Nutzungsvereinbarung des WLANS im Unternehmen

Vielen Dank, habe es ganz kurz überflogen.
Klingt interessant, eine VM wollte ich aber nicht noch extra machen.
Ich suche eine einfacherer möglichkeit.


Das geht dann auch nur mit der VM oder?

Hey,

private Sachen sind untersagt.

Ich überlasse das WLAN den Mitarbeitern für firmeninterne Zwecke, damit sie auch mal an ihrem Laptop oder Handy was internes im Internet Nachschauen können.

ICh dankeeuch, aber es muss doch auch einfacher gehen. Wir haben 3 Leute, die das WLAN nutzen. Mehr nicht. Dafür so viel Aufwand betreiben, will ich nicht. Zumal ich auf dem Server auch keine VM laufen lassen möchte und einen zweiten haben wir nicht.

Die neuen FB haben ja einen Gastmodus. Leider unsere alte nicht. Eventuell gibt es da ja eine andere Firmware.

Naja gibt es nicht möglichkeiten, das WLAN Netz irgendwie abzugrenzen vom produktivnetz?

Leider haben wir auch einen WLAN Drucker in unserer Firma, der im Produktivnetz verfügbar sein muss.

Also wie gesagt wären da die beiden Router.

Dann haben wir noch einen Netgear GS724T.

Mehr haben wir nicht.

oha oha oha, das sieht mir ja extrem komliziert aus.

Damit hatte ich ja noch nie was zu tun.

Aber so wie es aussieht, benötige ich auch einen VLAN fähigen Router und das kann die Fritzbox nicht. Ergo müssten wir eine neue kaufen und das wollte ich 1) eigentlich ersparen und 2) kann ich dann ja gleich das Gast-WLAN der neuen Fritzboxen nutzen.

Guten Morgen,

ich habe mir die ganze Sache noch mal angeschaut.

Ich habe zu dem Radius Server noch mal eine Frage.

Also wenn ich das jetzt richtig gelesen habe, reicht mir so ein Radius Server aus, um die WLAN Autorisierung durchzuführen richtig?

Wir haben ein Synlogy NAS und im Link steht ja, dass auch die NAS Systeme Radius unterstützen, also benötige ich keine VM.

Klappt das so einfach?

Dann muss ich ja noch im Router auf Enterprise stellen. Beim Tp-Link klappt das natürlich, bei der Fritzbox allerdings nicht. Gibt es da eine alternative Firmware?

Und muss ich dann wirklich das Zertifikat auf dem Client installieren? Das möchte ich mir schenken. ICh möchte dem User einen Account geben, womit er sich dann im WLAn anmelden kann.

Vielen Dank.

Also wir haben ein Synlogy 712+ NAS, da habe ich die Option jetzt gar nicht gefunden.
Habe es aber nur kurz überflogen. (Edit: Kann man als Paket nachinstallieren )

Wegen dem Zertifika ist mir schon verständlich und abschalten möchte ich das natürlich ungern.

Ich möchte aber definitiv nicht das Zertifikat per Hand verteilen.
Ich habe das einmal durch mit dem Serverzertifikat, will ich nicht wieder haben. Zumal es irgendwann abläuft, da´nn muss man wieder Hand anlegen.
Das mit dem Domain Login klingt gut, d.h. ich besuche eine Webseite und dann wird das Zertifikat installiert richtig? Dazu brauch er aber erst mal Internet
Wie funktioniert das ganze auf Handys, weil das meiste Smartphones sind.

Wie müsste ich denn das Zertifikat auf dem Handy installieren?

Sehe ich dann mit dem Radius Server genau, wann wer online war und habe eine bessere übersicht?
Muss der User sich jedes mal neu einloggen? Oder bleibt die Verbindung aktiv?

//edit: Was mir noch einfällt.
Wir haben auch einen WLAN Drucker (Brother 8950DW), wie tut der sich autorisieren? Er muss ja ständig erreichbar sein.

OK vielen Dank das klingt pausibel

Ja den Radius kann ich einfach nachinstallieren!

ICh kenne das mit dem Zertifikatgenerierung nur von unserem SBS, dort kann man keine Laufzeit einstellen, weil der SBS das eigenständig konfiguriert.
Aber wenn man das so einstellen kann, dass er bei der Anmeldung im WLAN automatisch das zertifikat installiert, dann ist doch alles fein.
Das sollte dann ja auch auf dem Handy so funktionieren. Kann ich das einfach einstellen am Synlogy NAS?

Accounting klingt gut, mehr Informationen sind nie verkehrt. So kann man ggf auch jemand finden, der z.B. nur die Leitung blockiert etc.

