16
Möglichkeiten eines Captive Portals und Netzsegmentierung
Moin,
Ich plane derzeit ein Netzwerk für mehrere Wohneinheiten. Jede Wohneinheit wird dabei grundsätzlich erstmal mit einer Zuleitung vom Core Switch versorgt. Am Core Switch lege ich ein eigenes VLAN und ein eigenes DHCP Netz an, Routing ins WAN soll erfolgen, wenn in einem Captive Portal die AGBs akzeptiert wurden bzw. eventuell wird auch ein Login mit Benutzerdaten am Captive Portal nötig sein. Ich sage gleich vorab das ich noch kein Captive Portal konfiguriert habe, ich werde mir hier ein Test-Setup bauen. Das gleiche gilt für pfSense, was ich hier erstmalig einsetzen möchte.
Die rechtlichen Aspekte möchte ich an dieser Stelle außen vor lassen, mir geht es um die technischen Möglichkeiten. Auch ist die Nutzung der Wohneinheiten in Art und Dauer sehr unterschiedlich.
Die Netze kommunizieren nicht untereinander. Der Core Switch und der Router sind komplett unter meiner Kontrolle, auch physisch. In der Wohneinheit muss (zumindest in einigen Fällen) ein Access Switch zum Einsatz kommen, über diesen habe ich keine physische Kontrolle und ich will auch in keiner Form einschränken, was dort angeschlossen wird. (Mit Ausnahme von Loops.)
Es ist noch nicht abschließend klar, ob auch ein WLAN bereit gestellt wird oder nur ein Kabelgebundenes Netz. Ein einheitliches WLAN wäre mir grundsätzlich lieber als viele kleine, autharke WLANs die sich überlagern. Für den Fall, das ein WLAN bereit gestellt wird, müssten Access Points sowohl in gemeinschaftlich genutzten Bereichen wie auch in den Wohneinheiten platziert werden können.
Wie eingangs schon erwähnt würde ich ein Test-Setup aufbauen, Zeit habe ich ausreichend. Bei zwei Überlegungen fehlt mir noch der richtige Denkansatz und scheinbar auch handfeste Suchbegriffe:
1) Must-have?
Bei einem einheitlichen WLAN mit einheitlicher SSID würde ich nicht in jedem Fall die Verbindung zwischen Access Point und Core Switch kontrollieren. Wie stelle ich sicher, das kein Man-in-the-Middle statt finden kann, in dem sich einfach jemand zwischen seinen Access Switch und den Access Point hängt, über den eventuell auch Pakete eines direkten Nachbarn laufen? Ich würde gar nicht so weit gehen, das ein fake WLAN erstellt wird oder der Access Point zurück gesetzt wird, das würde natürlich irgendwann auffallen. Ich will nur nicht, das der Traffic unbemerkt mitgesnifft werden kann. Oder sage ich hier einfach per AGB das der Traffic möglicherweise mitgelesen werden kann?
2) Nice-to-have
Ein WLAN-Teilnehmer darf keine anderen WLAN-Teilnehmer, und natürlich auch keine "anderen" LAN-Teilnehmer sehen. Ich könnte jeden Teilnehmer im WLAN isolieren. Natürlich bin ich auch ein bisschen Enthusiast. Daher wäre mir daran gelegen, das ein WLAN-Teilnehmer sein eigenes LAN sehen kann. Vermutlich wird das in der heutigen Zeit nicht mehr wirklich zum tragen kommen aber ich stelle mir ein Szenario vor in dem z.B. eine NAS mit Streaming-Service am Kabelgebundenen Netz der WE hängt und ein Client im allgemeinen WLAN, der diesen Dienst nutzen können soll. Könnte ein Captive Portal den Traffic eines eingeloggten Benutzers hier gezielt einem VLAN zuordnen?
Über das Projekt möchte ich mich gerne in Hard- und Software einarbeiten, die ich noch nicht genutzt habe. Daher peile ich derzeit ein Router-Board mit N100 für pfSense an, Mikrotik-Switches und Ruckus WLAN Access Points. Wenn ihr noch Empfehlungen oder Gedanken dazu habt, nehme ich die gerne. Aber erstmal muss mir natürlich klar werden, wie ich die Netze trenne und ob ich mit pfSense ein passendes Captive Portal umgesetzt bekomme.
Ich plane derzeit ein Netzwerk für mehrere Wohneinheiten. Jede Wohneinheit wird dabei grundsätzlich erstmal mit einer Zuleitung vom Core Switch versorgt. Am Core Switch lege ich ein eigenes VLAN und ein eigenes DHCP Netz an, Routing ins WAN soll erfolgen, wenn in einem Captive Portal die AGBs akzeptiert wurden bzw. eventuell wird auch ein Login mit Benutzerdaten am Captive Portal nötig sein. Ich sage gleich vorab das ich noch kein Captive Portal konfiguriert habe, ich werde mir hier ein Test-Setup bauen. Das gleiche gilt für pfSense, was ich hier erstmalig einsetzen möchte.
Die rechtlichen Aspekte möchte ich an dieser Stelle außen vor lassen, mir geht es um die technischen Möglichkeiten. Auch ist die Nutzung der Wohneinheiten in Art und Dauer sehr unterschiedlich.
Die Netze kommunizieren nicht untereinander. Der Core Switch und der Router sind komplett unter meiner Kontrolle, auch physisch. In der Wohneinheit muss (zumindest in einigen Fällen) ein Access Switch zum Einsatz kommen, über diesen habe ich keine physische Kontrolle und ich will auch in keiner Form einschränken, was dort angeschlossen wird. (Mit Ausnahme von Loops.)
Es ist noch nicht abschließend klar, ob auch ein WLAN bereit gestellt wird oder nur ein Kabelgebundenes Netz. Ein einheitliches WLAN wäre mir grundsätzlich lieber als viele kleine, autharke WLANs die sich überlagern. Für den Fall, das ein WLAN bereit gestellt wird, müssten Access Points sowohl in gemeinschaftlich genutzten Bereichen wie auch in den Wohneinheiten platziert werden können.
Wie eingangs schon erwähnt würde ich ein Test-Setup aufbauen, Zeit habe ich ausreichend. Bei zwei Überlegungen fehlt mir noch der richtige Denkansatz und scheinbar auch handfeste Suchbegriffe:
1) Must-have?
Bei einem einheitlichen WLAN mit einheitlicher SSID würde ich nicht in jedem Fall die Verbindung zwischen Access Point und Core Switch kontrollieren. Wie stelle ich sicher, das kein Man-in-the-Middle statt finden kann, in dem sich einfach jemand zwischen seinen Access Switch und den Access Point hängt, über den eventuell auch Pakete eines direkten Nachbarn laufen? Ich würde gar nicht so weit gehen, das ein fake WLAN erstellt wird oder der Access Point zurück gesetzt wird, das würde natürlich irgendwann auffallen. Ich will nur nicht, das der Traffic unbemerkt mitgesnifft werden kann. Oder sage ich hier einfach per AGB das der Traffic möglicherweise mitgelesen werden kann?
2) Nice-to-have
Ein WLAN-Teilnehmer darf keine anderen WLAN-Teilnehmer, und natürlich auch keine "anderen" LAN-Teilnehmer sehen. Ich könnte jeden Teilnehmer im WLAN isolieren. Natürlich bin ich auch ein bisschen Enthusiast. Daher wäre mir daran gelegen, das ein WLAN-Teilnehmer sein eigenes LAN sehen kann. Vermutlich wird das in der heutigen Zeit nicht mehr wirklich zum tragen kommen aber ich stelle mir ein Szenario vor in dem z.B. eine NAS mit Streaming-Service am Kabelgebundenen Netz der WE hängt und ein Client im allgemeinen WLAN, der diesen Dienst nutzen können soll. Könnte ein Captive Portal den Traffic eines eingeloggten Benutzers hier gezielt einem VLAN zuordnen?
