17
WLAN-Lösung mit 3-4 Access Points und mehreren SSIDs, separate VLANs
Hallo zusammen,
ich suche nach einer flexiblen Lösung für folgende WLAN-Anforderungen:
- Abdeckung einer Etage (ca. 30m*9m), eines angrenzenden Innenhofes (ca. 30m*30m) und eines weiteren Innenraums in einem anderen Gebäude (ca. 10m*20m), das direkt an den Hof angrenzt
- verschiedene SSIDs (mindestens drei, besser fünf), die dann jeweils in unterschiedlichen VLANs landen
- idealerweise Roamingmöglichkeit, sodass mobile Geräte ohne Probleme in den Bereich eines anderen Access Points wechseln können
- Captive Portal (pfSense) für Gastnetz möglich
- perspektivisch sollte auch die Möglichkeit einer Authentifizierung per Radius anstatt pre shared key gegeben sein
- wenn ich jetzt von 3-5 Access Points ausgehe, werden je Access Point voraussichtlich maximal 5-10 Endgeräte verbunden sein
Es kommen Cisco-SG200-Switche und eine pfSense zum Einsatz. Alle möglichen AccessPoint-Standorte können per Ethernetkabel angeschlossen werden.
Welche Geräte kommen dafür infrage? Ich habe bereits ein paar Ubiquiti NanoStation Loco M2 da, aber ich habe dort nichts zum Thema VLAN/mSSID im Webinterface gefunden.
Braucht man dafür einen zentralen WLAN-Controller?
Überlegungen zum Budget habe ich noch nicht. Lieber kleines Budget.
ich suche nach einer flexiblen Lösung für folgende WLAN-Anforderungen:
- Abdeckung einer Etage (ca. 30m*9m), eines angrenzenden Innenhofes (ca. 30m*30m) und eines weiteren Innenraums in einem anderen Gebäude (ca. 10m*20m), das direkt an den Hof angrenzt
- verschiedene SSIDs (mindestens drei, besser fünf), die dann jeweils in unterschiedlichen VLANs landen
- idealerweise Roamingmöglichkeit, sodass mobile Geräte ohne Probleme in den Bereich eines anderen Access Points wechseln können
- Captive Portal (pfSense) für Gastnetz möglich
- perspektivisch sollte auch die Möglichkeit einer Authentifizierung per Radius anstatt pre shared key gegeben sein
- wenn ich jetzt von 3-5 Access Points ausgehe, werden je Access Point voraussichtlich maximal 5-10 Endgeräte verbunden sein
Es kommen Cisco-SG200-Switche und eine pfSense zum Einsatz. Alle möglichen AccessPoint-Standorte können per Ethernetkabel angeschlossen werden.
Welche Geräte kommen dafür infrage? Ich habe bereits ein paar Ubiquiti NanoStation Loco M2 da, aber ich habe dort nichts zum Thema VLAN/mSSID im Webinterface gefunden.
Braucht man dafür einen zentralen WLAN-Controller?
Überlegungen zum Budget habe ich noch nicht. Lieber kleines Budget.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 379853
Url: https://administrator.de/contentid/379853
Printed on: April 19, 2024 at 05:04 o'clock
17 Comments
Latest comment
Hallo,
ideal hierfür wie du schon sagst, sind Ubiquiti Produkte. Aber nicht die NanoStation. Die ist eher auf Richtfunk ausgelegt.
Ich würde mir an deiner Stelle die Unifi AP AC Pros anschauen. Hier sind bis zu 4 SSID´s auch mit VLAN möglich. Romaing etc. ist auch möglich.
Du brauchst bei mehr als einen, einen Controller. Hier bietet sich wenn du keinen Server etc. hast der Ubiquiti Unifi CloudKey an.
Was ist das für ein SG200 ? Die neue Version der AP´s unterstützt mittlerweile 802.3af PoE, also native PoE. So bräuchtest diu nichtmal mehr die Injectoren.
mfg
maddig
ideal hierfür wie du schon sagst, sind Ubiquiti Produkte. Aber nicht die NanoStation. Die ist eher auf Richtfunk ausgelegt.
Ich würde mir an deiner Stelle die Unifi AP AC Pros anschauen. Hier sind bis zu 4 SSID´s auch mit VLAN möglich. Romaing etc. ist auch möglich.
Du brauchst bei mehr als einen, einen Controller. Hier bietet sich wenn du keinen Server etc. hast der Ubiquiti Unifi CloudKey an.
Was ist das für ein SG200 ? Die neue Version der AP´s unterstützt mittlerweile 802.3af PoE, also native PoE. So bräuchtest diu nichtmal mehr die Injectoren.
mfg
maddig
Hallo Hummus,
bei Ubiquiti bist du schon gut aufgehoben. Schau dir einfach mal die Webseite und den Demo-Controller online an.
Ich selbst habe den AC-LR im Einsatz. Für den brauchst du den WLAN-Controller. Ist kostenlos und schnell per Raspberry Pi im Einsatz.
Ich glaube die LITE haben einen im Gerät dabei.
Multi SSID und VLAN können die Geräte.
https://dl.ubnt.com/datasheets/unifi/UniFi_AC_APs_DS.pdf
Gruß Walle1979
bei Ubiquiti bist du schon gut aufgehoben. Schau dir einfach mal die Webseite und den Demo-Controller online an.
Ich selbst habe den AC-LR im Einsatz. Für den brauchst du den WLAN-Controller. Ist kostenlos und schnell per Raspberry Pi im Einsatz.
Ich glaube die LITE haben einen im Gerät dabei.
Multi SSID und VLAN können die Geräte.
https://dl.ubnt.com/datasheets/unifi/UniFi_AC_APs_DS.pdf
Gruß Walle1979
Hallo,
habe auch zwei UniFi UAP AC LR im Einsatz, die Verwaltung läuft auf einer Ubuntu Maschine (gibt es aber auch für Windows). VLAN einrichten ist easy, das Netzwerk bei mir auch über Ubuntu verwaltet (DNS/DHCP) und verbunden.
Preislich sicher interessant und im Support (Chat) gut erreichbar. Ob das ein LR sein muss lasse ich offen....
Grüße Peter
habe auch zwei UniFi UAP AC LR im Einsatz, die Verwaltung läuft auf einer Ubuntu Maschine (gibt es aber auch für Windows). VLAN einrichten ist easy, das Netzwerk bei mir auch über Ubuntu verwaltet (DNS/DHCP) und verbunden.
Preislich sicher interessant und im Support (Chat) gut erreichbar. Ob das ein LR sein muss lasse ich offen....
Grüße Peter
Moin,
wenn Dich die Unify APs interessieren: Brauchst Du zwingend so viele SSIDs?
Du kann die Zuweisung der Clients zu VLans auch im Radius abfrühstücken.
Es gibt dabei aber Einschränkungen bei den Unify APs: Ein VLan welches Du einer SSID des APs zugeordnet hast kannst Du einer anderen SSID des APs nicht mehr dynamisch zuweisen.
Die Userconfig der pfSense schaut dann z.B. so aus
"kxxxxx" Cleartext-Password := "xxxxxxxxxx"
Tunnel-Type = VLAN,
Tunnel-Medium-Type = IEEE-802,
Tunnel-Private-Group-ID = "21"
"mxxxxxx" Cleartext-Password := "zzzzzzz"
Tunnel-Type = VLAN,
Tunnel-Medium-Type = IEEE-802,
Tunnel-Private-Group-ID = "31"
Die können sich alle an der SSID "Privatnetz-RA" anmelden und sind doch netzwerktechnisch getrennt.
-teddy
wenn Dich die Unify APs interessieren: Brauchst Du zwingend so viele SSIDs?
Du kann die Zuweisung der Clients zu VLans auch im Radius abfrühstücken.
Es gibt dabei aber Einschränkungen bei den Unify APs: Ein VLan welches Du einer SSID des APs zugeordnet hast kannst Du einer anderen SSID des APs nicht mehr dynamisch zuweisen.
Die Userconfig der pfSense schaut dann z.B. so aus
"kxxxxx" Cleartext-Password := "xxxxxxxxxx"
Tunnel-Type = VLAN,
Tunnel-Medium-Type = IEEE-802,
Tunnel-Private-Group-ID = "21"
"mxxxxxx" Cleartext-Password := "zzzzzzz"
Tunnel-Type = VLAN,
Tunnel-Medium-Type = IEEE-802,
Tunnel-Private-Group-ID = "31"
Die können sich alle an der SSID "Privatnetz-RA" anmelden und sind doch netzwerktechnisch getrennt.
-teddy
Ich brauche nicht zwingend so viele SSIDs. Der Ansatz war halt eine SSID je VLAN. Die Zuordnung per Radius ist natürlich interessant! Dann muss ich nur schauen, dass alle Clients Radius können. Bei Linux und Android sollte das sicher problemlos funktionieren. Ich habe auch einen Windows-CE-Client, da müsste ich nachschauen, ob das dort geht. Im Zweifel könnte ich für die schwierigen Clients in eine separate SSID mit fester VLAN-Zuordnung aufnehmen.
Die Verwaltung kann also auch auf einer VM irgendwo im Netzwerk laufen?
Ich habe bei Ubiquiti auch die "in-Wall"-APs gesehen. Habe ich das richtig verstanden, dass ich da eine normale Netzwerkdose montiere und diesen AP da irgendwie draufstecken kann? Wie wird das befestigt? Funktioniert das auch an einer Doppeldose?
Und noch eine letzte Frage: Sind die verschidenen UniFi-Access Points alle untereinander kompatibel? D.h., kann ich da einfach mal drei kaufen und mit der Verwaltungssoftware loslegen und später auch andere Varianten ergänzen?
Die Verwaltung kann also auch auf einer VM irgendwo im Netzwerk laufen?
Ich habe bei Ubiquiti auch die "in-Wall"-APs gesehen. Habe ich das richtig verstanden, dass ich da eine normale Netzwerkdose montiere und diesen AP da irgendwie draufstecken kann? Wie wird das befestigt? Funktioniert das auch an einer Doppeldose?
Und noch eine letzte Frage: Sind die verschidenen UniFi-Access Points alle untereinander kompatibel? D.h., kann ich da einfach mal drei kaufen und mit der Verwaltungssoftware loslegen und später auch andere Varianten ergänzen?
Ja der Controller kann irgendwo in deinem Netz auf ner VM laufen. Du musst dann nur ne DHCP Option setzen, dass die AP´s die in nem anderen VLAN hängen den Controller finden für das Discovery.
Die In-Wall AP´s haben hinten dran ne normale RJ45 Dose und sind gleichzeitig ein AP und ne Patchdose. Also du musst da nichts mehr draufstecken. Der AP ist integriert. Mit einer deutschen Unterputzdose (68mm) bzw. einer Doppeldose kannst du nix anfangen weil die Dinger amerikanischen Standard haben. Das heißt ein rechteckige Aussparung benötigen.
Ja alle Unifi Produkte bzw. AP´s lassen sich einheitlich mit dem Controller steuern und strahlen dann auch einheitlich deine konfigurierten SSID´s aus. Und nachträglich welche hinzufügen geht kinderleicht und diese ziehen sich dann auch automatisch die Konfig.
mfg
maddig
Die In-Wall AP´s haben hinten dran ne normale RJ45 Dose und sind gleichzeitig ein AP und ne Patchdose. Also du musst da nichts mehr draufstecken. Der AP ist integriert. Mit einer deutschen Unterputzdose (68mm) bzw. einer Doppeldose kannst du nix anfangen weil die Dinger amerikanischen Standard haben. Das heißt ein rechteckige Aussparung benötigen.
Ja alle Unifi Produkte bzw. AP´s lassen sich einheitlich mit dem Controller steuern und strahlen dann auch einheitlich deine konfigurierten SSID´s aus. Und nachträglich welche hinzufügen geht kinderleicht und diese ziehen sich dann auch automatisch die Konfig.
mfg
maddig
Zitat von @maddig:
Ja der Controller kann irgendwo in deinem Netz auf ner VM laufen. Du musst dann nur ne DHCP Option setzen, dass die AP´s die in nem anderen VLAN hängen den Controller finden für das Discovery.
Ja der Controller kann irgendwo in deinem Netz auf ner VM laufen. Du musst dann nur ne DHCP Option setzen, dass die AP´s die in nem anderen VLAN hängen den Controller finden für das Discovery.
Kann man, geht aber auch anders: Du erstellst einfach jedem VLan ein Interface und DHCP Server auf der pfSense, fertig. Die APs selber sollten in einem VLan zusammen mit dem Controller sein dann findet er sie ratzfatz.
-teddy
Klein preiswert unauffällig:
https://de.varia-store.com/produkt/10133-mikrotik-cap-lite-mit-ar9533-65 ...
und kann alles was du verlangst.
https://de.varia-store.com/produkt/10133-mikrotik-cap-lite-mit-ar9533-65 ...
und kann alles was du verlangst.
Hallo aqui, das klingt auch interessant. Kann ich die dann auch irgendwie zentral verwalten wenn ich mehrere im Einsatz habe, die aber die gleichen Netze aufspannen sollen?
Ja, das klappt natürlich. Das Feature heisst CapsMan:
https://www.youtube.com/watch?v=jUW4DDwWBP4
https://www.youtube.com/watch?v=jUW4DDwWBP4
Danke für den Hinweis auf das umfangreiche Tutorial. Ich habe ja ein APU.2C4 gekauft für die pfSense. Mit Mikrotik kann man eine Menge machen, auch das komplette Routing. Wäre deine Empfehlung trotzdem, die pfSense als Hauptrouter zu nutzen und z.B. einen Capsman virtualisiert auf einen meiner lokalen Server zu legen und damit nur die WLAN-Verwaltung zu erledigen?
CapsMan ist ein Feature was AUF ALLEN Mikrotiks (Router Boards) intern vorhanden ist ! Du musst es dort nur aktivieren. D.h. du kasperst einen deiner MT Geräte aus der CapsMan Server ist und managed darüber zentral dann die anderen. Dafür braucht es KEIN extra Gerät oder sowas. Die MTs haben dafür alles an Bord. (Siehe Tutorials)
Und ja die pfSense bleibt natürlich dein Hauptrouter. Als zentrale Firewall sollte sie das auch immer sein
Und ja die pfSense bleibt natürlich dein Hauptrouter. Als zentrale Firewall sollte sie das auch immer sein
Klingt sehr praktisch, dann lege ich damit los. Vielen Dank!
Ich habe noch eine Frage dazu:
Du hattest mir den kleinen MikroTik - cAP lite verlinkt (etwa 25€), es gibt noch einen MikroTik cAP ac (etwa 60€), der neben 2,4GHz auch 5GHz kann. Hat der auch eine bessere Reichweite oder ist das fast egal? Und dazwischen gibt es noch einen MikroTik RBcAP2nD (etwa 42€).
Nach welchen Kriterien wähle ich die passenden Geräte aus?
Du hattest mir den kleinen MikroTik - cAP lite verlinkt (etwa 25€), es gibt noch einen MikroTik cAP ac (etwa 60€), der neben 2,4GHz auch 5GHz kann. Hat der auch eine bessere Reichweite oder ist das fast egal? Und dazwischen gibt es noch einen MikroTik RBcAP2nD (etwa 42€).
Nach welchen Kriterien wähle ich die passenden Geräte aus?
Der cAP lite ist 2,4 Ghz only und supportet kein 5 Ghz.
Der "ac" kann wie der Name (802.11ac) schon vermuten lässt zusätzlich auch 5 Ghz und supportet damit beide WLAN Bänder.
Der RBcAP2nD entspricht mehr oder minder dem cAP lite, ist 2,4 Ghz only aber speziell für die Deckenmontage optimiert, (Gehäuse, Antennen).
Bei der Reichweite tun die sich nix. Da sind alle diese Consumer Dinger gleich, da sie so gut wie alle mit Antennen auf der Platine arbeiten.
Wenn du da das Optimum willst, dann musst du einen Sprung höher in die Preisklasse wagen mit z.B. Ruckus R310 die auch zentral managebar sind, Dual Radio supporten und speziell Antennen optimiert sind (Beam Forming). Letzteres macht sich deutlich in der Reichweite bemerkbar.
Da bist du dann aber auch beim Doppelten eines cAP ac.
Der "ac" kann wie der Name (802.11ac) schon vermuten lässt zusätzlich auch 5 Ghz und supportet damit beide WLAN Bänder.
Der RBcAP2nD entspricht mehr oder minder dem cAP lite, ist 2,4 Ghz only aber speziell für die Deckenmontage optimiert, (Gehäuse, Antennen).
Bei der Reichweite tun die sich nix. Da sind alle diese Consumer Dinger gleich, da sie so gut wie alle mit Antennen auf der Platine arbeiten.
Wenn du da das Optimum willst, dann musst du einen Sprung höher in die Preisklasse wagen mit z.B. Ruckus R310 die auch zentral managebar sind, Dual Radio supporten und speziell Antennen optimiert sind (Beam Forming). Letzteres macht sich deutlich in der Reichweite bemerkbar.
Da bist du dann aber auch beim Doppelten eines cAP ac.
Danke für deine Einschätzung, ich starte also mit mehreren cAP lite und schaue mal, wie das läuft.
Das wäre ein sinnvoller Plan
