10
WLAN mit VPN
Ich bin an einer Schule Administrator und wir benötigen für bestimmte Geräte eine Wlan Lösung, die jedoch sicher sein muss.
Das Wlan soll für Lehrer nutzbar sein und eventuell auch für Schüler nach Authentifizierung am ISA.
2 Schnittstellen: Intern / Extern
Guten Abend an alle,
ich bin auf der Suche nach einer WLAN Lösung mit VPN für eine Schule mit einem Win2003 Server und der Musterlösung Baden Württembergs.
Habe zwar schon ein wenig gelesen, habe aber schnell erkannt, dass das gar nicht so einfach ist und würde deswegen gerne Experten fragen. WIFI soll für bestimmte Gruppen nutzbar sein, die sich alle am ISA authentifizieren müssen. Das Problem besteht darin, dass beispielsweise ein Gerät auf keinen Fall mit einem VPN client bestückt werden kann, weil es ein TV Gerät ist.
Zwei Szenarien habe ich mir überlegt: ein VPN Gateway an einer Schnittstelle im Server (WIFI) und dort einen AP dranhängen (hoffe, ich habe richtig gelesen, dass das funktioniert) oder aber einen alten Rechner mit einer freien VPN Serversoftware ausstatten, diesen per Kabel ans Netz und eine Regel auf dem ISA, dass alles nach Extern weitergeleitet wird.
Was mache ich dann aber mit dem TV Gerät?
Grüße
Schulema
Das Wlan soll für Lehrer nutzbar sein und eventuell auch für Schüler nach Authentifizierung am ISA.
2 Schnittstellen: Intern / Extern
Guten Abend an alle,
ich bin auf der Suche nach einer WLAN Lösung mit VPN für eine Schule mit einem Win2003 Server und der Musterlösung Baden Württembergs.
Habe zwar schon ein wenig gelesen, habe aber schnell erkannt, dass das gar nicht so einfach ist und würde deswegen gerne Experten fragen. WIFI soll für bestimmte Gruppen nutzbar sein, die sich alle am ISA authentifizieren müssen. Das Problem besteht darin, dass beispielsweise ein Gerät auf keinen Fall mit einem VPN client bestückt werden kann, weil es ein TV Gerät ist.
Zwei Szenarien habe ich mir überlegt: ein VPN Gateway an einer Schnittstelle im Server (WIFI) und dort einen AP dranhängen (hoffe, ich habe richtig gelesen, dass das funktioniert) oder aber einen alten Rechner mit einer freien VPN Serversoftware ausstatten, diesen per Kabel ans Netz und eine Regel auf dem ISA, dass alles nach Extern weitergeleitet wird.
Was mache ich dann aber mit dem TV Gerät?
Grüße
Schulema
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 197957
Url: https://administrator.de/forum/wlan-mit-vpn-197957.html
Ausgedruckt am: 20.04.2025 um 14:04 Uhr
10 Kommentare
Neuester Kommentar
Hi
Wozu brauchst du das VPN genau ? Welchen Anschuss hat der Fernseher ?
Lg
Wozu brauchst du das VPN genau ? Welchen Anschuss hat der Fernseher ?
Lg
Der ISA kann von Haus aus als IPSec/L2TP VPN-Server arbeiten, aber die Konfiguration hat bei uns im Test alle Lehrer überfordert.
Die sichere Alternative WLAN mit 802.1x hat bei der Hälfte der Clients nicht funktioniert, weil die Treiber Mist waren oder Windows rumgezickt hat oder die billigen APs abgeschmiert sind...
Kurzum: Sicheres Schul-WLAN halte ich fast für unmöglich, außer man hat dediziertes Support-Personal.
Entweder für die IP eine Ausnahmeregel oder du nimmst einen AP mit Multi-SSID und konfigurierst ein zweites WLAN, das 'nur' mit WPA arbeitet oder du steckst einen Router der WLAN und VPN kann vor das Gerät.
Die sichere Alternative WLAN mit 802.1x hat bei der Hälfte der Clients nicht funktioniert, weil die Treiber Mist waren oder Windows rumgezickt hat oder die billigen APs abgeschmiert sind...
Kurzum: Sicheres Schul-WLAN halte ich fast für unmöglich, außer man hat dediziertes Support-Personal.
Was mache ich dann aber mit dem TV Gerät?
Entweder für die IP eine Ausnahmeregel oder du nimmst einen AP mit Multi-SSID und konfigurierst ein zweites WLAN, das 'nur' mit WPA arbeitet oder du steckst einen Router der WLAN und VPN kann vor das Gerät.
Der TV zeigt den digitalen Vertretungsplan an. Leider liegt an dem Standort kein Kabel!
Das VPN soll als Sicherheit im WLAN dienen.
Grüße
Schulema
Das VPN soll als Sicherheit im WLAN dienen.
Grüße
Schulema
nur WPA möchte ich eben nicht nehmen......
Wieso sind die APs abgeschmiert? Habe ich da etwas falsch verstanden?
Die Endgeräte würden doch über WIFI eine sichere Verbindung zum VPN Server aufbauen. War der Overhead zu groß?
WIFI KABEL KABEL
Endgerät ----------------> AP ------------> VPN SERVER ----------> S1 / ISA
(mit VPN client)
Oder gibt es eine sichere Variante mit einem offenen Wlan, das alles an einer Maschine vor dem ISA nochmal filtert?
offenes wifi KABEL Kabel
Endgerät ----------------------> AP ----------> FILTERmaschine --------> S1 / ISA
Wieso sind die APs abgeschmiert? Habe ich da etwas falsch verstanden?
Die Endgeräte würden doch über WIFI eine sichere Verbindung zum VPN Server aufbauen. War der Overhead zu groß?
WIFI KABEL KABEL
Endgerät ----------------> AP ------------> VPN SERVER ----------> S1 / ISA
(mit VPN client)
Oder gibt es eine sichere Variante mit einem offenen Wlan, das alles an einer Maschine vor dem ISA nochmal filtert?
offenes wifi KABEL Kabel
Endgerät ----------------------> AP ----------> FILTERmaschine --------> S1 / ISA
Wieso sind die APs abgeschmiert? Habe ich da etwas falsch verstanden?
Das bezog sich auf die Lösung mit 802.11x (RADIUS), die genauso sicher wäre wie VPN.
das alles an einer Maschine vor dem ISA nochmal filtert?
Du brauchst kein Gerät vor dem ISA, weil ISA als Firewall und VPN-Server schon alles kann.
Ok, ich muss nochmal fragen, ob ich das richtig verstanden habe.
Windows Server 2003 kann 802.11 (Radius) (habe hierzu auch hier eine gute Anleitung gefunden: http://www.schnulpe.de/?p=286)
Wenn jemand das Wlan knackt, scheitert er am ISA mit Radius an der Authentifizierung, korrekt?
Windows Server beherrscht aber auch VPN. Diese F>unktion habe ich bereits gesehen.
In beiden Fällen bedeutet dies, ich verpasse dem Windows Server zuerst eine WIFI Schnittstelle, also einen AP, der je nachdem eine RADIUS-Lösung beherrscht oder an welcher ein VPN Gateway läuft?
Achso, können sich auch Mobiltelefone authentifizieren?
Grüße
Schulema
P.s.: Sorry, wenn ich mit manchen Begriffen vlt unsauber bin. Habe zwar mal IT Systemkaufmann gelernt, aber mich dann für ein Lehramtsstudium entschieden...und in der Ausbildung haben wir sowas nichtmal in Ansätzen gemacht - leider
Windows Server 2003 kann 802.11 (Radius) (habe hierzu auch hier eine gute Anleitung gefunden: http://www.schnulpe.de/?p=286)
Wenn jemand das Wlan knackt, scheitert er am ISA mit Radius an der Authentifizierung, korrekt?
Windows Server beherrscht aber auch VPN. Diese F>unktion habe ich bereits gesehen.
In beiden Fällen bedeutet dies, ich verpasse dem Windows Server zuerst eine WIFI Schnittstelle, also einen AP, der je nachdem eine RADIUS-Lösung beherrscht oder an welcher ein VPN Gateway läuft?
Achso, können sich auch Mobiltelefone authentifizieren?
Grüße
Schulema
P.s.: Sorry, wenn ich mit manchen Begriffen vlt unsauber bin. Habe zwar mal IT Systemkaufmann gelernt, aber mich dann für ein Lehramtsstudium entschieden...und in der Ausbildung haben wir sowas nichtmal in Ansätzen gemacht - leider
802.11 ist der WLAN-Standard.
802.1x ist der Standard für Netzwerkauthentifizierung
Nein.
Das WLAN wird dann mit WPA2-Enterprise verschlüsselt, was für 802.1x steht.
Jeder Nutzer muss sich dann am WLAN mit Benutzername und Kennwort anmelden und bekommt dann praktisch seinen eigenen Verschlüsselungskey.
Entsprechend gibt es da nix zu hacken, außer zu unsichere Benutzerpasswörter.
Übrigens müssen sich bei 802.1x die Benutzer dann immer noch ein 2. mal beim ISA anmelden.
Dafür gibt es keine Lösung.
Ja, aber das ist schwieriger sicher einzurichten als auf einem ISA.
Nein, in keinem Fall bekommt der Server eine Wifi-Schnittstelle.
RADIUS müssen die APs können und wenn du VPN willst dann mach es auf dem ISA.