Über das Projekt möchte ich mich gerne in Hard- und Software einarbeiten, die ich noch nicht genutzt habe. Daher peile ich derzeit ein Router-Board mit N100 für pfSense an, Mikrotik-Switches und Ruckus WLAN Access Points. Wenn ihr noch Empfehlungen oder Gedanken dazu habt, nehme ich die gerne. Aber erstmal muss mir natürlich klar werden, wie ich die Netze trenne und ob ich mit pfSense ein passendes Captive Portal umgesetzt bekomme.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 668656
Url: https://administrator.de/contentid/668656
Ausgedruckt am: 16.10.2024 um 08:10 Uhr
16 Kommentare
Neuester Kommentar
Hallo,
Captive Portal ist rein Netzabhängig. Art des Mediums - Ethernet, WLAN - ist ja egal. Du kannst also jede Wohneinheit zwingen über den Core Switch zu gehen. CP bei Verbindungen über den Access Switch ist nur ggf. etwas nervig. Ggf. also CP nur auf WLAN beschränken.
Zugang zum Access Switch wäre durch die abgeschlossenen Wohnungen eingeschränkt.
Unmanaged Switche können ja tagged und untagged verteilen. Du kannst also auch WLAN im gesonderten VLAN tagged über den unmanaged Switch zum AP bringen. AP so einstellen, dass der Traffic immer über den Core Switch gehen muss. Dann hättest du an diesser Stelle schonmal die Kontrolle.
WLAN VID zu LAN PVID (untagged) würde dann ebenfalls über das Gateway laufen. Somit hätte man für die 2 Netze pro Wohnung schonmal die Kontrolle. WLAN läuft wegen des tagged VLANs eh über das Gateway und der unmanged Switch aufgrund der Verkabelung ja auch.
RADIUS Server, LDAP sidn auch kein Hexenwerk. Nur wenn man im privaten Bereich über einen PSK hinausgeht ist meist der Fallstrick der Endanwender.
Die Ports am Core Switch müssen nur enstprechend konfiguriert sein. Durch die dediziete Zuweisung der VID zu einen Port kann man in der Nachbarwohnungen am Endgerät VLANs einstellen wie man will. Nur beim Match kommt man ins eigene Netz. VIDs der Nachbarn würde der Switch schon verwerfen. Das müsste doch eigentlich erstmal reichen. Wichtig ist nur die Ports einzeln zu konfigurieren. Keinesfalls VID von - bis oder sowas wie untagged-all wenn es der Switch kann. Behält man die Aufteilung bei, sollte dass das Risiko schon minimieren.
Das fällt mir spontan erstmal ein.
mfg Crusher
Captive Portal ist rein Netzabhängig. Art des Mediums - Ethernet, WLAN - ist ja egal. Du kannst also jede Wohneinheit zwingen über den Core Switch zu gehen. CP bei Verbindungen über den Access Switch ist nur ggf. etwas nervig. Ggf. also CP nur auf WLAN beschränken.
Zugang zum Access Switch wäre durch die abgeschlossenen Wohnungen eingeschränkt.
Unmanaged Switche können ja tagged und untagged verteilen. Du kannst also auch WLAN im gesonderten VLAN tagged über den unmanaged Switch zum AP bringen. AP so einstellen, dass der Traffic immer über den Core Switch gehen muss. Dann hättest du an diesser Stelle schonmal die Kontrolle.
WLAN VID zu LAN PVID (untagged) würde dann ebenfalls über das Gateway laufen. Somit hätte man für die 2 Netze pro Wohnung schonmal die Kontrolle. WLAN läuft wegen des tagged VLANs eh über das Gateway und der unmanged Switch aufgrund der Verkabelung ja auch.
RADIUS Server, LDAP sidn auch kein Hexenwerk. Nur wenn man im privaten Bereich über einen PSK hinausgeht ist meist der Fallstrick der Endanwender.
Die Ports am Core Switch müssen nur enstprechend konfiguriert sein. Durch die dediziete Zuweisung der VID zu einen Port kann man in der Nachbarwohnungen am Endgerät VLANs einstellen wie man will. Nur beim Match kommt man ins eigene Netz. VIDs der Nachbarn würde der Switch schon verwerfen. Das müsste doch eigentlich erstmal reichen. Wichtig ist nur die Ports einzeln zu konfigurieren. Keinesfalls VID von - bis oder sowas wie untagged-all wenn es der Switch kann. Behält man die Aufteilung bei, sollte dass das Risiko schon minimieren.
Das fällt mir spontan erstmal ein.
mfg Crusher
2
1.)
Das Stichwort lautet hier Port Security mit MAB oder Dot1x. Du sicherst die Accesspoint Ports am Switch damit ab so das keiner diese Ports die ggf. frei zugänglich sind missbrauchen kann. Alles was an fremder Hardware dort angesteckt wird wird geblockt.
Kollege @Crusher79 hat oben schon alles Wesentliche gesagt. Es gibt entsprechende Core Switch Hardware die einen Radius Server gleich an Bord hat. Alternativ nutzt du deine geplante pfSense auch sinnvoll als zentralen Radius Server. Details auch hier in den weiterführenden Links.
2.)
Im LAN und auch im WLAN ist das kein Thema. Bei deinem Core Switch musst du dann lediglich zwingend darauf achten das dieser das Feature Private VLANs oder Isolated VLANs supportet! In diesen PVLANs ist eine any zu any Kommunikation im Layer 2 technisch nicht möglich. Die meisten der etwas besseren Switches supporten sowas heute problemlos.
Im WLAN nennt sich das ebenfalls "Client Isolation" oder auch isolated WLAN. Das ist in einem WLAN durchgehend Standard und jeder AP oder auch jede Controller Lösung supportet das. Auch dies unterbindet eine L2 Kommunikation der WiFi Clients untereinander.
Ein grober Überblick um jetzt nicht alle Optionen im Detail aufzuzählen. Wie bereits gesagt ist das völlig davon abhängig welchen Weg du bei deiner angedachten WLAN Lösung letztlich gehen willst oder musst.
Die einfache Einrichtung des Captive Portals auf der pfSense beschreibt das dazugehörige Tutorial mit zusätzlichen Tips in den weiterführenden Links.
Das Stichwort lautet hier Port Security mit MAB oder Dot1x. Du sicherst die Accesspoint Ports am Switch damit ab so das keiner diese Ports die ggf. frei zugänglich sind missbrauchen kann. Alles was an fremder Hardware dort angesteckt wird wird geblockt.
Kollege @Crusher79 hat oben schon alles Wesentliche gesagt. Es gibt entsprechende Core Switch Hardware die einen Radius Server gleich an Bord hat. Alternativ nutzt du deine geplante pfSense auch sinnvoll als zentralen Radius Server. Details auch hier in den weiterführenden Links.
2.)
Im LAN und auch im WLAN ist das kein Thema. Bei deinem Core Switch musst du dann lediglich zwingend darauf achten das dieser das Feature Private VLANs oder Isolated VLANs supportet! In diesen PVLANs ist eine any zu any Kommunikation im Layer 2 technisch nicht möglich. Die meisten der etwas besseren Switches supporten sowas heute problemlos.
