Netzwerkstruktur Studentenwohnheim 100 Personen

Mitglied: Kaniee

Kaniee (Level 1) - Jetzt verbinden

01.11.2019 um 23:19 Uhr, 2351 Aufrufe, 13 Kommentare

Hallo liebe Community,

ich wohne mit ca. 100 weiteren Studenten in einem Studentenwohnheim, das von einem Verein getragen wird.

Wir plagen uns oft mit unserem Netzwerk herum, da es schon beim schief anschauen in die Knie geht. Der Verein hat nicht die Mittel sich professionell beraten zu lassen, daher sind wir Studenten auf der Suche nach einer besseren Lösung. Häufig ist das Problem, dass Leute einen Router an ihre Buchse im Zimmer hängen, den nicht korrekt konfigurieren (bspw. den DHCP Server anlassen) und so die anderen Geräte im Netz stören.

Ich kenne nicht alle Details vom Netzwerkaufbau, aber hier sind die Informationen die ich habe:
- Alle Zimmer-Anschlüsse sind über Switches mit einem zentralen Server verbunden
- Dieser Server regelt den Zugang ins Internet. Wir müssen jedes Mal wenn wir uns neu mit dem Netzwerk verbinden einen personalisierten Zugangscode eingeben.
- An einigen Punkten im Haus sind APs installiert.
- Es existiert ein Netzwerk-Drucker auf den alle zugreifen können

Was muss am Netzwerkaufbau geändert werden um zu verhindern, dass einzelne Geräte das ganze Netzwerk lahmlegen können?
Meine erste Idee ist, dass man verhindern muss, dass die Geräte untereinander kommunizieren können. Ist das der richtige Ansatz? Falls ja, wie wird das umgesetzt?

Ich bin gespannt auf eure Hilfe.

Viele Grüße
Steffen
Mitglied: StefanKittel
LÖSUNG 01.11.2019, aktualisiert 02.11.2019
Hallo,

Dein Stichwort ist VLAN.
Damit bekommt jeder Student sein eigenes Netzwerk und kann die anderen nicht stören.

z.B.
Stundent1 = 10.1.1.1/24
Stundent2 = 10.1.1.2/24

Dazu benötigt Ihr einen VLAN fähigen Switch und Router.
Als Router kann z.B. ein APU 2C4 oder ein beliebiger PC mit 2 Netzwerkkarten mit OPNSense herhalten.

Stefan
Bitte warten ..
Mitglied: Lochkartenstanzer
LÖSUNG 01.11.2019, aktualisiert um 23:58 Uhr
Moin,

Port Security und 802.1x sind die Stichworte für Dich.

Du besorgst Dir einen Switch der das kann und richtest 802.1x und Radius ein. Bei den richtigen switchen kannst Du auch einstellen, daß die Ports nur mit dem Uplink kommunizieren dürfen und untereinander nicht.

Damit solltet ihr diese Probleme erschlagen können.

lks
Bitte warten ..
Mitglied: sk
02.11.2019, aktualisiert um 03:26 Uhr
Stichworte für die Recherche:
- private VLANs
- DHCP-Snooping
- Spanning Tree Protokoll oder proprietäres Loopprotection
- IP Source Guard, Port Security
- Broadcast Storm Control, CPU Protection

Gruß
sk
Bitte warten ..
Mitglied: cykes
02.11.2019 um 08:43 Uhr
Moin,

wäre es nicht erstmmal sinnvoller zu fragen, ob Steffen überhaupt hard- und/oder softwaretechnisch etwas ändern darf? Wenn der betreibende Verein schon kein Geld für eine beratende Fachfirma hat, wird er vermutlich auch keine Mittel für eine sinnvolle Ausstattung haben.
Außerdem ist noch unklar, welche Verbindungsgeschwindikeit ins Internet zur Verfügung steht. Bei rund 100 Bewohnern ist das schon ein relevanter Faktor, wenn alle (oder auch nur ein Großteil) Streaming, Spielkonsolen, PCs, Mobilgeräte usw. benutzen wollen. Da machen schnell ein paar "Poweruser" die Leitung dicht und der Rest guckt in die Röhre.