Vielen Dank, dann wird der Drucker ja einfach eingebunden.

Alles in allem klingt das ja wirklich einfach, wenn das mit der Zertifikatsinstallation jetzt noch problemlos klappt.

Gruß
Manuel

Edit: Wie füge ich neue Benutzer hinzu, denen ich den WLAN zugriff gewähren möchte?

Edit2: So ich habe jetzt umgestellt auf Domainbenutzer.
Jetzt können sich die User mittels Konto anmelden, was ich im Active Directory hinterlegt habe. Es funktioniert
Ist das der richtige weg, also das über die Domainuser zu machen?
Da kann ich ja auch einen Gastaccount im AD erstellen, wenn doch mal ein Gast kommt, dem ich WLAN Zugriff gewähren möchte.

Und die anderen User melden sich ja normal mit ihren Namen und Passwort an, was im AD hinterlegt ist, so kann ich nachvollziehen, wer wann drauf war.
Ich habe aber keine Möglichkeit gefunden, "Accounting" zu alktivieren. Vermutlich geht das bei Synlogy nicht.

Jetzt muss ich nur noch den Drucker einbinden (den muss ich dann warscheinlich auch im AD anlegen) und (ich werde es mal testen) die alternative Firmware auf die Fritzbox drauf installieren.
Wenns nicht geht, kauf ich einfach noch ein TP-Link, der funlktioniert sehr gut.

Danke für den Windows NPS Tipp, das Programm ist schon installiert bei mir.
Ist aber etwas komplizierter als unter Synlogy, dafür mehr Einstellmöglichkeiten.
Ich werde mich da aber einarbeiten.

Wenn jetzt ein Gast kommt und kurz mal im WLAN was nachschauen möchte, wie müsste ich dann vorgehen?
Das Zertifikat möchte ich dann natürlich nicht erst importieren.
Ich möchte dann dem User "Name" und "Passwort" geben, damit er sich einwählen kann.
Das ganze sollte dann natürlich nachverfolgbar sein.
Also erstelle ich einen User im AD und gebe dem Gastlaptop dann die Daten. Dann loggt er sich damit ein und das Zertifikat wird automatisch installiert, richtig?

Sollte man irgendwelche speziellen Verbindungsanforderungen oder Netzwerkrichtlinienbedingungen eintragen?
Derzeit ist nur IEEE 802.11 und eine Benutzergruppe "WLAN-Benutzer" drinn.

Jetzt frage ich mich noch, wie ich meinen Drucker da mit rein bekomme?

Und Accounting finde ich leider auch nirgends. Wo kann ich z.b. dann sehen, wer was verbraucht hat etc? Ich sehe bisher lediglich in der Ereignisanzeige, wann sich wer eingeloggt hat.

Jetzt wäre noch die Frage von der Netztrennung, die ich stellen muss.
Ich möchte nicht, dass ein Mitarbeiter seinen privaten Laptop mitbringt und mit WLAn in das interne Netz geht.
Muss ich das Netz jetzt zwingend trennen oder kann ich auch die "NAP-Erzwingung" dafür nutzen? So könnte ich ja eventuell eine Gruppe mit WLAN-Vollzugriff machen und eine mit eingeschärnkten Zugriff.
Oder geht das so nicht?

Viele Grüße
Manuel

Vielen Dank, ich schaue mir das am Montag in Ruhe an.

Ich habe jetzt unsere Fritzbox entfernt und werde am Montag einen Tp-Link Router anschließen.

Wichtige Frage wäre dann für mich noch.

Wie bekomme ich meinen WLAN Drucker dann zum laufen?
Wo muss ich was eintragen?

Dann hab ich irgendwas nicht richtig verstanden.

Ich habe dann ja komplett wpa2-Enterprise.
Ergo habe ich nicht einfach nur ein pw, sondern muss mich mit Benutzername und pw anmelden.

Also einfach im AD den Drucker als User hinterlegen? Also am besten eine Kategorie machen und dann einen User dort rein. Oder?
Aber komisch ist das schon, dann bekommt er ja auch eine Emailadresse etc. Was will ein Drucker damit?

Hallo,

ich muss noch mal nachfragen

Unser WLAN Drucker (Brother 8950DW) hat sogar Enterprise Security (802.1x).

Also muss ich ja im AD nichts anlegen.

Er fragt aber trotzdem nach Username und Passwort, soll ich da das vom Administrator nehmen? Oder doch einen User dafür anlegen im AD?

PS.: Wir haben jetzt einen TP-Link TD-W8970B hier, der untersatützt WPA2-Enterprise und sogar VLAN. Und eine Gäste WLAN.

