz des TO die Auslastung ohne Gäste nicht schon bei 80-90% liegt? Woher weißt Du, ob im Netz des TO nicht Echtzeitanwenungen laufen, die auf zugesicherte Bandbreiten angewiesen sind usw. usf. Wenn ich keine Verluste für meine Mitarbeiter haben will, muss ich Gäste mit eigenen Leitungen versorgen. Alles andere ist Käse.

Liebe Grüße

Erik
Bitte warten ..
Mitglied: tech-flare
27.08.2020, aktualisiert um 14:49 Uhr
Zitat von erikro:

Moin,

Zitat von tech-flare:
Was soll der Käse?

Erstens ist das nicht der Ton, in dem ich angesprochen werden möchte, und zweitens ist meine Bemerkung vollkommen korrekt.

Sowas frühstück man mit VLAN auf einer Leitung ab. Bestenfalls hat diese 10Gigabit. Ich glaube kaum, dass der Fragesteller seine Netzwerkleitung mit einem Gäste-VLAN komplett auslastet, wenn er einen ADSL Anschluss bucht. Selbst mit VDSL nicht !

Aufgabenstellung war, ein Gäste-WLAN so einzurichten, dass es zu keinem Performanceverlust für die Mitarbeiter kommt. Woher weißt Du, dass im Netz des TO die Auslastung ohne Gäste nicht schon bei 80-90% liegt? Woher weißt Du, ob im Netz des TO nicht Echtzeitanwenungen laufen, die auf zugesicherte Bandbreiten angewiesen sind usw. usf. Wenn ich keine Verluste für meine Mitarbeiter haben will, muss ich Gäste mit eigenen Leitungen versorgen. Alles andere ist Käse.

Liebe Grüße

Erik

Das mag schon richtig sein was du schreibst...., aber scheinbar kannst du die Frage nicht lesen. Er schreibt Mainleitung und bezieht sich auf den Internetanschluss.

Er schreibt nirgendwo eine Anforderung für das lokale Netzwerk
Bitte warten ..
Mitglied: erikro
27.08.2020 um 14:58 Uhr
Zitat von tech-flare:
Das mag schon richtig sein was du schreibst...., aber scheinbar kannst du die Frage nicht lesen. Er schreibt Mainleitung und bezieht sich auf den Internetanschluss.

Offenbar kannst Du das nicht richtig lesen. Wenn der Begriff in der IT überhaupt Sinn machen soll, dann als Bezeichnung für die lokale Backbone-Verkablung (Hauptleitung). Die Außenanbindung ist die Außenanbindung und nicht die Hauptleitung.
Bitte warten ..
Mitglied: monstermania
27.08.2020, aktualisiert um 16:43 Uhr
Zitat von erikro:
Aufgabenstellung war, ein Gäste-WLAN so einzurichten, dass es zu keinem Performanceverlust für die Mitarbeiter kommt. Woher weißt Du, dass im Netz des TO die Auslastung ohne Gäste nicht schon bei 80-90% liegt? Woher weißt Du, ob im Netz des TO nicht Echtzeitanwenungen laufen, die auf zugesicherte Bandbreiten angewiesen sind usw. usf. Wenn ich keine Verluste für meine Mitarbeiter haben will, muss ich Gäste mit eigenen Leitungen versorgen. Alles andere ist Käse.
Na ja, aber jetzt fangen wir aber an Erbsenzählerei zu betreiben. Dann bräuchte man neben eigenen Leitungen auch eigene WLAN-AP für das Gastnetz. Nehmen wir doch mal den (heutigen) Normalzustand an. Dann sind die AP per GBit angeschlossen. Selbst wenn Du jetzt gute AP hast, ist irgendwo bei ca. 1750 Mbit brutto Schluss. Selbst damit wirst Du eine 1 Gbit Anbindung aber nicht voll ausreizen, da die Netto Datenrate in der Praxis doch deutlich niedriger ist.
Und klar, wenn Du da jetzt noch ein Gäste-WLAN mit einer 1 SSID auf die AP packst, teilst du Deine verfügbare Bandbreite auf 2 Netze auf.