Gruß

cykes
Bitte warten ..
Mitglied: aqui
02.11.2019, aktualisiert um 09:23 Uhr
Im Grunde ist es kinderleicht und oben ja schon genannt worden. Ein WLAN mit 100 Personen zum Fliegen zu bekommen ist mit der richtigen Hardware und Voraussetzungen in der Regel ein Kinderspiel.
  • Man muss das Netzwerk in VLANs segmentieren z.B. pro Etage.
  • In der Etage bindet man entsprechend Access Points an die die User und Traffic Last abkönnen
  • Fertisch
Die zentrale Frage ist was du erreichen willst ?
Sollen die Bewohner WLAN und LAN machen können oder reicht denen eine performante WLAN Anbindung (Lokal, Eduroam usw.) ?
Solche Studentenwohnheim Technik krankt fast immer an
  • schlechter WLAN Hardware die die User und Trafficzahlen nicht kann
  • schlechter Ausleuchtung
  • schlechte oder gar keine Segmentierung der Netze
Alles 3 bewirkt dann das was du siehst.
Man kann das aber mit etwas KnowHow und studentischen Hilfskräften im Handumdrehen ändern. Etwas muss der Verein aber auch investieren, denn mit billiger Blödmarkt AP Hardware wird das nix.
Zudem solltest du klären was dort an Switches verbaut ist und welche Fähigkeiten (VLANs ?) die haben. Und, ganz wichtig, wie die Kabel Infrastruktur aussieht um die APs anzuschliessen.
Hier muss Kabelinfrastruktur Vandalismus sicher an den Punkten liegen wo Access Points hinmüssen um das Gebäude performant auszuleuchten mit WLAN.
Diese Schlüsselpunkte solltest du wasserdicht klären.
Bitte warten ..
Mitglied: ukulele-7
02.11.2019 um 09:31 Uhr
Erstmal braucht es eine Bestandsaufnahme der gegebenen Hardware und du müsstest vom Verein auch irgendwie zuständig sein. Welche Funktion hast du im Verein? Was für Studenten sind das denn, ist keiner mit IT Schwerpunkt dabei?
Bitte warten ..
Mitglied: symptog
02.11.2019, aktualisiert um 20:59 Uhr
Hallo Steffen,

welche Technik habt ihr im Einsatz?

Du kannst auch mit anderen StudentenNetzen Kontakt aufnehmen.
http://studentennetze.de
Bitte warten ..
Mitglied: Tideon
03.11.2019 um 11:31 Uhr
Wäre es nicht am sinnvollsten, erstmal eigene Router zu verbieten und nur Switche auf den Zimmern zu erlauben (wenn man mehrere Geräte über Ethernet anschließen möchte/muss)? Damit fällt laut deiner Schilderung schonmal ein großer Störfaktor weg.
Ansonsten ist der Ansatz mit einem eigenen Subnetz/Zimmer mMn auch das Mittel der Wahl, da hierbei (wahrscheinlich) keine neue Hardware angeschafft werden muss.
Beispielsweise bekommt Zimmer 5 im EG die 192.168.5.0/24, Zimmer 10 im 2.Stock die 192.168.210/24 usw. (Ja ich weiß das das im 3.Stock nicht mehr geht :-P).
Warum sprichst du noch an erster Stelle mit dem zuständigen SysAdmin?
Bitte warten ..
Mitglied: Lochkartenstanzer
LÖSUNG 03.11.2019, aktualisiert um 14:01 Uhr
Zitat von Tideon:

Wäre es nicht am sinnvollsten, erstmal eigene Router zu verbieten und nur Switche auf den Zimmern zu erlauben (wenn man mehrere Geräte über Ethernet anschließen möchte/muss)?

Schwachfug..

Man will seine Geräte nicht "nackt" ohne Schutz iin einem Studentennetz haben.