Im WLAN nennt sich das ebenfalls "Client Isolation" oder auch isolated WLAN. Das ist in einem WLAN durchgehend Standard und jeder AP oder auch jede Controller Lösung supportet das. Auch dies unterbindet eine L2 Kommunikation der WiFi Clients untereinander.
das ein WLAN-Teilnehmer sein eigenes LAN sehen kann
Das kommt natürlich ganz darauf an WIE deine finale WLAN Lösung aussehen wird!- Wenn du keine zentrale von dir gemanagte WLAN Lösung bereitstellen wird ist diese ganze Thematik eh obsolet. Dann stellen sich die User ihren eigenen AP mit eigenem WLAN hin und werden damit glücklich.
- Bei einer zentralen Lösung kommt es drauf an. Hier hast du 2 Optionen: MSSID Lösung, sprich pro Nutzer ein isoliertes MSSID WLAN oder eine dynamische Lösung die Nutzern entsprechend ihrer Endgeräte ihr Nutzer VLAN zuweist. Bei letzterem kommt dann wieder Radius ins Spiel
- MSSID Lösungen skalieren sehr wenig wenn die Zahl der aufgespannten WiFi Netze steigt. Einfach Consumer APs supporten meist nicht mehr als 4 MSSIDs und sind auch damit schon oft überfordert. Hast du also mehr als 4 Wohneinheiten und willst auch noch ein gemeinsames Gast WLAN zur Verfügung stellen kommst du schnell an technische Grenzen. Je nachdem welche Ansprüche man an die allgemeine WLAN Performance stellt und abhängig von der AP Hardware treten solche negativen Effekte schon bei 3 oder 4 MSSIDs auf. Grund ist das pro MSSID die kompletten Controlframes eines WLANs ausgestrahlt werden. Bei 5 MSSIDs hast du also 5mal das komplette Controlframe Management eines WLANs. Da Funk ein shared Medium ist knappst dir das dann 5mal Bandbreite vom Medium ab. Du siehst das dann immer und immer weniger "Airtime" für den eigentlichen Produktivtraffic bleibt. Sowas skaliert also nicht und "lahmt" dann sehr schnell so das Nutzer dann oftmal selber gefrustet zu einer eigenen Hardware greifen was das Problem dann mit einem Funkkanal Wildwuchs, Hidden Node Problematiken und und und exponentiell weiter verschärft. WiFi Alltag heutzutage in eng bewohnten Mietshäusern wenn man sich da die Funksituation einmal mit einem WiFi Scanner ansieht.
- Eine dynamische Lösung kommt aber meist immer mit der Verwaltung der Endgeräte einher oder du musst Hersteller spezifische Lösungen wie Dynamic Preshared Keys usw. nutzen die das Management entsprechend minimieren. Das ist das eine Hardware Frage.
Ein grober Überblick um jetzt nicht alle Optionen im Detail aufzuzählen. Wie bereits gesagt ist das völlig davon abhängig welchen Weg du bei deiner angedachten WLAN Lösung letztlich gehen willst oder musst.
Die einfache Einrichtung des Captive Portals auf der pfSense beschreibt das dazugehörige Tutorial mit zusätzlichen Tips in den weiterführenden Links.
2
Okay erstmal riesen Dank für beide Beiträge.
Bei @Crusher79 war ich mir in der zweiten Hälfte nicht ganz sicher, ob wir das selbe meinen. Liegt auch daran das ich noch keine RADIUS Erfahrung habe, was ich offensichtlich mal nachholen sollte. @aqui kann ich erstmal folgen, denke ich.
Es ist mein Ziel, WLAN Wildwuchs zu verhindern und das elegant zu lösen. Ich gehe also jetzt mal davon aus, das ich die Chance bekomme, das WLAN selbst zu beitreiben. Viele SSIDs ist natürlich genau das, was ich damit verhindern will. Wir wären also logischer Weise an diesem Punkt:
Um das auch umzusetzen müsste ich meine Hardware dementsprechend auswählen. RADIUS würde ich bevorzugt unter pfSense betreiben wollen. Die Lösung müsste so dynamisch sein das
a) unbekannte Geräte jederzeit in das Netzwerk aufgenommen werden und, isoliert von allen anderen Geräten, über das Captive Protal ins WAN geführt werden und
b) mir bekannte Geräte manuell in den RADIUS eingepflegt werden können um eine interne Kommunikation zu ermöglichen.
Der Access Point muss ganz offensichtlich MAB unterstützen. Der Traffic kann aus meiner Sicht komplett über den Router laufen, ich rechne hier nicht mit viel interner Kommunikation. Müsste dann ein Core oder ein Access Switch auch "MAB-fähig" sein?
Hättet ihr bei den Access Points konkrete Empfehlungen?
Weil ich nach Crushers Post schon angefangen hatte, hier mal eine schnelle Skizze:
Bei @Crusher79 war ich mir in der zweiten Hälfte nicht ganz sicher, ob wir das selbe meinen. Liegt auch daran das ich noch keine RADIUS Erfahrung habe, was ich offensichtlich mal nachholen sollte. @aqui kann ich erstmal folgen, denke ich.
Es ist mein Ziel, WLAN Wildwuchs zu verhindern und das elegant zu lösen. Ich gehe also jetzt mal davon aus, das ich die Chance bekomme, das WLAN selbst zu beitreiben. Viele SSIDs ist natürlich genau das, was ich damit verhindern will. Wir wären also logischer Weise an diesem Punkt:
oder eine dynamische Lösung die Nutzern entsprechend ihrer Endgeräte ihr Nutzer VLAN zuweist. Bei letzterem kommt dann wieder Radius ins Spiel
Um das auch umzusetzen müsste ich meine Hardware dementsprechend auswählen. RADIUS würde ich bevorzugt unter pfSense betreiben wollen. Die Lösung müsste so dynamisch sein das
a) unbekannte Geräte jederzeit in das Netzwerk aufgenommen werden und, isoliert von allen anderen Geräten, über das Captive Protal ins WAN geführt werden und
b) mir bekannte Geräte manuell in den RADIUS eingepflegt werden können um eine interne Kommunikation zu ermöglichen.
Der Access Point muss ganz offensichtlich MAB unterstützen. Der Traffic kann aus meiner Sicht komplett über den Router laufen, ich rechne hier nicht mit viel interner Kommunikation. Müsste dann ein Core oder ein Access Switch auch "MAB-fähig" sein?
Hättet ihr bei den Access Points konkrete Empfehlungen?
Weil ich nach Crushers Post schon angefangen hatte, hier mal eine schnelle Skizze:
1Liegt auch daran das ich noch keine RADIUS Erfahrung habe
Das kann man ja sehr schnell ändern. 
Dafür reicht ein 15€ RaspberryPi Zero2W Freeradius Management mit WebGUI
Oder wenn du irgendwo noch einen 20€ Mikrotik (hAP Lite etc.) in der Bastelschublade hast auch der.
Die pfSense Integration findest du HIER. Fairerweise muss man dazusagen das auch OPNsense ein FreeRadius Package hat.
a.)
Das ist problemlos möglich in dem man dem Radius ein Gummizellen VLAN angibt in das er alle unbekannten Endgeräte verfrachtet statt zu blocken. (Siehe DEFAULT Parameter im o.a. Tutorial) Diese Funktion bieten auch einige Switches. Nennt sich Flexible Authentication dort. Idealerweise werkelt in dem VLAN dann ein Captive Portal.
Müsste dann ein Core oder ein Access Switch auch "MAB-fähig" sein?
Ja, das müsste zu mindestens der Switch immer zwingend sein an dem du APs anschliesst die an öffentlich zugänglichen Ports hängen! Wenn du das o.a. Konzept umsetzen willst das die Accesspoints sich an den Switchports authentisieren brauchst du das doch?! Wie willst du es sonst absichern? 🤔 Wenn du das nicht machst bleiben diese Ports offen und jeder der da seinen Laptop ansteckt wäre direkt im Management VLAN was du sicher ja nicht willst.Einige Switches supporten sowas auch über statische Mac Einträge an den Ports. Das ist so ein bisschen Port Security des kleinen Mannes. Hat aber den Nachteil das du sowas nicht zentral pflegen kannst sondern pro Switch jeden Port einzeln anfassen musst.