Komm ich da nicht einfacher, wenn ich für die privaten Laptops und Smartphones das Gäste WLAN nutze oder doch lieber alles per VLAN (dort muss ich mich wirklich einlesen vorher)?

Hallo
Jetzt gehts morgen wieder ans arbeiten und ich habe gleich noch ein paar Fragen.

Es geht noch mal um das GastWLAN.
Ich möchte mir kein Linux irgendwie installieren. Was gibt es denn noch für andere Möglichkeiten? Bei uns greifen wirklich nur ein paar Leute drauf zu. Durch WPA2-Enterprise habe ich jetzt schon erreicht, dass sich die User mit ihren eigenen Kennwort und Namen einloggen und es keinen zentralen WPA2 Schlüssel mehr gibt.. Und ich sehe, wenn sich welcher User eingeloggt hat. Ich habe eine WLAN Sicherheitsgruppe erstellt und schiebe auch nur die Leute rein, die Zugreifen dürfen.
Bezüglich Datenkontrolle (wer verbraucht wie viel) konnte ich nichts finden

Jetzt habe ich z.B. einen Laptop, der nicht in der Domäne ist. Wie kann er über WLAN ins Internet gehen? Da lege ich also auch einfach einen User im AD an, womit er sich dann einloggt, richtig?

Kann man für das GastWLAn nicht doch das integrierte nehmen? Wir haben etwa 4-5 Leute, die aufs WLAN zugreifen. Also sehr übersichtlich. Einer davon soll auch aufs interne Netz zugreifen können.

//Edit: Jetzt les ich gerade, dass hier: VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern auch PFSense vorgeschrieben wird.
Was gibt es denn noch für Möglichkeiten, wenn man das nicht möchte?

Wie gesagt ich bin da nicht so bewandert drin und wir sind nur ein sehr kleines Unternehmen. WPA2-Enterpsise ist ja schon sicherer als vorher. Was müsste man noch tuen?
Kann ich die VLAN nicht nur über den Switch anlegen oder direkt im Router? Ich hab es paar mal durchgelesen, aber so richtig bin ich nicht drinnen

Also im Prinzip muss ich 2 VLANs anlegen (Am Switch). Im Router muss ich dann jeweils 1 VLAN 1er SSID zuordnen.
Wie sage ich dann dem VLAN, dass er nur aufs Internet zugreifen kann?
Wir haben nur 1-2 User, die per WLAN auf das Interne Netz zugreifen müssen und zwar nur wegen den Netzwerkdruckern.
Vielleicht kann man da ja irgendwas machen, um sich zusätzliche Arbeit zu ersparen?

Vielen Dank für die Antwort.
Ich habenicht alles verstanden, muss ich ehrlich sagen.

Ich möchte gern einfach noch mal sagen, was ich genau möchte, um das ganze etwas einzugrenzen und zu erleichtern für mich.

---
Also ich habe einen Netgear Switch, einen TP-Link TD-W8970B Router und einen neuen TP-link AP.

Der Router stellt die Internetverbindung her.
Es soll kein zusätzliches Gerät angebracht werden, sondern ich möchte das vorhandene nutzen.

Wir haben 4-5 User, die aufs WLAN zugreifen (mit Smartphone und Laptop).
1-2 Laptopnutzer möchten dann über den Netzwerkdrucker drucken.
Die anderen (Smartphones und 1 Laptop) möchten einfach nur internet.
Es gibt nicht für jeden/s User/Gerät (egal ob Smartphone oder Laptop) einen User im AD. Z.B. hat der eine private Laptop kein AD User.

Ich möchte "keine" Einmalkennwörter. Ich möchte einem User die Berechtigung für WLAN geben und fortan kann er ins Netz, solange bis ich ihm die Rechte wieder entziehe.
Auf dem Router bzw. Server möchte ich nachvollziehen können, wann sich welcher User einloggt und eventuell, welche Datenmenge er saugt etc.

Soviel zur Theorie. Mehr brauchen wir nicht und mehr wäre für uns zu overkilled.
Wie ist jetzt was genau umsetzbar?

Ich habe z.B. einen User "LAMMEL".
Der User existiert im AD, da er einen lokalen PC in der Firma hat und sich dort auch einloggt.
Er loggt sich jetzt mit seinem Smartphone ins WLAN mti den gleichen Zugangsdaten ein. Damit könnte er theoretisch auf das interne Netz zugreifen.
Das brauch er zwar nicht, wäre aber OK.

