Netzwerk problem wlan
Hallo Leute,
ich habe ein Problem bei dem ich nicht weiter komme und benötige Hilfe oder anregungen um dieses Problem zu lösen.
Ich betreue ein Wohnheim mit 30 Zimmern. In den Zimmern befinden sich keine Netzwerkdosen. Das gesamte Gebäude ist mit WLAN ausgestattet. Baulich wiefolgt.
Internetanschluss über Kabel 100 Mbit/s (Kabel Deutschland)
DHCP Server läuft über den mitgelieferten Router.
In den Etagen befinden sich jeweils 2 Access Point's diese sind so konfiguriert das sie auf den router als gatway zugreifen können.
Nach der Installation funktioniert alles super gut. Nur wohnen ind dem Wohnheim Chenesische Schüler die es irgendwie schaffen mein Netz auszuhebeln.
Der Fehler sieht dann so aus.
in der 1 etage befindet sich der Router, dieser ist in einem Schrank eingeschlossen und es kommt niemand ran. Alle bekommen über den Adressbereich des DHCP Servers im Router ihre IP-Adressen. Irgendwie schaffen die Schüler es das die Access points in den anderen Etagen keine funktien mehr haben. Und nur noch 3 -4 Schüler in der 1 Etage Internet haben und der rest nicht. Alle anderen Etagen sind tot.
Ich vermute das sie sich selber IP-Adressen vergeben und ein eigendes Netz aufbauen somit sind alle anderen tot und nur sie haben Netz um zu zocken oder was auch immer. Immer wenn ich dann vor Ort fahre ging wieder alles, kaum bin ich weg fängst das von vorne an.
Ich bin langsam mit meinem Latein am ende. Meine Idee ist es jetzt ein Server mit DHCP und proxyserver in den Keller zu bauen um so eventuell der sachen auf die schliche zu kommen.
Wie kann ich es unterbinden das sie sich selber IP Adressen vergeben oder das ganze netz so lam zu legen.
Stellt Fragen wenn ihr was wissen wollt
ich habe ein Problem bei dem ich nicht weiter komme und benötige Hilfe oder anregungen um dieses Problem zu lösen.
Ich betreue ein Wohnheim mit 30 Zimmern. In den Zimmern befinden sich keine Netzwerkdosen. Das gesamte Gebäude ist mit WLAN ausgestattet. Baulich wiefolgt.
Internetanschluss über Kabel 100 Mbit/s (Kabel Deutschland)
DHCP Server läuft über den mitgelieferten Router.
In den Etagen befinden sich jeweils 2 Access Point's diese sind so konfiguriert das sie auf den router als gatway zugreifen können.
Nach der Installation funktioniert alles super gut. Nur wohnen ind dem Wohnheim Chenesische Schüler die es irgendwie schaffen mein Netz auszuhebeln.
Der Fehler sieht dann so aus.
in der 1 etage befindet sich der Router, dieser ist in einem Schrank eingeschlossen und es kommt niemand ran. Alle bekommen über den Adressbereich des DHCP Servers im Router ihre IP-Adressen. Irgendwie schaffen die Schüler es das die Access points in den anderen Etagen keine funktien mehr haben. Und nur noch 3 -4 Schüler in der 1 Etage Internet haben und der rest nicht. Alle anderen Etagen sind tot.
Ich vermute das sie sich selber IP-Adressen vergeben und ein eigendes Netz aufbauen somit sind alle anderen tot und nur sie haben Netz um zu zocken oder was auch immer. Immer wenn ich dann vor Ort fahre ging wieder alles, kaum bin ich weg fängst das von vorne an.
Ich bin langsam mit meinem Latein am ende. Meine Idee ist es jetzt ein Server mit DHCP und proxyserver in den Keller zu bauen um so eventuell der sachen auf die schliche zu kommen.
Wie kann ich es unterbinden das sie sich selber IP Adressen vergeben oder das ganze netz so lam zu legen.