Sinnvoller wäre es, nur Router zu erlauben, deren Konfiguration vorher mit der "zentralen IT" abgestimmt wurde. oder gleich vorkonfigurierte Router wie z.B. DDwrts oder Mikrotiks zu vermieten/verkaufen.

lks

PS: Am sinnvollsten ist es natürlich, wie schon oben gesagt. Portscurity, VLANs, Radius und 802.1X zu verwenden.
Bitte warten ..
Mitglied: aqui
03.11.2019 um 12:19 Uhr
Wäre es nicht am sinnvollsten, erstmal eigene Router zu verbieten und nur Switche auf den Zimmern zu erlauben
Wäre Unsinn, denn das kannst du nicht kontrollieren.
Wenn dann müsstest du eine 802.1x Port Security dort an den Wohnungsports aufsetzen, die das dann erzwingt von den Usern. Appelle usw. nützen da bekanntlich wenig bis gar nicht.
.1x bedeutet dann aber auch ein Port Management. Sprich einer muss sich darum kümmern die User Mac Adressen oder Namen zu verwalten und zu pflegen.
Gut wenn die Stidies das in Selbstverwaltung machen ok. Aber was wenns mal kneift mit den Admins oder einer weg ist usw. Da muss dann Backup ran sei es aus Verien oder Hilfskraft. All das muss man bedenken und auch planen.
Sowas administriert sich ja nicht von selber !!
Generell ist 802.1x Port Security oder der Betrieb eines eigenen PPPoE Auth Servers an den Wohnheim Ports schon der richtige Weg das sauber zu steuern und um die größtmögliche Freiheit der User zu bekommen.
Es muss dann aber auch administriert werden.
Bitte warten ..
Mitglied: Kaniee
04.11.2019 um 12:48 Uhr
Ich weiß nicht, ob das hier die richtige Vorgehensweise im Forum ist, aber ich möchte gerne auf die vielen Antworten zusammenfassend reagieren:

Der Input hat mir schon sehr weitergeholfen. Es ging mir in erster Linie darum, der Verwaltung Möglichkeiten aufzuzeigen, wie man die Probleme in Griff bekommen kann und was dazu nötig ist. Ob ich dann bei der Umsetzung auch miteinbezogen werde, wird sich noch zeigen.

VLAN: Die Einrichtung von VLANs leuchtet mir ein und scheint mir sehr passender Weg zu sein. Ich hab das heute mal angeregt und es wird jetzt überprüft, ob die Switches diese Funktion anbieten. Kann man die VLANs auch so konfigurieren, dass der Drucker weiterhin für alle zugänglich ist?

802.1X: Verstehe ich das richtig? Dieses Protokoll könnte als Ersatz für das System mit den Zugangscodes fungieren? Man müsste ein RADIUS Server aufsetzen. Wie wird dann der Login ablaufen? Ich kenne es bei eduroam, dass ich bei der WLAN-Verbindung ein Benutzername und Passwort angebe. Ist das das gleiche?

Wenn möglich, würde ich es gerne verhindern den Zugang über MAC-Adressen zu regeln. Ständig hat jemand ein neues Gerät und muss dann jedes Mal beim Admin diese MAC-Adresse freigeben lassen.

Es wäre gut, wenn unsere zukünftige Netzwerkstruktur es zulässt, dass Fernseher, Spielekonsolen, Chromecast usw. über das WLAN ins Internet kommen. Gegebenenfalls dadurch, dass wer ein eigenes Netz haben will, sich eins einrichten kann ohne die anderen zu stören.
Bitte warten ..
Mitglied: StefanKittel
LÖSUNG 04.11.2019 um 14:25 Uhr
Hallo,

ich würde bei den VLANs bleiben.

Mal ein Live-Vergleich für einen Kunden was ich vor Jahren mal realisiert habe.
Das ist ein Officecenter in Hamburg welches Büro- und Konferenzräume vermietet.
Jeder Raum im Gebäude hat ein eigenes VLAN und damit IP-Adressbereich.