In der Praxis wird das Gastnetz zumeist über die die gleiche Internetanbindung wie die das Firmennetz geroutet. Die FW limitiert dann die Bandbreite des Gastzugangs (z.B. auf max 10% der verfügbaren Gesamtbandbreite). Und wer feste Bandbreiten für bestimmte Dienste benötigt, wird eh mit QoS Regeln auf der Firewall arbeiten und bestimmten Traffic gegenüber dem allgemeinen Internet-Traffic prioisieren.
War und ist zumindest in den Firmen so, in denen ich bisher gearbeitet habe...
Bitte warten ..
Mitglied: erikro
27.08.2020 um 20:31 Uhr
Moin,
Zitat von monstermania:

Zitat von erikro:
Aufgabenstellung war, ein Gäste-WLAN so einzurichten, dass es zu keinem Performanceverlust für die Mitarbeiter kommt. Woher weißt Du, dass im Netz des TO die Auslastung ohne Gäste nicht schon bei 80-90% liegt? Woher weißt Du, ob im Netz des TO nicht Echtzeitanwenungen laufen, die auf zugesicherte Bandbreiten angewiesen sind usw. usf. Wenn ich keine Verluste für meine Mitarbeiter haben will, muss ich Gäste mit eigenen Leitungen versorgen. Alles andere ist Käse.
Na ja, aber jetzt fangen wir aber an Erbsenzählerei zu betreiben. Dann bräuchte man neben eigenen Leitungen auch eigene WLAN-AP für das Gastnetz. Nehmen wir doch mal den (heutigen) Normalzustand an.

Was ist der Normalzustand? In einer Firma mit 5 Mitarbeitern ist die Fritte, hinter der ein ungetaggtes (da dreht sich dem alten Humanisten der Magen um ) (W)LAN betrieben wird. Firewall vielleicht noch aber eher nicht. Und für die Gäste hat man in der Fritte das Gäste-WLAN freigeschaltet. Alle Mitarbeiter dürfen alles. Wenn man Glück hat, dann hat der Chef einen zweiten Account mit Adminrechten. Wenn es ganz dumm läuft, dann guckt er Pornos mit Adminrechten (habe ich so in einer Firma dieser Größe erlebt auf der Suche nach der Quelle der Schadsoftware.)

In einer Firma mit 5.000 Mitarbeitern ist der Normalzustand: Mehrfach redundante Anbindung ans Internet, möglichst auch georedundant, falls mal wieder der Bagger kommt. Da nimmt man dann gerne eine Leitung von Colt, eine von EUNetworks ... drei, vier, fünf Gigabitleitungen. Da haben wir entsprechende Backbone-Verkablung ebenfalls mehrfach redundant, einen Sack voll VLANs, DMZ, ausdifferenziertes Rechtesystem ... In so einer Umgebung sind Ressourcen knapp. Nehmen wir mal an, Du hast auf der Backbone-Trasse 100Gig zur Verfügung, dann sind das statistisch gerade mal gute 20Mbit/MA. Hmmmmm. Da kommt dann schnell das Bedürfnis auf, die Gäste auf ein eigenes WLAN getrennt vom Rest zu schieben. Wie gesagt: Wir reden vom Normalzustand.

Dann sind die AP per GBit angeschlossen. Selbst wenn Du jetzt gute AP hast, ist irgendwo bei ca. 1750 Mbit brutto Schluss. Selbst damit wirst Du eine 1 Gbit Anbindung aber nicht voll ausreizen, da die Netto Datenrate in der Praxis doch deutlich niedriger ist.

Ist Dir da ein Komma verrutscht? 1750Mbit < 1Gbit?

Und klar, wenn Du da jetzt noch ein Gäste-WLAN mit einer 1 SSID auf die AP packst, teilst du Deine verfügbare Bandbreite auf 2 Netze auf.

Eben. Deshalb ja meine Bemerkung dazu, dass, wenn die Ressourcen für die MA knapp werden, es keinen Sinn macht, nur die Außenanbindung zu betrachten. Du sprachst ja vom "Normalzustand". Was tatsächlich normal ist, ist, dass der Datenverkehr in Firmen hauptsächlich intern geschieht und weniger extern. Buchhaltung, Controlling, Entwicklung, Geschäftsleitung usw. usf. speichern auf Servern, rufen Informationen aus der Firmendatenbank ab usw. Internet ist da eher der kleinere Teil. Das sind im Wesentlichen Emails beim Gros der User in einer Firma. IT und Marketing eher mehr. Aber der Rest ...

In der Praxis wird das Gastnetz zumeist über die die gleiche Internetanbindung wie die das Firmennetz geroutet. Die FW limitiert dann die Bandbreite des Gastzugangs (z.B. auf max 10% der verfügbaren Gesamtbandbreite).

Klar machen das viele so. Unbestritten. Der TO hat aber sicherlich seinen Grund, warum er das nicht so machen will. BTW: Es gibt noch einen weiteren Aspekt, warum man evtl. das Gästenetz komplett physisch vom Produktivnetz trennen will: Das ist die beste Firewall, wo gibt.