Einigermaßen aktuelle APs supporten heute auch eine 802.1x Client Funktion wie hier gezeigt. Dort könnte man das etwas unsichere MAB (Macs lassen sich klonen) durch das sichere .1x ersetzen was eine statische Port Security ebenfalls nicht leistet.
Ohne dein WiFi Budget zu kennen ist eine HW Empfehlung sehr schwer, weisst du ja durch solche zahllosen Killerfragen hier auch. AP Preise gehen von 25€ bis fast 1000€ je nach Anforderung und welche Leistungsfähigkeit und vor allem Verfügbarkeit (NBD usw.) man erwartet.
1Zitat von @aqui:
Dafür reicht ein 15€ RaspberryPi Zero2W
Freeradius Management mit WebGUI
Oder wenn du irgendwo noch einen 20€ Mikrotik (hAP Lite etc.) in der Bastelschublade hast auch der.
Die pfSense Integration findest du HIER. Fairerweise muss man dazusagen das auch OPNsense ein FreeRadius Package hat.
Ist eine der Lösungen in irgendeiner Weise überlegen? Ich würde ungern noch mit einem Raspi das basteln anfangen, das soll alles auf den Router. Ob der jetzt 100, 200 oder 300 Euro kostet spielt glaube ich keine Rolle bei einem großen Gebäude Liegt auch daran das ich noch keine RADIUS Erfahrung habe
Das kann man ja sehr schnell ändern. Dafür reicht ein 15€ RaspberryPi Zero2W Freeradius Management mit WebGUI
Oder wenn du irgendwo noch einen 20€ Mikrotik (hAP Lite etc.) in der Bastelschublade hast auch der.
Die pfSense Integration findest du HIER. Fairerweise muss man dazusagen das auch OPNsense ein FreeRadius Package hat.
a.)
Das ist problemlos möglich in dem man dem Radius ein Gummizellen VLAN angibt in das er alle unbekannten Endgeräte verfrachtet statt zu blocken. (Siehe DEFAULT Parameter im o.a. Tutorial) Diese Funktion bieten auch einige Switches. Nennt sich Flexible Authentication dort. Idealerweise werkelt in dem VLAN dann ein Captive Portal.
Klingt gut.Das ist problemlos möglich in dem man dem Radius ein Gummizellen VLAN angibt in das er alle unbekannten Endgeräte verfrachtet statt zu blocken. (Siehe DEFAULT Parameter im o.a. Tutorial) Diese Funktion bieten auch einige Switches. Nennt sich Flexible Authentication dort. Idealerweise werkelt in dem VLAN dann ein Captive Portal.
Müsste dann ein Core oder ein Access Switch auch "MAB-fähig" sein?
Ja, das müsste zu mindestens der Switch immer zwingend sein an dem du APs anschliesst die an öffentlich zugänglichen Ports hängen! Wenn du das o.a. Konzept umsetzen willst das die Accesspoints sich an den Switchports authentisieren brauchst du das doch?! Wie willst du es sonst absichern? 🤔 Wenn du das nicht machst bleiben diese Ports offen und jeder der da seinen Laptop ansteckt wäre direkt im Management VLAN was du sicher ja nicht willst. Es könnte ja auch sein das der Traffic erst am Router authentifiziert wird aber dann müsste die Kommunikation zwischen Router und AP verschlüsselt sein.Einige Switches supporten sowas auch über statische Mac Einträge an den Ports. Das ist so ein bisschen Port Security des kleinen Mannes. Hat aber den Nachteil das du sowas nicht zentral pflegen kannst sondern pro Switch jeden Port einzeln anfassen musst.
Zentrale Konfiguration und Nutzung offener, nicht Hersteller spezifischer Standards ist ganz klar mein Ziel. Daher Router-on-a-Stick, daher lieber mehr für Hardware ausgeben und 802.1x an allen relevanten Stellen als eine Kompromisslösung.Ich könnte mir auch noch vorstellen, die APs, auch die in den Wohnungen, über eine gesonderte Leitung an den Core Switch zu hängen. Das wäre vermutlich deutlich entspannter. Der ganze Access Switch kann dann (vermutlich) gleich behandelt / authentifiziert werden. Ich denke, das wird deutlich einfacher für mich und am Ende günstiger.
Ohne dein WiFi Budget zu kennen ist eine HW Empfehlung sehr schwer, weisst du ja durch solche zahllosen Killerfragen hier auch. AP Preise gehen von 25€ bis fast 1000€ je nach Anforderung und welche Leistungsfähigkeit und vor allem Verfügbarkeit (NBD usw.) man erwartet.
Erstmal zum Budget: Also ich hatte neulich mein erstes Telefonat mit dem Bauträger in der Sache. Das schöne ist, es gibt eine Stahlbetonwand ausgerechnet zwischen den beiden kleinsten Wohneinheiten. Sowas, was man vielleicht auch < 1 Monat vermietet. Wer auch immer da wohnt hat ein Ein-Raum-Appartment und schläft da und guckt Netflix - fertig. Wenn ich das mit einem AP abdecken wollen würde käme ich nicht um diese Wand herum, ich bin noch nicht sicher ob das mit einem AP geht. Die Lösung des Bauträgers für sowas? Egal, was wir machen (WLAN ausleuchten, Anordnung der Access Points in irgendeiner Weise optimieren) ist am Ende vermutlich immer teurer, als einfach mehr Access Points aufhängen. Und in gewisser Weise hat er recht, es ist, wie es ist und am Ende erschlagen wir das Problem halt mit mehr Hardware.
Wer da am Ende wohnt, ist noch nicht sicher. In einigen Fällen vielleicht auch mal die Familie des Bauherrn. Das Gebäude ist zentral gelegen und wird relativ hochwertig ausgestattet, teilweise auch möbliert vermietet. Ich bin zwar immer an günstigen Lösungen interessiert aber am Ende kostet es, was es kosten muss - Geiz ist nicht geil. Wenn das WLAN dem Bauherrn dann zu teuer wird, gibt es halt nur ein Kabelgebundenes LAN. Ich möchte mir aber auch nicht die Möglichkeit zum Nachrüsten verbauen in dem ich bei den Switches irgendwo 50 Euro spare.
Als Access Point möchte ich unbedingt Ruckus ausprobieren um das später auch im Unternehmen einzusetzen (Ubiquiti ist nicht mehr mein Freund). Ich bin mit Ruckus aber nicht vertraut und bei den Händlern in DE sind die jetzt auch nicht sonderlich präsent. Man muss schon wissen, was man sucht - eventuell ist ein R350 ein gutes Modell für das Projekt?
Sry noch eine Grundsatzfrage:
Wenn ich einen Core Switch mit 802.1x habe und an diesem einen Access Switch anschließe der kein! 802.1x unterstützt, kann ich dann im RADIUS Server den Access Switch (und damit seinen gesamten Traffic) authentifizieren? Also kann der Access Switch ein einheitlicher "RADIUS Benutzer" sein?
Wenn ich einen Core Switch mit 802.1x habe und an diesem einen Access Switch anschließe der kein! 802.1x unterstützt, kann ich dann im RADIUS Server den Access Switch (und damit seinen gesamten Traffic) authentifizieren? Also kann der Access Switch ein einheitlicher "RADIUS Benutzer" sein?
Ist eine der Lösungen in irgendeiner Weise überlegen?