Raum 3.01 (3. OG, Raum 1)

LAN
VLAN 301
IP = 10.3.1.0/24
GW+DNS = 10.3.1.1
DHCP = 10.3.1.100 - 10.3.1.254

WLAN
SSID = Raum301
IP = siehe Oben
Damit sind LAN und WLAN Geräte im gleichen Netzwerk.
Der Kunde kann mit seinem Netzwerk machen was er will.

Die öffentlichen Drucker sind in einem eigenem VLAN.
Man kann den Zugriff unter den VLANs genau mittels einer Firewall konfigurieren.

Internet ist ein sDSL 200 MBit LWL Anschluss.

Firewall ist eine Gateprotect GP400
Switch sind D-Link 3120
WLAN sind Ruckus R700 mit zentralem Controller
Bitte warten ..
Mitglied: ukulele-7
04.11.2019 um 16:23 Uhr
Dem WLAN wird noch eine zentrale Bedeutung zukommen, hier wird man warscheinlich Geld in die Hand nehmen müssen. Bei 100 Studenten ist das schon ne Nummer, vielleicht kannst du die Leute dazu anhalten Streaming Clients nicht im WLAN zu nutzen sondern nach Möglichkeit mit Kabel anzubinden.
Bitte warten ..
Heiß diskutierte Inhalte
Firewall
PfSense direkt an Glasfasermodem der Telekom über PPPoE
snah0815Vor 1 TagFrageFirewall24 Kommentare

Hallo Zusammen, nachdem ich die pfSense nun eine Zeit lang in einer Kaskade mit einer Fritzbox 7590 betrieben habe, möchte ich nun gerne die ...

Netzwerkmanagement
TIA568A oder B - Leistungsunterschiede oder egal?
gelöst alboshiroVor 1 TagFrageNetzwerkmanagement15 Kommentare

Hallo Zusammen, ich bin aktuell im Hausbau und habe in jedem Zimmer ein RJ45 CAT7 Ethernetkabel für jeden Raum verlegt. Jetzt müsste ich die ...

Internet
Kein Internet nach Windows 2019 Server Installation
gelöst ZygmundVor 21 StundenFrageInternet24 Kommentare

Computer : HP ProLiant DL580 Gen7 , 4x CPU , 16 GB ECC Ram, 1 TB SAS Installation von - Windows 8 Server - ...

LAN, WAN, Wireless
WLAN-ACCESSPOINT welche soll ich mir kaufen?
samet22Vor 1 TagFrageLAN, WAN, Wireless11 Kommentare

Hallo :) Ich halte mich kurz: Ich möchte mir neue WLAN-Accesspoints für die Firma kaufen da die jetzigen fast 7 Jahre alt sind und ...

Webentwicklung
Wo legt Joomla den Content im Verzeichnis ab ?
MachelloVor 1 TagFrageWebentwicklung17 Kommentare

Hallo Zusammen, ich habe folgendes Problem: Ich benötige Daten aus einer alten Joomla Webseite. Von dieser Webseite habe ich nur das komplette Verzeichnis vom ...

Monitoring
PC Monitoring Software?
TRON06Vor 1 TagFrageMonitoring9 Kommentare

Gibt es eine Monitoring Software (ähnlich wie HWiNFO) mit der man mehrere Computer überwachen kann (CPU auslastung, Festplatte, Temperatur Sensoren) und wo die Daten ...

Netzwerke
DHCP-Probleme nach Switch-Wechsel
gelöst sausi77Vor 1 TagFrageNetzwerke7 Kommentare

Folgendes Problem: - hab meinen Switch gewechselt: vom Zyxel GS1900-24E auf einen Zyxel XGS1930 Seitdem haben mobile Clients (insbesondere auf iOS und Windows-Basis Probleme) ...

Windows 10
Vom Homeoffice auf lokale Dateien zugreifen
SayllesVor 1 TagFrageWindows 106 Kommentare

Guten Morgen, meine Frau ist im Homeoffice, ihr Arbeitgeber stellt ihr einen Access der unter Server 2016 lauft zur Verfügung. Dieser Remote zugriff funktioniert ...