Liebe Grüße

Erik
Bitte warten ..
Mitglied: monstermania
28.08.2020, aktualisiert um 09:31 Uhr
Zitat von erikro:
Was ist der Normalzustand? In einer Firma mit 5 Mitarbeitern ist die Fritte, hinter der ein ungetaggtes (da dreht sich dem alten Humanisten der Magen um ) (W)LAN betrieben wird. Firewall vielleicht noch aber eher nicht. Und für die Gäste hat man in der Fritte das Gäste-WLAN freigeschaltet. Alle Mitarbeiter dürfen alles. Wenn man Glück hat, dann hat der Chef einen zweiten Account mit Adminrechten. Wenn es ganz dumm läuft, dann guckt er Pornos mit Adminrechten (habe ich so in einer Firma dieser Größe erlebt auf der Suche nach der Quelle der Schadsoftware.)
Das mag bei vielen KMU so sein. Genau so wie bei vielen Privathaushalten eben.
Es gibt aber auch Privathaushalte und KMU, die sich um Sicherheit Gedanken machen und eben eine richtige Firewall nutzen. Und ja, es gibt dann sogar noch welche, die sich um ein Regelwerk sorgen.

In einer Firma mit 5.000 Mitarbeitern ist der Normalzustand: Mehrfach redundante Anbindung ans Internet, möglichst auch georedundant, falls mal wieder der Bagger kommt. Da nimmt man dann gerne eine Leitung von Colt, eine von EUNetworks ... drei, vier, fünf Gigabitleitungen. Da haben wir entsprechende Backbone-Verkablung ebenfalls mehrfach redundant, einen Sack voll VLANs, DMZ, ausdifferenziertes Rechtesystem ... In so einer Umgebung sind Ressourcen knapp. Nehmen wir mal an, Du hast auf der Backbone-Trasse 100Gig zur Verfügung, dann sind das statistisch gerade mal gute 20Mbit/MA. Hmmmmm. Da kommt dann schnell das Bedürfnis auf, die Gäste auf ein eigenes WLAN getrennt vom Rest zu schieben. Wie gesagt: Wir reden vom Normalzustand.

100%ige Zutimmung. Unsere Company ist sogar noch etwas größer. Und trotzdem wird für das Gäste-WLAN keine dedizierte Infrastruktur oder ein extra Internetzugang genutzt. Mitarbeiter WLAN und Gäste-WAN läuft tatsächlich über die gleiche Infrastruktur/Netzzugang. Da muss ich doch mal bei den Netzwerkern nachhaken, was Sie sich dabei nur denken!
Ist Dir da ein Komma verrutscht? 1750Mbit < 1Gbit?
Nö, das eine ist halt Megabit das andere Gigabit. Nur, dass die WLAN Datenrate immer als Brutto-Datenrate angegeben wird. Wenn Du also einen AP mit 1750 MBit (=1,75Gbit) hast, ist das eben die Brutto-Angabe! Zeig mir mal im Echtbetrieb ein WLAN, dass es schafft die Brutto Datenrate des AP auch tatsächlich netto zu übertragen.
Hier mal ein Link zu den Netto-Datenraten diverser Standards: https://de.wikipedia.org/wiki/Datendurchsatz#:~:text=5%2C5%20Mbit%2Fs%20 ....

Und klar, wenn Du da jetzt noch ein Gäste-WLAN mit einer 1 SSID auf die AP packst, teilst du Deine verfügbare Bandbreite auf 2 Netze auf.

Eben. Deshalb ja meine Bemerkung dazu, dass, wenn die Ressourcen für die MA knapp werden, es keinen Sinn macht, nur die Außenanbindung zu betrachten. Du sprachst ja vom "Normalzustand". Was tatsächlich normal ist, ist, dass der Datenverkehr in Firmen hauptsächlich intern geschieht und weniger extern. Buchhaltung, Controlling, Entwicklung, Geschäftsleitung usw. usf. speichern auf Servern, rufen Informationen aus der Firmendatenbank ab usw. Internet ist da eher der kleinere Teil. Das sind im Wesentlichen Emails beim Gros der User in einer Firma. IT und Marketing eher mehr. Aber der Rest ...
Eben, wie viel Prozent der Mitarbeiter in der Firma arbeiten denn per WLAN-Anbindung!? Jedenfalls die Kollegen aus der Buchhaltung oder Entwicklung wohl am wenigsten. (Firmen)WLAN wird halt von den Mitarbeitern genutzt, wenn man nicht an seinem AP sitzt (z.B. Konferenz, Präsentation, usw.). Außer vielleicht in Hippen Startups, wo Jeder in der Lounge arbeitet...
Genau so verhält es sich mit dem Gäste-WLAN in einem normalem Unternehmen. Da hat man wenn es dann evtl. mal 200 Gäste gleichzeitig im WLAN. Macht auf die Gesamtzahl der Mitarbeiter bei uns nicht mal 5% aus... Und auch hier sind ja i.d.R. keine extremen Datensauger am Werk, sondern da werden dann Mails abgeufen oder es wird sich per VPN in das eigene Firmennetz eingewählt.
In der Praxis wird das Gastnetz zumeist über die die gleiche Internetanbindung wie die das Firmennetz geroutet. Die FW limitiert dann die Bandbreite des Gastzugangs (z.B. auf max 10% der verfügbaren Gesamtbandbreite).