Nein, werkelt ja überall Freeradius im Backend! Es könnte ja auch sein das der Traffic erst am Router authentifiziert wird
Bei MAB und Dot1x ist das bekanntlich technisch nicht möglich! Das geht nur Port bezogen da "Port Security" wie der Name schon selber sagt. Du redest dann hier vermutlich von der Webauthentisierung im CP VLAN oder wie ist das zu verstehen?! 🤔aber dann müsste die Kommunikation zwischen Router und AP verschlüsselt sein.
Es gibt Controller Konzepte wo früher mal der AP Traffic per CapWap zentral auf den Controller getunnelt wurde (Beispiel). CapsMan bei Mikrotik kann das auch noch. Sowas ist aber tiefe WiFi Steinzeit im Zeitalter von Gig Geschwindigkeiten am AP. Das sowas eine absolute Skalierungssackgasse ist liegt auf der Hand. Es sei denn du hast keine Scheu vor Controllern die 40/100G Interfaces haben mit der dazu passenden Switch Infrastruktur. Normal ein NoGo und man setzt immer auf Local Termination bzw. Local Breakout am AP.Die APs über separate Leitungen anzubinden macht ggf. Sinn, denn in der Regel liegen deren Montagepunkte niemals auf Teppichleisten Höhe sondern eher irgendwo in Deckenhöhe an der Wand oder der Decke selber. Das sollte man bei der Verkabelung auf alle Fälle berücksichtigen. Port Security ist da aber dennoch ein Muss, denn manche haben viel Zeit um viel Blödsinn zu machen.
Die Ausleuchtung musst du vorab testweise mal prüfen was da noch um die Wand rumkommt. Könnte reichen muss aber nicht. Bauliche Gegebenheiten sind immer individuell und die Wege der HF sind unergründbar.
Wenn du das vorab nicht kannst ist es besser da auch prophylaktisch ein Kabel gleich mitzuverlegen just in case. Im Endeffekt deutlich preiswerter als es nachträglich machen zu müssen wie du auch schon selber sagst.
Mit den Ruckus Teilen machst du nichts falsch und ist eine gute Wahl. Deren aktive Beamflex Technik liefert eine deutlich bessere Client Ausleuchtung als Standard APs. Zudem haben sie über die Unleashed Firmware eine zentrale Controllerfunktion fürs WLAN Management gleich onboard im AP. Erspart dir also die Frickelei und Energieverbrauch mit einem extra Gerät.
Mit dem 350er (nicht das 350e Modell, der kann kein Beamflex!) machst du nichts falsch. Ein kleiner und in einer Wohnung unauffälliger AP und dennoch sehr leistungsfähig. Bei WiFi7 (6 GHz Band) musst du mindestens auf den 560er gehen.
Um etwas Look and Feel für dich selbst zu bekommen kannst du versuchen preiswerte refurbished Vorgängermodelle zu bekommen wie R310 oder R320. Mit denen könnte man auch mal Ausleuchtungsversuche machen um etwas Gefühl für die Ausbreitung und Beamflex Funktion zu bekommen.
Grundsatzfrage:
einen Access Switch anschließe der kein! 802.1x unterstützt, kann ich dann im RADIUS Server den Access Switch (und damit seinen gesamten Traffic) authentifizieren?
Ja, das geht natürlich auch. Allerdings trennt sich da dann ganz schnell die Spreu vom Weizen was die Port Security Funktionen auf dem Core Switch anbetrifft. Hier solltest du also sehr genau ins Datenblatt sehen VOR dem Kauf!Da der angeschlossene Switch ohne Port Security selber nichts authentisieren kann muss du das dann auf dem Anschlussport am Core machen wo der ganze L2 Traffic dann aufläuft.
Hier gibt es je nach Ausstattung mehrere Optionen:
- Der zuerst eingegangene Traffic öffnet den Port und alles andere rauscht danach mit durch. Das kann dann z.B. ein Management Frame des Access Switches sein. Diese Funktion ist oftmals das Einfachste was fast alle können
- Eine sog. Multihost Funktion (Feature) an so einem Port bewirkt das jeder Host sich einzeln authentisieren muss. Damit kann man dann auch alle Clients die von dem besagten Access Switch kommen einzeln authentisieren. Das geht bei vielen Herstellern auch mit dynamischen VLANs so das jeder Mac oder .1x Client an dem Port in ein spzifisches VLAN kommt. Man hat also quasi ein Mac based VLAN.
- Solche Switches supporten auch eine Kombination von MAB und .1x Authentisierung (MultiAuth) in jeglicher Reihenfolge und Fallback oder Gast Profile was mit nicht authentisierten Clients passieren soll oder mit Clients wenn der Radius einmal nicht erreichbar ist.
Solche WLAN Authentisierung (WPA-EAP oder WPA-Enterprise) macht ja immer der AP, da ist der Switch selber nicht involviert.
Diese Fragerunde und die bisherige Diskussion finde ich aus fachlich-sachlicher Sicht äußerst spannend. Aber ich gebe bei all diesen Aspekten eine ganz einfache UNtechnische Überlegung zu bedenken:
Ich weiß nicht, welche Klientel diese Wohneinheiten bevölkern wird, aber vergiß bei all den Planungen als Plausibilitätscheck / Gegenprüfung nicht, Dich immer wieder in die Situation des Klienten zu versetzen und Dein Projekt aus seiner Sicht zu betrachten. Würdest DU, wenn DU der Klient wärst, DICH von einem anderen "gängeln" lassen wollen? Wann wird die Schwelle zur Gängelei überschritten?
So würde ICH es als Klient befremdlich finden, wenn mir ein WLAN-Zugang bereitgestellt wird, der mich im Zugang zu meinen LAN-Geräten behindert oder ich den fremden "Administrator" "betteln" müsste, meine Geräte in seinem "Kontroll- und Überwachungsregime" zu registrieren. Wärst DU zu dieser Registrierung beispielsweise in der Nacht um Eins auf Zuruf bereit? Eher nicht, schon gar nicht 24/7! Und bereits das könnte entsprechende unerwünschte Ausweichverhalten provozieren.
Einer meiner ersten Gedanken wäre: Was kostet schon ein billiger China-AP und ich bin diesen "Administrator" ein Stück weit los.
Es wurde bereits hervorgehoben: Die wenigsten Klienten werden unsere Technikbegeisterung teilen wollen, sondern es soll einfach und problemfrei sein.
Deswegen erschiene es mir überlegenswert, das Kontroll- und Regulierungsbedürfnis quasi an der LAN-Dose in der jeweilige Wohneinheit enden zu lassen. Als zentrales WLAN nur ein Gastnetz.
Insoweit würde ich bei aller Technikverliebtheit immer den Ball flachhalten wollen - so als übergreifende Maxime für ein entspanntes (Administrator-)Leben.
Viele Grüße
HansDampf06
PS1:
Was ich als potentieller Klient als viel wichtiger ansehen würde, ist, dass in der von mir genutzten Wohneinheit bereits ausreichen LAN-Kabel in jeden Raum verlegt sind und diese an einem zentralen Punkt zusammenlaufen. Dieser Punkt sollte nicht nur ein schmalbrüstiger Elektrokasten sein, in den lediglich das Glasfasermodem und die Patchleiste passen.
PS2:
Auch wenn es tendentiell die vertragliche / rechtliche Seite berührt. Wer kommt für die Kosten der Internet-/Netzwerknutzung auf und sollen die Kosten auf die Wohneinheiten umgelegt werden (nach welchem Maßstab)? Hierüber müsstest Du Dir ebenfalls den technischen Kopf zerbrechen.