Stellt Fragen wenn ihr was wissen wollt
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 220443
Url: https://administrator.de/contentid/220443
Ausgedruckt am: 24.11.2024 um 06:11 Uhr
15 Kommentare
Neuester Kommentar
Du solltest dich erstmal als allererstes entspannen und einmal über die technischen Fakten nachdenken, denn nur mit sebstvergebenden IP Adressen schafft man es nicht einen Accesspoint am Senden zu hindern !
Accessponts selber greifen niemals "auf den Router als Gateway" zu ! Auch das ist irgendwie unsinnig und verwirrt. Ein WLAN Accesspoint ist in der Regel eine simple Bridge und der Client im WLAN greift wenn dann direkt aufs Gateway zu.
Ausnahme du betreibst die APs selber als Router was aber vermutlich nicht der Fall ost oder ??
Du solltest also erst einmal strategisch vorgehen und messen.
Leider bist du mit deinen Schilderungen recht unpräzise und stellst auch technisch falsche Vermutungen an bedingt dadurch.
Du teilst uns leider auch nicht mit WIE der Zugang zum WLAN gelöst ist, sprich ob das WLAN offen ist mit einem One Time Passwort sprich Hotspot System wie hier beschrieben:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Besutzt du eine Zertifikats basierende Zugangskontrolle:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Oder hast du schlicht und einfach nur simpel statisch die Verschlüsselung eingeschaltet und verrätst jedem Gast das Passwort ? Dann kannst du auch gleich an der Tür ein Poster ankleben mit "Das Passwort ist..." oder das WLAN gleich offen betreiben.
Fazit: Die Art der Zugangssteuerung wäre sinnvoll zu wissen hier für eine zielführende Hilfe !
Der zweite Punkt ist die Struktur des WLANs selber ?
Zu all diesen wirklich wichtigen Fragen gibst du keinerlei Detailantwort. Deshalb ist es fraglich was du mit deinem Thread hier erreichen willst bzw. von uns eigentlich erwartest ?
Alle obigen Punkte sind eigentlich absolute Minimalanforderungen an die Betriebssicherheit eines solchen WLANs und du schilderst mit keinem Wort WAS du davon umgesetzt hast
Wenn nichts davon umgesetzt ist, dann wirst du auch weiterhin mit diesen Problemen leben müssen, das leuchtet vermutlich selbst dir ein ?!
Accessponts selber greifen niemals "auf den Router als Gateway" zu ! Auch das ist irgendwie unsinnig und verwirrt. Ein WLAN Accesspoint ist in der Regel eine simple Bridge und der Client im WLAN greift wenn dann direkt aufs Gateway zu.
Ausnahme du betreibst die APs selber als Router was aber vermutlich nicht der Fall ost oder ??
Du solltest also erst einmal strategisch vorgehen und messen.
Leider bist du mit deinen Schilderungen recht unpräzise und stellst auch technisch falsche Vermutungen an bedingt dadurch.
Du teilst uns leider auch nicht mit WIE der Zugang zum WLAN gelöst ist, sprich ob das WLAN offen ist mit einem One Time Passwort sprich Hotspot System wie hier beschrieben:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Besutzt du eine Zertifikats basierende Zugangskontrolle:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Oder hast du schlicht und einfach nur simpel statisch die Verschlüsselung eingeschaltet und verrätst jedem Gast das Passwort ? Dann kannst du auch gleich an der Tür ein Poster ankleben mit "Das Passwort ist..." oder das WLAN gleich offen betreiben.
Fazit: Die Art der Zugangssteuerung wäre sinnvoll zu wissen hier für eine zielführende Hilfe !
Der zweite Punkt ist die Struktur des WLANs selber ?
- Ist der Mangement Zugang zu dem APs vom Clienten WLAN getrennt um Manipulationen an den APs vorzubeugen ? (Hoffentlich)
- Hast du hier eine saubere Funk Kanalplanung gemacht und die AP Funkzellen mit einem Mindestabstand von 4 Funkanälen eingerichtet ?