Jetzt gibt es einen weiterne Nutzer "WITTENBURG".
Dieser hat auch einen PC und einen User im AD.
Er hat aber auch ein privates Smartphone und einen privaten Laptop.
Beiden möchte ich den WLAN Zugriff gestatten, aber nicht ins interne Netz.

ICh muss dazu sagen, das wir jetzt jahrelang mit einem WPA2-Personal Zugang gearbeitet haben und es nie Probleme bzw. Anzeichen dafür gab, deshalb will ich das ganze auch nicht zu Weit aufziehen.

Die Grundaustsattung habe ich mti den Radius Server ja schon gelegt, habe d ort den Router und den AP angebunden.
Die User können sich jetzt über PEAP einloggen. Aber optimal ist das noch nicht. Ich sehe noch nicht, was welcher User verbraucht an Datenvolumen.
ICh glaube nicht, das bei uns jemand das GästeWLAn von den TP-LLink Router aushebelt. Man könnte also das für die Leute nutzen, die nur Internen brauchen. Die, die auf das interne Netz zugreifen sind aber so wenig, da lohnt es kaum, die Netze zu trennen.

Edit: Monowall bzw. PFSense ist ja keine Pflicht.
Wenn ich jetzt 2 VLANs über unseren Netgear Switch anlegen und dann im Router bzw. AP die 2 VLANS zuordne, das würde also schon reichen?

Edit2: Sehr ich das richtig, dass ich bei Netgear dann einem VLAN Ports zuordnen muss, also Ports am Switch? Was muss ich an den Ports dann anstecken? Da steckt ja der AP z.B. dran, der beide Netze ünterstützen soll. Am Router habe ich gar keine Option für 2 SSID gefunden.


Ich habe das ganze mal hier aufgezeichnet:

http://abload.de/img/unbenannt-15jupv.jpg
(Bild einfügen hat nicht geklappt).

Als WLAN wird sowohl das im Router integrierte, als auch das vom AP genutzt.

ICh bin etwas weiter.

Also so wie ich das sehe, kann ich das interne WLAN vom Router nicht nutzen.

Also muss ich mir noch einen AP mit Multi-SSID Support kaufen.

ICh erstelle mir 2 SSIDs.
Ich erstelle mir 2 VLANs.
1 VLAN für WLAN intern
1 VLAN für WLAN gast
Ich weiße dann jeweils einer SSID einem VLAN zu.
OK das habe ich soweit verstanden.

Wenn ich die VLANs aber am Netgearswitch einrichte, dann muss ich ja pro VLAN angeben, welche Ports tagged und welche untagged sind.
Tagged ist jeweils der Port zum Router, richtig?
Welche Ports muss ich jetzt mit untagged auswählen? Die zum AP?
Dann haben aber beide VLANS die gleichen tagged und untagged Ports, da ich ja beide VLANs mit dem AP nutzen möchte.
Wie sag ich jetzt, dass er bei dem einen VLAn ein anderes Netz nehmen soll? Wie gesgatte ich nur den Internetzugriff?

EDIT:
Ok die VLANS kann ich dann im Router verschiedenen IP Adressbereichen zuordnen.
Wäre jetzt nur noch die Frage, wie ich einem VLAN "nur" den Internetzugriff gewähre? Das müsste ja theoretisch automatisch passieren, wenn ich einem VLAN einen anderen Adressbereich gebe. Dann dürfte er keinen Zugriff mehr auf das interne Netz haben, richtig?

Somit hätte ich dann die 2 getrennten Netze.
Wie mache ich das jetzt mit dem Gästenetz?
Entweder per normalen WPA2-Personal Key?
Oder auch über das AD? Also auch mit PEAP?
Dann könnte ich ja 2 Sicherheitsgruppen anlegen, eine für das interne Netz und eine für das Gäste Netz und dann jeweil die User rein schieben, die Zugang haben dürfen im jeweiligen WLAN.

Oder ist meine Denkweiße jetzt komplett daneben?

Bin schon froh, etwas weiter gekommen zu sein

Am Netgearswitch würde ich die Ports, wo FirmenPCs, das NAS usw dran hängen auf die default VLAN Gruppe VLAN1 lassen, geht das?

EDIT2:
Sobald ich am AP Multi-SSID einstelle und VLAN aktiviere, steht mir kein WPA2-Enterprise mehr zur Verfügung. Nur noch WPA2-Personal oder keine Security. Was jetzt?

//EDIT 3: Fassen wir noch mal zusammen:
Capital möchte ich nicht, wie gesagt möchte ich mit der vorhandenen Hardware arbeiten.
Einmalkennwörter möchte ich auch nicht. Wenn ein MA sein Passwort weiter gibt ist mir das egal denn ich kann später genau sehen, welcher Mitarbeiter da misst gebaut hat und der haftet dann. Dann überlegen sich das die MA, ob sie ihr Passwort wirklich weiter geben.