Ich weiß nicht, welche Klientel diese Wohneinheiten bevölkern wird, aber vergiß bei all den Planungen als Plausibilitätscheck / Gegenprüfung nicht, Dich immer wieder in die Situation des Klienten zu versetzen und Dein Projekt aus seiner Sicht zu betrachten. Würdest DU, wenn DU der Klient wärst, DICH von einem anderen "gängeln" lassen wollen? Wann wird die Schwelle zur Gängelei überschritten?
So würde ICH es als Klient befremdlich finden, wenn mir ein WLAN-Zugang bereitgestellt wird, der mich im Zugang zu meinen LAN-Geräten behindert oder ich den fremden "Administrator" "betteln" müsste, meine Geräte in seinem "Kontroll- und Überwachungsregime" zu registrieren. Wärst DU zu dieser Registrierung beispielsweise in der Nacht um Eins auf Zuruf bereit? Eher nicht, schon gar nicht 24/7! Und bereits das könnte entsprechende unerwünschte Ausweichverhalten provozieren.
Einer meiner ersten Gedanken wäre: Was kostet schon ein billiger China-AP und ich bin diesen "Administrator" ein Stück weit los.
Es wurde bereits hervorgehoben: Die wenigsten Klienten werden unsere Technikbegeisterung teilen wollen, sondern es soll einfach und problemfrei sein.
Deswegen erschiene es mir überlegenswert, das Kontroll- und Regulierungsbedürfnis quasi an der LAN-Dose in der jeweilige Wohneinheit enden zu lassen. Als zentrales WLAN nur ein Gastnetz.
Insoweit würde ich bei aller Technikverliebtheit immer den Ball flachhalten wollen - so als übergreifende Maxime für ein entspanntes (Administrator-)Leben.
Viele Grüße
HansDampf06
PS1:
Was ich als potentieller Klient als viel wichtiger ansehen würde, ist, dass in der von mir genutzten Wohneinheit bereits ausreichen LAN-Kabel in jeden Raum verlegt sind und diese an einem zentralen Punkt zusammenlaufen. Dieser Punkt sollte nicht nur ein schmalbrüstiger Elektrokasten sein, in den lediglich das Glasfasermodem und die Patchleiste passen.
PS2:
Auch wenn es tendentiell die vertragliche / rechtliche Seite berührt. Wer kommt für die Kosten der Internet-/Netzwerknutzung auf und sollen die Kosten auf die Wohneinheiten umgelegt werden (nach welchem Maßstab)? Hierüber müsstest Du Dir ebenfalls den technischen Kopf zerbrechen.
Okay ich halte mal fest:
Switch
- Ich werde auf jeden Fall ein zusätzliches Kupferkabel vom Core Switch (PoE) in jede WE ziehen lassen um immer die Option auf einen separat angeschlossenen AP zu haben. Das Kabel wird in der Unterverteilung raus kommen, ich glaube nicht, das man mich die Dinger an die Decke hängen lässt aber mal sehen Das kläre ich noch.
- Ich werde den Core Switch mit Port Security ausstatten, das muss sowieso sein. Jeder kann sich ja auch direkt da dran hängen über die Zuleitung in seiner WE.
- Der Core Switch macht dann 802.1x und authentifiziert alles, was in der WE kabelgebunden da dran hängt, auf gleiche Weise. Ein eventuell vorhandener Access Switch muss dann kein besonderes Feature haben, keine Port Security, kein IEEE 802.1x, kein PoE.
- Leider kann ich i.S. Core Switch noch kein genaues Modell bestimmen weil noch nicht ganz klar ist ob die Verkabelung zur WE nur über Kupfer oder auch über Glasfaser laufen kann bzw. in zwei Fällen sogar muss.
Noch eine Frage zum Access Switch:
APs
- Ich werde die APs erstmal nach Grundriss und nach Mutmaßungen zur Signalstärke planen. Zu einem späteren Zeitpunkt kann ich dann mit einem AP einen Ausflug machen und schauen, wo ich eventuell etwas wegrationieren kann, wenn die Signalstärke ausreicht.
Noch zwei Fragen zu Ruckus APs:
- Kannst du einen guten Händler in DE benennen den man sich anschauen sollte? Gerne auch als PM.
- Was genau unterscheidet einen R350 von z.B. einem R560? Nur die Liste der Features, Bandbreite des einzelnen Teilnehmers und die Menge an WLAN Teilnehmer, die gehandhabt werden können oder auch die Signalstärke gegenüber einem einzelnen Endgerät? Also komme ich mit einem R560 eher durch Stahlbeton als mit einem R350 oder spielt das keine Rolle?
Switch
- Ich werde auf jeden Fall ein zusätzliches Kupferkabel vom Core Switch (PoE) in jede WE ziehen lassen um immer die Option auf einen separat angeschlossenen AP zu haben. Das Kabel wird in der Unterverteilung raus kommen, ich glaube nicht, das man mich die Dinger an die Decke hängen lässt aber mal sehen
Das kläre ich noch.- Ich werde den Core Switch mit Port Security ausstatten, das muss sowieso sein. Jeder kann sich ja auch direkt da dran hängen über die Zuleitung in seiner WE.
- Der Core Switch macht dann 802.1x und authentifiziert alles, was in der WE kabelgebunden da dran hängt, auf gleiche Weise. Ein eventuell vorhandener Access Switch muss dann kein besonderes Feature haben, keine Port Security, kein IEEE 802.1x, kein PoE.
- Leider kann ich i.S. Core Switch noch kein genaues Modell bestimmen weil noch nicht ganz klar ist ob die Verkabelung zur WE nur über Kupfer oder auch über Glasfaser laufen kann bzw. in zwei Fällen sogar muss.
Noch eine Frage zum Access Switch:
Der zuerst eingegangene Traffic öffnet den Port und alles andere rauscht danach mit durch. Das kann dann z.B. ein Management Frame des Access Switches sein. Diese Funktion ist oftmals das Einfachste was fast alle können.
So soll es dann sein. Wie wird das Feature i.d.R. bezeichnet? Oder ist das so gängig das ich da eigentlich nicht drauf achten muss?APs
- Ich werde die APs erstmal nach Grundriss und nach Mutmaßungen zur Signalstärke planen. Zu einem späteren Zeitpunkt kann ich dann mit einem AP einen Ausflug machen und schauen, wo ich eventuell etwas wegrationieren kann, wenn die Signalstärke ausreicht.
Noch zwei Fragen zu Ruckus APs:
- Kannst du einen guten Händler in DE benennen den man sich anschauen sollte? Gerne auch als PM.
- Was genau unterscheidet einen R350 von z.B. einem R560? Nur die Liste der Features, Bandbreite des einzelnen Teilnehmers und die Menge an WLAN Teilnehmer, die gehandhabt werden können oder auch die Signalstärke gegenüber einem einzelnen Endgerät? Also komme ich mit einem R560 eher durch Stahlbeton als mit einem R350 oder spielt das keine Rolle?
Wie wird das Feature i.d.R. bezeichnet?
MAB (Mac Authentication Bypass) oder Dot1x bzw. Flexible Authentication. Hatten wir doch oben schon alles... Dein Access Switch ist ja dann dumm, der forwardet ja dann einfach nur den Traffic. Die Authentisierung musst du dann zwangsläufig am Core Port machen. Dadurch das an dem Access Switch dann natürlich mehrere Hosts angeschlossen ist benötigst du dann unbedingt das Multihost Feature dort. Darauf musst du achten wenn du partout Access Switches ganz ohne Port Security verwenden willst.