- Ist die SSID (WLAN Name) überall gleich wie es sein sollte ?
- Ebenso der verwendete Schlüsselalgorythmus identisch ?
- Haben alle APs eine feste 20 Mhz Bandbreite im 2,4 Ghz Bereich konfiguriert ?
- Können die APs Dual Radio oder machst du nur 2,4 Ghz ?
- Hast du sinnvollerweise eine Client Isolierung im WLAN in den APs aktiviert (sog. isolated WLAN) die dir ein any zu any Connect der Clients im WLAN sicher verhindern ?
- Arbeitest du mit einer MAC Filterliste die ganz klar festlegt WER (Client) mit WELCHER Hardware in das WLAN darf bzw. nicht darf ?
- Machst du sonst irgendeine Art von Benutzertracking um dem rechtlichen Problem Störerhaftung vorzubeugen ?
Zu all diesen wirklich wichtigen Fragen gibst du keinerlei Detailantwort. Deshalb ist es fraglich was du mit deinem Thread hier erreichen willst bzw. von uns eigentlich erwartest ?
Alle obigen Punkte sind eigentlich absolute Minimalanforderungen an die Betriebssicherheit eines solchen WLANs und du schilderst mit keinem Wort WAS du davon umgesetzt hast
Wenn nichts davon umgesetzt ist, dann wirst du auch weiterhin mit diesen Problemen leben müssen, das leuchtet vermutlich selbst dir ein ?!
Hallo,
Internet ausmachen und überall erzählen die Chinesen sind schuld.
Das ist doch auch wieder so ein Laden der Dir nichts zahlen möchte und dem alles zu teuer ist, aber
laufen muss das Internet und mit den Chinesen will sich auch keiner anlegen, kann das sein?
So wie @aqui das beschrieben hat ist das schon in Ordnung und hier ist noch gleich eine kommerzielle Lösung
dazu, dann kannst Du Dich ja einmal umsehen was Dir zusagt. Handlink
Man kann das auch mit Ubiquiti erledigen und sicherlich auch Server gestützt denn dort ist die Software
kostenlos und bringt auch einen Radius Server oder ein Captive Portal mit.
MikroTik ist dann wohl die Budgetlösung, aber bringt eben auch GB LAN Ports mit und eine interne Radius
Lösung Namens Usermanager mit.
Einen HTTP-Proxy Lösung namens Squid würde ich aber in jedem Fall empfehlen wollen, denn da kannst Du
dann auch einfach alles mit protokollieren und im Zweifel einmal einschreiten.
Ein kleiner Snort wäre da auch nicht verkehrt und könnte auch so manches Wirken der Chinesen melden
denn das die alle nur YouTube gucken und dafür die gesamte Bandbreite brauchen glaube ich nicht.
Gruß
Dobby
Internet ausmachen und überall erzählen die Chinesen sind schuld.
Das ist doch auch wieder so ein Laden der Dir nichts zahlen möchte und dem alles zu teuer ist, aber
laufen muss das Internet und mit den Chinesen will sich auch keiner anlegen, kann das sein?
So wie @aqui das beschrieben hat ist das schon in Ordnung und hier ist noch gleich eine kommerzielle Lösung
dazu, dann kannst Du Dich ja einmal umsehen was Dir zusagt. Handlink
Man kann das auch mit Ubiquiti erledigen und sicherlich auch Server gestützt denn dort ist die Software
kostenlos und bringt auch einen Radius Server oder ein Captive Portal mit.
MikroTik ist dann wohl die Budgetlösung, aber bringt eben auch GB LAN Ports mit und eine interne Radius
Lösung Namens Usermanager mit.
Einen HTTP-Proxy Lösung namens Squid würde ich aber in jedem Fall empfehlen wollen, denn da kannst Du
dann auch einfach alles mit protokollieren und im Zweifel einmal einschreiten.
Ein kleiner Snort wäre da auch nicht verkehrt und könnte auch so manches Wirken der Chinesen melden
denn das die alle nur YouTube gucken und dafür die gesamte Bandbreite brauchen glaube ich nicht.