Klar machen das viele so. Unbestritten. Der TO hat aber sicherlich seinen Grund, warum er das nicht so machen will. BTW: Es gibt noch einen weiteren Aspekt, warum man evtl. das Gästenetz komplett physisch vom Produktivnetz trennen will: Das ist die beste Firewall, wo gibt.

OK, da stimme ich Dir 100%ig zu. Ich weiß nicht, was der TO erreichen will/muss.
Kann natürlich sein, dass der TO deutlich mehr User im Gäste-WLAN hat, als in seinem eigentlichen Firmennetz und daher eine 100%ige Trennung von Firmen und Gäste-Infrastruktur plant.
Bitte warten ..
Heiß diskutierte Inhalte
TK-Netze & Geräte
Störung Fax2Mail bei NFON am 24.10.20? Kein Mailversand von NFON möglich?
gelöst StefanKittelFrageTK-Netze & Geräte26 Kommentare

Hallo, scheinbar gibt es eine Störung bei NFONs Fax2Mail am heutigen Tag 24.10.20. Man kann Faxe an schicken und ...

Router & Routing
VPN Performance durch Mikrotik erhöhen
JseidiFrageRouter & Routing17 Kommentare

Hallo zusammen, ich habe Stand heute zwei Standort die ich per Site-to-Site VPN über zwei Fritzboxen verbinde. Da hier ...

Voice over IP
Brother-Fax an Speedport Hybrid funktioniert nicht
gelöst kman123FrageVoice over IP16 Kommentare

Hallo liebes Forum, ich bin neu hier und hätte eine kleine Frage, da ich einfach nicht weiter komme. Sorry ...

Windows 10
RFID oder ähnlich Methode zur Sperrung W10pro bei Abwesenheit - Anmeldung nur über PW wieder ermöglichen
UweGriFrageWindows 1013 Kommentare

Hallo Admins, folgende Lösung wird gesucht: W10pro Anmeldung über Bitlocker Freischaltung und PW bei Anmeldung. Gesucht wird: RFID Chip ...

Windows Userverwaltung
Synology mit Azure Active Directory verbinden
roeggiFrageWindows Userverwaltung13 Kommentare

Ich suche eine Lösung mit der ich ein Synology NAS mit der Active Directory verbinden kann um die Benutzer ...

Ubuntu
Ubuntu 20.10 "Groovy Gorilla" mit GNOME 3.38 und Kernel 5.8 veröffentlicht
FrankInformationUbuntu11 Kommentare

Canonical hat Ubuntu 20.10 veröffentlicht. Die neue Version mit dem Codenamen "Groovy Gorilla" bekommt lediglich 9 Monaten Sicherheitsupdates, kritischen ...

Ähnliche Inhalte
Router & Routing

IP Adressen definieren (2 Standorte, OpenVPN, lokaler Internetbreakout)

raischFrageRouter & Routing6 Kommentare

Liebe Community, Da ich schon seit vielen Jahren etwas weiter von IP Adressen Konfigurationen weg bin, würde ich euch ...

Netzwerke

Gast WLAN einrichten

Hajo2006FrageNetzwerke25 Kommentare

Hallo, also ich bin gerzeit dabei nachforschungen anzustellen um ein Gast-WLAN zu realisieren. Da ich das bisher noch nie ...

Netzwerke

Hyper-V Gast Netzwerkverlust

gelöst Florian961988FrageNetzwerke8 Kommentare

Hallo ich habe einen Windows 2012 R2 Server mit installierter Hyper-V - Rolle, dort habe ich einen FileServer angelegt ...

Exchange Server

Exteneres autodiscover bei .local Domäne

akae11FrageExchange Server9 Kommentare

Hallo in die Runde, wir haben folgende Konfiguration: EX2010 Server mit lokalen Name: "ExchangeServer" unter Windows 2008 Server. die ...

Batch & Shell

Local user in local admin Gruppe auf allen SRV per Powershell script

inspiratioFrageBatch & Shell16 Kommentare

Hallo zusammen, ich versuche ein Skript auf die beine zu stellen, welches einen lokalen User mit PW erstellt, diesen ...

LAN, WAN, Wireless

WLAN Gast Zugang mit Registrierung

ahmedahmedFrageLAN, WAN, Wireless4 Kommentare

Hallo, ich möchte gerne ein WLAN Hotspot aufbauen. Dabei sollte es möglich sein, sich zu verbinden und registrieren. Nach ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT