TV Mobile Mirroring im Hotel WLan

Sorry, ich war noch nicht fertig mit tippen. Hatte mich auf dem Handy verklickt.
Antwort siehe oben

Naja - du kannst natürlich auch sowas wie apple-tv einsetzen bei dem du eben den Code aufm TV eingeben musst. Ich würde aber generell eher davon absehen den Guest-Mode auszuschalten. Denn: Der TV ist ja nur das eine. Wenn aber der Gast X zu dir kommt und sagt das jemand seinen Rechner geknackt hat (weil der ja auch im Netz erreichbar wäre) hast du schnell nen Ruf-Schaden und ein Image-Problem.

Ich würde daher ggf. "oldschool" beigehen und an der Rezi nen paar HDMI-Kabel bereitstellen (oder sogar am Fernseher ranmachen, dann nur vernünftig sichern). Der Gast kann dann sein Laptop ranhängen und einfach als HDMI den TV nutzen. Egal ob als 2ten Monitor zum Arbeiten, für die Wiedergabe von Videos,... Und du hast kein Problem damit ob der TV für andere sichtbar ist. Denn: Ich würde im Gastbereich den TV generell NIE Internet geben:
- Gast hat Netflix o.ä. genutzt und vergessen sich abzumelden, der nächste nutzt das - du hast den Ärger...
- Firmware-Update am TV kann den Gast stören (bis hin dazu das der sich denkt "ach, starte ich eben via Stecker-Raus" neu und du hast nen schönen Backstein...
- Gäste-TV sollten (zumindest wenn du nen System dahinter hast) generell im eigenen Netz sein - sonst kann man relativ schön den Multicast zerlegen wenn man sich da ans Kabel hängt. Blöd wenn da nen Kiddy plötzlich auf denselben Multicasts sendet und die TVs kein Bild mehr machen...

Das Problem ist halt, dass du irgendwie die Zuordnung Fernseher zu Zimmer hinbekommen musst, was mit einem großen WLAN nicht funktioniert. Entweder benötigst du eine spezielle Lösung, so wie du es schon genannt hast oder du musst die WLAN-Zellen verkleinern.
Du hast leider nicht genannt, welche Hardware du am bzw. als Fernseher einsetzen willst dafür. Hängen die Fernseher per Kabel oder WLAN im Netz und wenn es WLAN ist, besteht die Möglichkeit, diese auch per Kabel anzubinden?

Willst du zwingend, dass der Gast nur seinen Fernseher sieht oder dürfen es auch ein paar mehr sein? Man muss die WLAN-Zellen nicht unbedingt auf Zimmergröße verkleinern, aber wenn man etwas umbaut und umkonfiguriert, kann man es sicher regeln, dass die Zellen sich nur auf drei, vier, fünf Zimmer beziehen. Wenn man die Fernseher jetzt per Kabel oder über ein eigenes WLAN ohne Client-Isolation anbindet, könnten sich die Gäste weiterhin nicht sehen, aber die Kommunikation mit einer Hand voll Fernseher wird möglich.

Aber ganz ohne größeren Eingriff ins Netzwerk wird nicht funktionieren.

mein Vorschlag gewärleistet, dass jeder Gast nur seinen TV "sieht" und keinen Zugriff auf Geräte anderer Gäste erhält

Moin,

Welche TVs kommen zum Einsatz?

Mache TVs können auch gleichzeitig als AccessPoint fungieren.
Dann hängt jeder TV in einem eigenen VLAN und stellt darüber das auch das WLAN bereit…

Evtl. mal nach
Use SmartTV as Access Point in Zusammenhang mit deinen TVs suchen

Gruß
em-pie

Naja - aber auch der hat den "Nachteil" das die Gäste ja ggf. durchs Haus gehen und du ja idR nicht willst das eben jemand da einfach andere Gäste nerven kann (und sei es nur die Abfrage "Neues Gerät versucht zu streamen"). Wäre ja schon blöd wenn z.B. grad die Fussball WM öä. läuft, DE vorm Tor steht und dein Nachbar permanent versucht auf dein Gerät zu streamen und dir immer ne Meldung ins Bild springt.

Alternativ müsste man halt dazu übergehen das der Gast erst den Mirror-Mode aktivieren muss. Da kommt es dann auf die Gäste an ob sowas machbar ist. Sind eher ältere Gäste zu erwarten (weil z.B. eher Urlaubshotel) wird das schwer zu erklären sein. Bei jüngeren ist halt die Frage - welche Geräte WILL man da unterstützen weils da ja auch immer mal wieder Änderungen gibt.

Daher würde ich halt da nich zu viel Zeit / Geld reinstecken da es zwar nen nettes Spielzeug für Zuhause ist aber bei Gästen natürlich auch viel Unmut erzeugen kann. Da is nen einfaches Kabel fürs Laptop (und ggf. noch nen paar Adapter an der Rezi fürs iPhone, Samsung,... die man gegen Kaution ausleihen kann) ggf. die leichtere Lösung.

Nochmal: bei meinem Vorschlag bekommt der Gast immer nur das VLAN seines Zimmers - egal ob er in seinem Zimmer, im Zimmer eines anderen Gasts, im Flur oder im Speisesaal ist...

Gruß
sk

@sk: Es bedeutet aber Verwaltungsaufwand für die Rezeption, weil die dann nicht Zugangsdaten auf Halde legen können sondern darauf achten müssen, dass die Zugangsdaten zum Zimmer passen.. Ich bin häufiger als Gast in Hotels und es ist nicht selten, dass die Rezeption es noch nicht mal schafft, funktionierende Zugangsdaten herauszugeben, wie soll es da noch funktionieren, dass die die richtigen herausgeben?

Für ein Hotel ist ein Hotspot heute Pflichtprogramm und ein Minusgeschäft. Es gibt dem Hotel keinen Mehrumsatz, sondern es wird zwingend erwartet, also darf es nur so wenig wie möglich kosten und keinen Aufwand erzeugen.

PS: Habe auch gerade gelesen, dass du WPA*-Enterprise vorschlägst. Nicht realisierbar, weil du nicht erwarten kannst, dass jedes Kundengerät es unterstützt. Je günstiger, umso geringer die Chance. Dazu müsstest du ein öffentliches Zertifikat für deinen RADIUS-Server besorgen, damit der Kunde keine Fehlermeldung bekommt, was auch wieder Kosten verursacht. Lets Encrypt kannst du da nicht einsetzen, weil das einen Webserver, der öffentlich erreichbar ist, voraussetzt und da der Zertifikatswechsel zu häufig wäre. Von Kunden akzeptiert wird nur WPA*-Personal oder ein Captive Portal, weil das so ziemlich jedes Endgerät, mit Ausnahme von IoT-Geräten, abbilden kann.

Dazu kommt das grad in kleineren Hotels idR. keine eigene IT vor Ort ist. Wenn man das also max. Komplex baut und irgendwas klemmt dann hängen die Leute vor Ort da in den Seilen. Auf einer Seite die Gastbeschwerden weils nich geht - und auf der anderen Seite der Versuch mit der IT zu reden (was oft genug aneinander vorbeigeht dann).

Es gibt ja durchaus Systeme die sowas können - interaktive TV-Systeme... Da hängt aber eben idR. auch ne grössere Investition dahinter und die Systeme werden dann auch entsprechend angepasst so das die es dem Gast leichter machen (im optimalfall zumindest ;) )

Die vom Kollegen @sk vorgeschlagene Lösung mit einem Private VLAN (isolated VLAN) wäre aber schon der richtige Ansatz. Das ist dann dann das Grundvlan in dem alle Zimmer liegen und eine Any zu Any Kommunikation verhindert wird. Innerhalb dieses Private VLAN legt man dann die Zimmer VLANs an die dann wieder Client und Fernseher Zimmer bezogen zusammenbringen.
Kompliziert wir das ganze nur wenn der Client ein WLAN Client ist. Es gibt ja keine dedizierten „Raum APs“ sprich ein AP bedient ja in der Regel mehrere Zimmer. Mit statischer Zuweisung würden zumindest diese Clients mehrere TV „sehen“ was dann aber wieder bedeutet das Gast x auch dem Gast y im AP Einzugsbereich „dänische Western“ auf seinen TV schicken könnte.
Das würde man nur mit Mac Based VLANs bzw, WPA Enterprise in den Griff bekommen was im Hotel wohl aus Management Sicht Utopie ist wie oben schon zurecht angemerkt.
Man müsste dann in der Tat diese Funktion rein auf das Kabel basierte Netzwerk limitieren. Für reine WLAN Kunden kann man dann an der Rezeption gegen Pfand einen klEinen, mobilen WLAN Client anbieten der den Zimmer Kupferport bei Bedarf in ein Zimmer bezogenes, reines „TV WLAN“ erweitert. Das zentrale PVLAN hat dann noch den Vorteil das über diesen Workaround auch keiner am Captive Portal des Hotels, ob kostenpflichtig oder nicht, vorbeiarbeiten kann.
Mit entsprechender HW ist das auf alle Fälle problemlos umzusetzen.

Erfahrung oder Annahme? Ich betreibe u.a. WLANs an knapp 20 Schulstandorten sowie in diversen Verwaltungsgebäuden (Rathaus, Feuerwehr, Bibliothek usw.). Überall dort gibt es neben internen Netzen auch Gäste- u./o. BYOD-Netze. Seit 2014 betreibe ich alle Gäste-/BYOD-Netze nur noch mit WPA-Enterprise und habe entgegen meinen eigenen anfänglichen Bedenken keine besonderen Probleme feststellen können. Android, iOS, iPad-OS sowie alle Windows-Versionen ab Vista funktionieren problemlos und auch die User kommen mit der Einrichtung klar. Nur unter XP war die Einrichtung nicht intuitiv - aber das OS ist Gott sei Dank faktisch ausgestorben. Was bleibt dann noch übrig?
Für den Fall, dass der durchschnittliche Hotelgast tatsächlich noch unbeholfener ist, als der durchschnittliche deutsche Lehrer (das zu glauben fällt mir schwer), kann man ja parallel dazu weiterhin ein offenes WLAN mit Captive-Portal-Authentifizierung anbieten. In letzterem hat man dann halt keinen Zugriff auf den SMART-TV (und keine Verschlüsselung des WLANs). Die Zugangsdaten sollten selbstverständlich sowohl am Captive Portal als auch beim WPA-Enterprise gesicherten WLAN funktionieren - beide Systeme sollten also gegen die gleiche Benutzerdatenbank authentifizieren.



Ein öffentliches Cert braucht man ohnehin für das Captive Portal, sofern man es nicht ohne SSL betreibt (was bei modernen Browsern aber ebenfalls zu einer Warnung führt). Jedoch nutzt einem ein reines Webserver-Zertifikat für den Radius-Server nichts, denn dieses muss andere Anforderungen erfüllen.
Ich betreibe meine per WPA-Enterprise gesicherten Gäste-WLANs mit selbst erstellten Zertifikaten für den Radius-Server. Nicht schön, geht aber. Den Usern scheint es völlig egal zu sein. Abhängig vom Client-OS bringt meinen damaligen Tests zufolge ein Cert einer bekannten CA zumindest bei einer Authentifizierung mittels PEAP noch nicht mal einen Vorteil: der User muss das Radius-Cert trotzdem "abnicken".



Ein rein organisatorisches Problem. Den richtigen Schlüssel rauszurücken bekommt das Personal aber schon noch hin oder wird dieser auch per Los vergeben? Wenn man unbedingt vorab ausgedruckte Voucher haben möchte (was grundsätzlich ginge), dann kann man sich die Arbeit natürlich vereinfachen, indem man diese entsprechend vorsortiert vorhält. Z.B. im Postfach des Zimmers, am jeweiligen Schlüsselhaken oder in einem Ordner mit nach Zimmern getrennten Registern. What ever. Wenn wir in Deutschland nicht mal mehr für soetwas simples eine Lösung finden, dann "Gute Nacht"...

Das Vorgenerieren von Vouchern - jedenfalls über die Vorhaltung eines kleinen "Backups" hinaus - halte ich aber ohnehin für völlig aus der Zeit gefallen, denn das bedeutet ja, dass man mit vordefinierten Zeiträumen (1 Tag, 2 Tage, 1 Woche etc. ab erstmaliger Nutzung) arbeiten und ggf. mehrere Voucher kombinieren muss. Wesentlich besser wäre es, die Gültigkeit der Zugangsdaten entspricht von vorneherein der voraussichtlichen Anwesentheit des Gastes und das Ende kann ggf. nachträglich angepasst werden (bei vorzeitiger Abreise oder Verlängerung).
In den meisten professionellen, zentral verwaltbaren WLAN-Systemen ist eine Funktion zum Generieren und ggf. zeitlichen Anpassen auch individueller Zugangsdaten bereits enthalten. In den wenigsten Fällen dürfte es aber möglich sein, damit den Usern unterschiedliche VLAN-IDs für die dynamische VLAN-Zuordnung zuzuweisen, wie mein Lösungsvorschlag im Kern vorsieht. Hierfür wird man dann auf dedizierte Identity-Management- oder NAC-Systeme als Radius-Backend (und ggf. Bedienerinterface) zurückgreifen müssen. Beispielsweise auf Clearpass von Aruba/HP oder FortiAuthenticator von Fortinet. Ich selbst nutze seit 2014 Meru Identitymanager (seit der Übernahme von Meru durch Fortinet in "FortiConnect" umbenannt).
Wenn das Personal an der Rezeption hierfür jedoch wieder zusätzlich zum Buchungssystem ein weiteres System zum Generieren und Pflegen der WLAN-Zugangsdaten "live" vor den Augen des wartenden Gastes bedienen muss, dann ist das ein zusätzlicher Aufwand, der sicherlich in vielen Fällen nicht gewünscht sein wird - da gebe ich Dir völlig Recht! Die Zielsetzung muss deshalb aus meiner Sicht sein, das Radius-Authentifizierungsbackend mit dem Buchungssystems des Hotels so "zu verheiraten", dass eben kein relevanter Mehraufwand für die Rezeption entsteht. Zumindest FortiConnect und Clearpass haben Schnittstellen zu einigen gängigen Hotel PMS. Inwieweit diese allerdings geeignet sind, das von mir Vorgeschlagene umzusetzen, entzieht sich leider meiner Kenntnis. Im Zweifel muss man halt selber etwas "stricken". Kann ja nicht so schwer sein, per Cron-Job die nötigen Infos wiederkehrend aus der HMS-Datenbank auszulesen und z.B. in die DB eines Free-Radius zu schreiben. Genau diese Integrationsleistung wäre aus meiner Sicht eben genau das Betätigungsfeld des IT-Dienstleisters, welche dem Kunden einen echten Mehrwert liefert. Hardware kann sich der Kunde im Internet meist billiger selbst beschaffen...


Gruß
sk

Auch Ubiquiti supportet 802.1X mit dynamischer VLAN-Zuordnung.

Gruß
sk

Wenn‘s das denn war bitte den Thread dann auch schliessen !
Wie kann ich einen Beitrag als gelöst markieren?