Gruß
Dobby
Hi,
Wie viele IP Adressen kann der DHCP Server vergeben?
Werden da vllt undercover Accesspoints betrieben welche die deinen stören?
Geh mal mit einem Laptop und scan-tools wie inSSIDer durch die betroffenen Gebäudeteile. Da siehst du recht anschaulich auf welchen Kanäle gefunkt wird.
Vllt können auch deine Accesspoints direkt anzeigen welche anderen Accespoints in der Nähe sind.
Wenns nur Probleme gibt während du nicht da bist: Mach halt mal einen Überraschungsbesuch oder lass mal einen alten Laptop/Rasperry Pi irgendwo stehn und logge mit, welche Accespoints da auftauchen.
mfg
Cthluhu
Zitat von @heikoflat:
Und nur noch 3 -4 Schüler in der 1 Etage Internet haben und der rest nicht. Alle anderen Etagen sind tot.
Haben die kein Internet oder geht schon das WLAN nicht?Und nur noch 3 -4 Schüler in der 1 Etage Internet haben und der rest nicht. Alle anderen Etagen sind tot.
Wie viele IP Adressen kann der DHCP Server vergeben?
Werden da vllt undercover Accesspoints betrieben welche die deinen stören?
Geh mal mit einem Laptop und scan-tools wie inSSIDer durch die betroffenen Gebäudeteile. Da siehst du recht anschaulich auf welchen Kanäle gefunkt wird.
Vllt können auch deine Accesspoints direkt anzeigen welche anderen Accespoints in der Nähe sind.
Wenns nur Probleme gibt während du nicht da bist: Mach halt mal einen Überraschungsbesuch oder lass mal einen alten Laptop/Rasperry Pi irgendwo stehn und logge mit, welche Accespoints da auftauchen.
mfg
Cthluhu
breche doch den schrank auf oder greife über ein mit dm router verbundenen pc / netzwerk auf den router zu und setzte die einstellungen zurück
In der Antwort oben steht auch wieder ziemlicher, sorry, Bullshit:
Thema Funkkanalplanung:
"Die Access habe ich Kanalseitig getrennt, das heist ich habe jedem seinen eigenden Kanal zugewiesen und auch lücken dazwischen gelassen. "
Was ist das für ein Unsinn ?? Du musst mit einem Funk Scanner Tool wie dem freien inSSIDer
http://www.metageek.net/support/downloads/
auf einm Laptop rumgehen und musst AKTIV dort die Kanalbelegung ausmessen und den AP der diese Zelle bedient fest, statisch auf einen Kanal einstellen der NICHT mit den anderen Zellen und Nachbar WLANs überlappt.
Wie das stilisiert aussehen muss zeigt dir die Grafik im Kapitel "Alternative 3, 5ter Schritt" hier:
Kopplung von 2 Routern am DSL Port
So und nicht anders geht das ! "Lücken" besagen gar nix....
Thema Kanalbandbreite:
"Sie arbeiten im 11bgn mixed mode und Auto bei der 20 oder 40 MHz"
Genau da ist schon der erste Kardinalsfehler !!
Genau das Verhalten was du ja siehst !
Keine Client Isolation bzw. AP Isolation und das Fehlen einer MAC Filterliste geben ihm dann den Rest.
Das ist doch vollkommen klar solange du diese Minimalanforderungen dort nicht umgesetzt hast wird das immer und immer wieder passieren. Erschreckend wie naiv und blauäugig du da rangehst, denn das sagt auch der gesunde Menschenverstand einem Laien !
Deine ToDos sind folgende:
Der letzte Punkt ist nicht ganz unwichtig, denn du kannst davon felsenfest ausgehen das die Schüler das WPA-2 Passwort allen erdenklichen Personen mitteilen damit auch die Freundin oder Papa und Mama mit ihrem Smartphone dein WLAN nutzen können. Damit weiss es dann die ganze Welt.
So gesehen ist das Passowrt eigentlich vollkommen obsolet und sinnlos geworden. Leuchtet dir vermutlich auch ein ?! Genausogut kannst du das WLAN dann auch offen betreiben.
So eine inflationäre Passwort Weitergabe verhinderst du in Grenzen mit einer Filterliste.
Klar ist das etwas umständlich denn du musst jedes Gerät eintragen aber so behälst du auch die Kontrolle.
Rechtlich ist deine Passwort Handhabe so oder so ziemlich fragwürdig und wenigstens in D stehst du da immer aufgrund der Störerhaftung mit einem Bein im Knast ! Denn was Schüler mit Filesharing so anrichten können liest du täglich in der Blöd.
Sinnvoll wäre hier immer ein Captive Portal (Hotspot) wie oben beschrieben mit Einmal Passwörtern. Minimal aber eine Mac Filterliste. Das Tutorial beschreibt ja wie du das schnell und preiswert hinbekommst.
Wenn du diese obigen Minmalschritte beherzigst und auch konsequent umsetzt bekommst du das Problem sofort in den Griff. Auch wenn du wie zu vermuten ist billige APs vpm Blödmarkt Grabbeltisch verwendest ! All das sind simple WLAN Basics die jeder Netzwerker der solche WLANs betreibt eigentlich kennen sollte ! Wenn nicht kann man sie überall nachlesen.
Thema Funkkanalplanung:
"Die Access habe ich Kanalseitig getrennt, das heist ich habe jedem seinen eigenden Kanal zugewiesen und auch lücken dazwischen gelassen. "
Was ist das für ein Unsinn ?? Du musst mit einem Funk Scanner Tool wie dem freien inSSIDer
http://www.metageek.net/support/downloads/
auf einm Laptop rumgehen und musst AKTIV dort die Kanalbelegung ausmessen und den AP der diese Zelle bedient fest, statisch auf einen Kanal einstellen der NICHT mit den anderen Zellen und Nachbar WLANs überlappt.
Wie das stilisiert aussehen muss zeigt dir die Grafik im Kapitel "Alternative 3, 5ter Schritt" hier:
Kopplung von 2 Routern am DSL Port
So und nicht anders geht das ! "Lücken" besagen gar nix....
Thema Kanalbandbreite:
"Sie arbeiten im 11bgn mixed mode und Auto bei der 20 oder 40 MHz"
Genau da ist schon der erste Kardinalsfehler !!
- Niemals bgn Mixed Mode aktivieren, denn der b Mode reisst dir dein WLAN runter. Wenn dann nur gn only !
- Niemals im 2,4 Ghz Bereich den Bandbreiten Mode auf "Auto" einstellen !! Der MUSS zwangsweise auf 20 Mhz fest eingestellt sein bei allen APs !
Genau das Verhalten was du ja siehst !
Keine Client Isolation bzw. AP Isolation und das Fehlen einer MAC Filterliste geben ihm dann den Rest.
Das ist doch vollkommen klar solange du diese Minimalanforderungen dort nicht umgesetzt hast wird das immer und immer wieder passieren. Erschreckend wie naiv und blauäugig du da rangehst, denn das sagt auch der gesunde Menschenverstand einem Laien !
Deine ToDos sind folgende:
- Dringend die Kanalplanung anpassen und überprüfen.
- Keinen bgn Mixed Mode sondern immer gn oder nur g betreiben.
- Bandbreite fest auf 20 Mhz statisch einstellen (Kein Auto Mode !)
- AP Isolation aktivieren, damit kein Any zu Any Traffic im WLAN und blockierung der WLAN Bandbreite eintritt.
- Mit Mac Filterlisten arbeiten die identisch sind auf allen APs
Der letzte Punkt ist nicht ganz unwichtig, denn du kannst davon felsenfest ausgehen das die Schüler das WPA-2 Passwort allen erdenklichen Personen mitteilen damit auch die Freundin oder Papa und Mama mit ihrem Smartphone dein WLAN nutzen können. Damit weiss es dann die ganze Welt.
So gesehen ist das Passowrt eigentlich vollkommen obsolet und sinnlos geworden. Leuchtet dir vermutlich auch ein ?! Genausogut kannst du das WLAN dann auch offen betreiben.
So eine inflationäre Passwort Weitergabe verhinderst du in Grenzen mit einer Filterliste.
Klar ist das etwas umständlich denn du musst jedes Gerät eintragen aber so behälst du auch die Kontrolle.
Rechtlich ist deine Passwort Handhabe so oder so ziemlich fragwürdig und wenigstens in D stehst du da immer aufgrund der Störerhaftung mit einem Bein im Knast ! Denn was Schüler mit Filesharing so anrichten können liest du täglich in der Blöd.
Sinnvoll wäre hier immer ein Captive Portal (Hotspot) wie oben beschrieben mit Einmal Passwörtern. Minimal aber eine Mac Filterliste. Das Tutorial beschreibt ja wie du das schnell und preiswert hinbekommst.
Wenn du diese obigen Minmalschritte beherzigst und auch konsequent umsetzt bekommst du das Problem sofort in den Griff. Auch wenn du wie zu vermuten ist billige APs vpm Blödmarkt Grabbeltisch verwendest ! All das sind simple WLAN Basics die jeder Netzwerker der solche WLANs betreibt eigentlich kennen sollte ! Wenn nicht kann man sie überall nachlesen.
Laut Hadmut's Blog haben Russen in Bügeleisen aus China kleine Mini-Computer gefunden, die versuchen, sich in offene WLANs einzuloggen und zu spammen. Schau mal, ob da chinesische Bügeleisen rumstehen.
lks
lks
wenn du auf den router zugreifen kannst, andere die einstellungen und ändere das routerkennwort und das wlan kennwort.(wenn du die art wählen musst, wähle wpa2. empfehle ich
...ist doch alles sinnlos wenn die ARP Spoofing oder andere Attacken nutzen mit ihrem frei erhältlichen Zugangspasswort.
Er hat ja keinerlei Restriktionen was die Vergabe des WLAN Passworts anbetrifft !! Genausogut kann er ein Poster an die Eingangstür kleben mit dem Inhalt "Das WLAN Passwort für alle lautet XYZ... !!"
Oder er betreibt das WLAN offen das kommt doch alles aufs gleiche raus. Bei solch dilettantischer Einrichtung ist sowas doch zu 100% vorprogrammiert.
In sofern ist der Tip an der Verschlüsselung was zu ändern doch total sinnfrei solange die ganze Schülerwelt das WLAN Passwort kennt und fröhlich weitergibt !!
Am fehlenden Feedback kann man ja so oder so ablesen das das Thema sich für den TO vermutlich erledigt hat oder er keinerlei Interesse mehr an einer zielführenden Hilfestellung hat !
Kann man nur hoffen das es dann noch für ein
Wie kann ich einen Beitrag als gelöst markieren?
bei ihm reicht ?!
Er hat ja keinerlei Restriktionen was die Vergabe des WLAN Passworts anbetrifft !! Genausogut kann er ein Poster an die Eingangstür kleben mit dem Inhalt "Das WLAN Passwort für alle lautet XYZ... !!"
Oder er betreibt das WLAN offen das kommt doch alles aufs gleiche raus. Bei solch dilettantischer Einrichtung ist sowas doch zu 100% vorprogrammiert.
In sofern ist der Tip an der Verschlüsselung was zu ändern doch total sinnfrei solange die ganze Schülerwelt das WLAN Passwort kennt und fröhlich weitergibt !!
Am fehlenden Feedback kann man ja so oder so ablesen das das Thema sich für den TO vermutlich erledigt hat oder er keinerlei Interesse mehr an einer zielführenden Hilfestellung hat !
Kann man nur hoffen das es dann noch für ein
Wie kann ich einen Beitrag als gelöst markieren?
bei ihm reicht ?!