@HansDampf06
Ich kann verstehen, worauf du hinaus willst. Einige Dinge Fallen ja auch in das Thema "rechtliche Situation", dazu hatte ich hier schonmal einen Thread vor geraumer Zeit. Da bin ich auch noch dran, eventuell werden wir da einfach mal eine Anwaltliche Beratung buchen und ich würde das dann auch teilen wollen. ich finde das Thema komplex, ich weiß z.B. auch nicht, welche rechtlichen Konsequenzen sich ergeben, wenn ich die Kosten für einen Internet-Anschluss auf die Mieter umlegen würde (dein PS2).
Die "Gängelung" ist mir bewusst. Jeder Mieter wird immer die Möglichkeit haben, ein eigenen Internet Anschluss zu buchen, der dann direkt in seine WE durchgeleitet wird. Er kann dann an diesem Zuleitungspunkt in der eigenen Wohnung auch auf feste Leitungen in seine Wohn- und Schlafräume zugreifen - das wird sich aber vermutlich in einem Rahmen halten müssen. Ein eigenes WLAN kann er außerdem betreiben, auch wenn das natürlich nicht erstrebenswert ist, sollte ich soweit gehen und ein WLAN für das gesamte Gebäude anbieten.
Es gibt auch einen Fitnessraum im Keller, hier kann natürlich kein Mieter ein eigenes WLAN nutzen.
Grundsätzlich muss jeder Mieter zu jeder Uhrzeit in der Lage sein, seinem Gast Internet zur Verfügung zu stellen. Administrativ darf da nichts weiter erforderlich sein. Nur dieser besondere, und heute vermutlich seltene Fall, das ein Gerät in meiner Wohnung mit einem anderen Gerät in meiner Wohnung sprechen können muss, dann wäre administrativer Aufwand gerechtfertigt.
Die ganze technische Umsetzung richte ich nach dem Grundsatz aus:
1) Keiner muss mein Angebot annehmen, jeder kann sich selbst versorgen.
2) Ich muss keinen Mieter versorgen, wenn mir das zu heikel wird, sei es aus rechtlichen Gründen oder sei es in der Person des Mieters begründet.
3) Rechtlich will ich mich (bzw. den Vermieter) schützen aber dem Mieter nicht überwachen.
4) Ich möchte an dem Projekt lernen (ich bin auch nicht mehr so jung wie früher, lernen verlernt man irgendwann das dauert sicher etwas ).
5) Ich möchte ein ausgereiftes, flexibles Netz mit offenen Standards und anspruchsvoller Technik für eine gute "Benutzererfahrung" aber ohne hohen, administrativen Aufwand.
Ich kann verstehen, worauf du hinaus willst. Einige Dinge Fallen ja auch in das Thema "rechtliche Situation", dazu hatte ich hier schonmal einen Thread vor geraumer Zeit. Da bin ich auch noch dran, eventuell werden wir da einfach mal eine Anwaltliche Beratung buchen und ich würde das dann auch teilen wollen. ich finde das Thema komplex, ich weiß z.B. auch nicht, welche rechtlichen Konsequenzen sich ergeben, wenn ich die Kosten für einen Internet-Anschluss auf die Mieter umlegen würde (dein PS2).
Die "Gängelung" ist mir bewusst. Jeder Mieter wird immer die Möglichkeit haben, ein eigenen Internet Anschluss zu buchen, der dann direkt in seine WE durchgeleitet wird. Er kann dann an diesem Zuleitungspunkt in der eigenen Wohnung auch auf feste Leitungen in seine Wohn- und Schlafräume zugreifen - das wird sich aber vermutlich in einem Rahmen halten müssen. Ein eigenes WLAN kann er außerdem betreiben, auch wenn das natürlich nicht erstrebenswert ist, sollte ich soweit gehen und ein WLAN für das gesamte Gebäude anbieten.
Es gibt auch einen Fitnessraum im Keller, hier kann natürlich kein Mieter ein eigenes WLAN nutzen.
Grundsätzlich muss jeder Mieter zu jeder Uhrzeit in der Lage sein, seinem Gast Internet zur Verfügung zu stellen. Administrativ darf da nichts weiter erforderlich sein. Nur dieser besondere, und heute vermutlich seltene Fall, das ein Gerät in meiner Wohnung mit einem anderen Gerät in meiner Wohnung sprechen können muss, dann wäre administrativer Aufwand gerechtfertigt.
Die ganze technische Umsetzung richte ich nach dem Grundsatz aus:
1) Keiner muss mein Angebot annehmen, jeder kann sich selbst versorgen.
2) Ich muss keinen Mieter versorgen, wenn mir das zu heikel wird, sei es aus rechtlichen Gründen oder sei es in der Person des Mieters begründet.
3) Rechtlich will ich mich (bzw. den Vermieter) schützen aber dem Mieter nicht überwachen.
4) Ich möchte an dem Projekt lernen (ich bin auch nicht mehr so jung wie früher, lernen verlernt man irgendwann das dauert sicher etwas
).5) Ich möchte ein ausgereiftes, flexibles Netz mit offenen Standards und anspruchsvoller Technik für eine gute "Benutzererfahrung" aber ohne hohen, administrativen Aufwand.
Zitat von @aqui:
Dein Access Switch ist ja dann dumm, der forwardet ja dann einfach nur den Traffic. Die Authentisierung musst du dann zwangsläufig am Core Port machen. Dadurch das an dem Access Switch dann natürlich mehrere Hosts angeschlossen ist benötigst du dann unbedingt das Multihost Feature dort. Darauf musst du achten wenn du partout Access Switches ganz ohne Port Security verwenden willst.
Wie wird das Feature i.d.R. bezeichnet?
MAB (Mac Authentication Bypass) oder Dot1x bzw. Flexible Authentication. Hatten wir doch oben schon alles... Dein Access Switch ist ja dann dumm, der forwardet ja dann einfach nur den Traffic. Die Authentisierung musst du dann zwangsläufig am Core Port machen. Dadurch das an dem Access Switch dann natürlich mehrere Hosts angeschlossen ist benötigst du dann unbedingt das Multihost Feature dort. Darauf musst du achten wenn du partout Access Switches ganz ohne Port Security verwenden willst.
Ja das Multihost Feature meine ich.
Die "Gängelung" ist mir bewusst. Jeder Mieter wird immer die Möglichkeit haben, ein eigenen Internet Anschluss zu buchen, der dann direkt in seine WE durchgeleitet wird. Er kann dann an diesem Zuleitungspunkt in der eigenen Wohnung auch auf feste Leitungen in seine Wohn- und Schlafräume zugreifen - das wird sich aber vermutlich in einem Rahmen halten müssen. Ein eigenes WLAN kann er außerdem betreiben, auch wenn das natürlich nicht erstrebenswert ist, sollte ich soweit gehen und ein WLAN für das gesamte Gebäude anbieten.
Ich würde hier beispielsweise in Betracht ziehen, anstelle einer Einfach-LAN-Dose eine mit zwei Buchsen zu setzen. Damit schlägst Du zwei Fliegen mit einer Klappe: Der Klient wird weniger als bei nur einer Buchse genötigt, einen (weiteren) Switch nutzen zu müssen, wenn mehr als ein Gerät benutzt wird. Du kannst die beiden Leitungen der Doppeldose unter umständen direkt an Deinen Core Switch anbinden, was zwar zu einer höheren Portanzahl führen könnte/wird, aber Dir auch mehr Leistungsspielraum geben dürfte.
Wenn Steckdosenleisten in den diagolen Raumecken installiert werden, dann dort jeweils eine (Doppel-)LAN-Dose setzen und nicht nur in einer Raumecke. Das ist häufig schon sehr hilfreich und wirkt dem WLAN-Bedürfnis und somit den damit verbundenen Problemen entgegen. Denn wenn ich genügend LAN-Dosen an passablen Stellen habe, würde ich WLAN eher nicht benutzen wollen.