Ich bin aber noch nicht wirklich weiter.
Geht mein ganzes Vorhaben überhaupt mit der vorhandnen Hardware? Die habe ich ja oben aufgelistet.

Muss ich dann 2 Netzwerkkabel von Router zu switch ziehen? Auf je einem Kabel läuft ein VLAN richtig?

Ich netschuldige mich, dass ich so viel verwirrende Informationen hier von mir gebe, aber ich bin gern einer, der das Problem selber mit Hilfe löst, als einfach eine IT-Firma zu holen.

Meiner Meinung nach bin ich das ganze falsch angegangen, da ich gleich 2 Projekte gleichzeitig gemacht habe.
1) 2 getrennte Netze aufbauen
2) die WLAN Authorisierung auf WPA2-Enterpsire umstellen
und ich habe den 2. Schritt vor dem ersten gemacht.

Ich bin aber jetzt schon etwas weiter, zumindest was die theorie angeht und ich möchte gerne noch ein paar kleine Fragen loswerden, falsl jemand hier noch antworten möchte (wäre sehr freundlich).

- Unser Router untersützt VLAN nicht direkt, sondern nur Interface Grouping. Soweit ich das verstanden habe, muss ich also 2 Netzwerkkabel vom Router zum Switch ziehen. Später kann ich sagen LAN1=VLAN10, LAN2=VLAN20 etc.

- Im Netgearswitch lege ich die 2 VLANS an. Da es für mich nur die AP betrifft, muss ich die Ports, wo der AP am Switch hängt, mit untagged kennzeichnen. Der Port zum Router ist dann auch untagged, richtig? Da unser Router ja nur Interfacegrouping unterstützt und ich eh 2 getrennte Kabel habe, kann ich das ganze ja nicht auf einem Kabel mit tagged laufen lassen.

- Soweit so gut, jetzt ist das Problem bei Netgear die PVID Configuration. Jedem Port kann ich jetzt nur 1 VLAN zuordnen. Da bei mir der AP ja beide VLANS nehmen soll geht das so ja nicht. Wenn ich das richtig gelesen habe muss ich also einfach einer der beiden VLAN eintragen und nicht (wie oben gesagt) untagged nehmen sondern tagged, so das sich der AP selbst die passende VLAN nimmt, richtig (also der Port zum AP müsste dann doch tagged sein, da der AP VLAn unterstützt, richtig?)?

- Muss ich dann in der VLAN Gruppe 1 (Default) bei den Port zum AP das untagged raus nehmen? ICh möchte aber auch auf die Weboberfläche des AP per FirmenPC noch zugreifen können.

- Muss ich den Netgear Switch nicht irgendwie auf 802.1Q stellen? Davon habe ich gelesen aber keine Option dergleichen gefunden.

- Dann trage ich einfach am AP die 2 SSID ein und ordne die passende VLAN zu. Am Router sage ich dann noch, das der LAN Port 2 z.B. eine andere IP bekommen soll. Und schon sollte es gehen und Projekt 1 wäre abgeschlossen oder habe ich was übersehen?

- Wenn ich VLAN am AP nutze ist es allerdings so, das ich nicht mehr WPA2-Enterprise zur Verfügung habe. Das wäre aber dann das zweite Projekte und ehe das erste nicht abgeschlossen ist, würde ich noch mal alles auf WPA2-Personal stellen und dann das erst angehen. Denn dafür gibt es sicherlich auch eine Lösung.

Viele Grüße und Danke schon mal
Manuel


/// EDIT :
Jetzt habe ich mein Ziel irgendwie vor Augen verloren.
Der TP-Link AP kann definitiv nicht Multi-SSID, VLAN und WPA2-Enterpsire gleichzeitig. Anscheinend haben aber viele von den billigen AP dieses Problem.
Kaufe ich mir jetzt also einen anderen der alles zusammen kann (er sollte aber auch so um die 30-40€ liegen) -> keinen auf die schnelle gefunden.
Oder ist mir das getrennte Netz jetzt wichtiger und es bleibt erstmal bei WPA2-Personal.

Ergo werde ich vermutlich dann den Radiusserver erstmal knicken können und lieber die Netze trennen, damit ich wenigstens 1 Projekt dann abschließen kann.
Vielleicht kann ich später mal eine Firmware auf den TP-Link Ap flashen, die alles gleichzeitig kann. Oder von TP-Link kommt ein Firmwareupdate, aber anscheinend wird dieses Feature von zu wenigen gewünscht