Wie bereits skizziert würde ich hier ganz viel aus der Klientensicht betrachten und mir dann überlegen, wie ich das mit größtmöglichster Akzeptanz seitens der Klienten einfangen könnte. Dieser Teil der Netzwerkplanung ist höchst komplex und der wohl anspruchsvollste.
Die nächste Frage wäre: Wenn jeder Klient seinen separaten Internetanschluss bis in die Wohneinheit haben kann, was soll ihn veranlassen, DEIN Serviceangebot nutzen zu wollen? Worin würde für ihn der "Mehrwert" liegen?
Und gerade hier, an dieser alles entscheidenden "Gretchenfrage", scheiden sich die Geister in Bezug auf Akzeptanz und der erforderlichen technischen Umsetzungen, insbesondere in konzeptioneller Hinsicht.
Bezüglich WLAN:
Je nach Gebäude- und Raumgestaltung, insbesondere bei einem "Stahlbetonbunker" könnte ein WLAN-Angebot pro Wohneinheit die von @aqui beschriebenen MSSID-Probleme/-Konsequenzen entspannter zu betrachten sein, weil die baulichen Gegebenheiten den räumlichen Bereich der effektiven Funknutzung bei dem jeweiligen AP stärker Einschränken.
Meine Erfahrung ist mittlerweile, dass alle 7 bis 10 Meter ein weiterer AP benötigt wird, um eine störungsfreie und performante WLAN-Nutzung zu ermöglichen, und zwar auch dann, wenn die Wohn-/Raumeinheit ein Rechteck ist, dessen genaure Aufteilung mit Trockenbauwänden erfolgt.
Insoweit wäre es möglicherweise das Geschickteste, wenn Du nach Fertigstellung des Rohbaus eine erste Messaktion durchführst. Wie bereits erwähnt wurde, hilft hier beispielsweise der "WiFi-Analyzer" auf einem Tablet oder dem Handy enorm bei der situativen Bewertung. Dann könnte die konkrete Platzierung der AP's noch vor dem Leitungszug genau geplant werden.
Übrigens erachte ich die Beantwortung der Fragen nach der Abrechenbarkeit und Verteilbarkeit von Kosten als vorrangig. Denn, wenn die rechtliche Beratung letztlich zu dem Entschluss führt, bestimmte Dinge besser zu lassen und nicht anzubieten, dann kannst Du Dir die darauf bezogenen Planung schlicht sparen (den Montage- und Administrationsaufwand erst recht). Insoweit ist es aus meiner Sicht wichtig, die alle relevanten Fragen, nicht nur die technischen, aufzuschreiben und in ihrer Priorität und Abhängigkeit zu gewichten.
Viele Grüße
HansDampf06
1Die nächste Frage wäre: Wenn jeder Klient seinen separaten Internetanschluss bis in die Wohneinheit haben kann, was soll ihn veranlassen, DEIN Serviceangebot nutzen zu wollen? Worin würde für ihn der "Mehrwert" liegen?
Und gerade hier, an dieser alles entscheidenden "Gretchenfrage", scheiden sich die Geister in Bezug auf Akzeptanz und der erforderlichen technischen Umsetzungen, insbesondere in konzeptioneller Hinsicht.
Und gerade hier, an dieser alles entscheidenden "Gretchenfrage", scheiden sich die Geister in Bezug auf Akzeptanz und der erforderlichen technischen Umsetzungen, insbesondere in konzeptioneller Hinsicht.
Naja es ist in jedem Fall billiger, selbst wenn ich die Kosten für Internet umlege. Abgesehen davon hatte ich eingangs schon geschrieben, sind die Wohneinheiten sehr unterschiedlich. Derzeit geht man von Kurzfristiger Vermietung aus, das ist im steuerlichen Sinne <6 Monate. Versuch mal bei der Telekom Glasfaser zu buchen für ~3 Monate. Ob das am Ende so kommt weiß ich alles nicht. Vielleicht sind es dann auch ganz normale Mieter gemischt mit Vermietungen < 6 Monate gemischt mit Ferienwohnungen gemischt mit Familie des Vermieters...
Ich werde mir auf jeden Fall mal einen R350 bestellen, will die Dinger wirklich mal testen. Falls dem Bauherren das zu teuer wird mit irgendwo 8 Stück, was haltet ihr von z.B. Zyxel?
https://www.idealo.de/preisvergleich/OffersOfProduct/202946613_-nwa90ax- ...
Ich kann das über Web konfigurieren und 802.1x sprechen die auch.
Zitat von @ukulele-7:
Ich werde mir auf jeden Fall mal einen R350 bestellen, will die Dinger wirklich mal testen. Falls dem Bauherren das zu teuer wird mit irgendwo 8 Stück, was haltet ihr von z.B. Zyxel?
https://www.idealo.de/preisvergleich/OffersOfProduct/202946613_-nwa90ax- ...
Ich werde mir auf jeden Fall mal einen R350 bestellen, will die Dinger wirklich mal testen. Falls dem Bauherren das zu teuer wird mit irgendwo 8 Stück, was haltet ihr von z.B. Zyxel?
https://www.idealo.de/preisvergleich/OffersOfProduct/202946613_-nwa90ax- ...
Ich habe erst vor ca. einer Woche zwei Stück des NWA210AX an dem einen Standort in Betrieb genommen und habe eine sehr gute Raumabdeckung damit. Sie bieten alles, was man sich für einen schnellen AP-Wechsel und eine professionelle WLAN-Konfiguration wünscht. Und vor allem ich kann sie per PoE an den Switch anbinden. Die Bedienerführung ist aus meiner Sicht weitestgehend intuitiv und übersichtlich. Der Energieverbrauch liegt laut Anzeige im Switch bei 7,4 W.
Für den zweiten Standort ist gestern ein NWA110AX in der Bucht zum Toppreis bestellt worden. Die Gerätematrix von Zyxel für die NWA-Serie zeigt, dass die Unterschiede zwischen dem NWA210AX und dem NWA110AX sehr wenige (z.B. 4x4 Antennensatz gegenüber 2x2) sind, so dass für den zweiten Standort der NWA110AX als ausreichend erachtet wurde.
Für die Farbbedeutung der (einzigen) LED an der Front gibt es bei Zyxel eine aus den Bedienungsanleitungen ausgekoppelte Übersichts-PDF. Insgesamt halte ich das Informationsangebot bei Zyxel für sehr brauchbar und gut organisiert.
Gut ist auch, dass die beiden Geräte neben dem Uplink eine "durchgeleitete" LAN-Buchse haben, so dass daran nachgeordnete Geräte angeschlossen werden können. PoE gibt sie aber nicht weiter, glaube ich.
Viele Grüße
HansDampf06
PS: Auch wenn es reine Geschmackssache ist, gefällt mir das Design dieser AP's sehr gut und wesentlich besser als die "UFO's" von Ubiquiti.
Ja Ubiquiti mag ich nicht wegen dem ganzen Cloud Geraffel. Ich habe zwar einen eigenen Server aber der nervt auch auf viele Arten. Und Daten versuchen die ja selbst dann noch vom Server nach Hause zu schicken.
Zyxel war früher schon ganz gut, ich suche eine solide Budget Variante mit wenig Ärger. Kann sein das eine Ruckus Vollausstattung es mir zwar Wert wäre, dem Bauherren aber nicht
Zyxel war früher schon ganz gut, ich suche eine solide Budget Variante mit wenig Ärger. Kann sein das eine Ruckus Vollausstattung es mir zwar Wert wäre, dem Bauherren aber nicht