802.1x ist der Standard für Netzwerkauthentifizierung
Wenn jemand das Wlan knackt, scheitert er am ISA mit Radius an der Authentifizierung, korrekt?
Nein.
Das WLAN wird dann mit WPA2-Enterprise verschlüsselt, was für 802.1x steht.
Jeder Nutzer muss sich dann am WLAN mit Benutzername und Kennwort anmelden und bekommt dann praktisch seinen eigenen Verschlüsselungskey.
Entsprechend gibt es da nix zu hacken, außer zu unsichere Benutzerpasswörter.
Übrigens müssen sich bei 802.1x die Benutzer dann immer noch ein 2. mal beim ISA anmelden.
Dafür gibt es keine Lösung.
Windows Server beherrscht aber auch VPN. Diese F>unktion habe ich bereits gesehen.
Ja, aber das ist schwieriger sicher einzurichten als auf einem ISA.
In beiden Fällen bedeutet dies, ich verpasse dem Windows Server zuerst eine WIFI Schnittstelle, also einen AP, der je nachdem eine RADIUS-Lösung beherrscht oder an welcher ein VPN Gateway läuft?
Nein, in keinem Fall bekommt der Server eine Wifi-Schnittstelle.
RADIUS müssen die APs können und wenn du VPN willst dann mach es auf dem ISA.
Hallo Schulema,
so nun mal Butter bei die Fische bitte!
Als der dog das erste Mal geantwortet hatte dachte ich noch, man hat der Schulema ein Glück!
Und dann ging es los:
VPN über WLAN geht natürlich aber macht keinen Sinn denn wenn klein Fritzchen den WLAN AP
abstöpselt und sein Notebook dran steckt kann er surfen und Ihr habt eine Youtube Ecke in der
Pause aber keinen Vertretungsplan mehr.
Mit einem Radius Server und Zertifikaten geht das nicht!
Wenn klein Fritzchen das dann versucht wird er von dem Netzwerk abgelehnt weil er kein Zertifikat hat.
Also was ist das für ein Fernseher und welche Anschlüsse hat der? USB, Netzwerk
Wo Steht Fernseher und wie kommt da der Vertretungsplan drauf? Läuft das schon?
USB, Stick SD Karte oder wie kommt der da drauf.
Ich weiß das in BW alles anders ist und Ihr halt immer eine sonder Rolle spielt, aber
das LAN kann man prima mit einem LDAP Dienst sichern und das WLAN mit einem Radius Server.
Ist ziemlich altmodisch, aber es funktioniert eben gut.
Das VPN benutzt man eigentlich auch nur um durch das Internet auf interne Geräte oder Dateien zu zugreifen, in einem WLAN kann man das mit der breits angesprochenen Multi SSID
machen oder mit schnöden VLANs oder sogar beiden.
Klar der dog kann mit einem MikroTik Router auch noch ganz andere Sachen nur das
bringt Dir ja herzlich wenig!
Es wäre jetzt wohl mal an der Zeit uns allen zu erzählen wie denn die restliche Netzwerkstruktur
aussieht und was alles noch für Hardware vorhanden ist, dmit man sich einmal einen Überblick verschaffen kann. Denn wenn Du nur Switche hast die keine VLAN Unterstützung bieten und auch QoS
nicht im Angebot haben, nur als Beispiel, wirst Du das wohl noch andere Problemchen bekommen.
- Wie viel hast Du denn im Budget?
- Wie viel Anhnung hast Du von der Materie?
- Warum sollen die Schüler denn ins Internet ohne Jugendschutzfilter?
- Ist der SchulrouterPlus etwas für Euch?
- Mit Antivirus
- SchulfilterPlus
- WLAN Plus
Muster
Ich meine klar wenn Du nun Mr WLAN selbst wärst dann könnte man ja auch über einen Lösung von Ubiquiti
namens uniFI nachdenken! Die WLAN APs kosten so um die 70 € aber man sollte davon auch nicht die halbe Welt erwarten! Aber die Sache hat einen anderen Vorteil, denn die Software die man auf einem Server
installieren kann ist umsonst und bringt ein Captive Portal mit!!!
Den Fernseher kann man zur Not auch noch mit einer dLAN Lösung mit dem Netzwerk verbinden.
Viele Schulen nutzen heute auch solch einen LCD Fernseher um Ihre Stunden und Vertretungspläne
bekannt zu geben, aber die sollten wenigstens einen LAN also Ethernetanschluss (RJ45) haben, dann geht das ratz fatz und das TV Gerät ist auf Sendung, als Zweitmonitor des Sekretariats und immer aktuell.
Time for Kids
Ubiquiti uniFI
dLAN
Klar die Sache mit dem Schulrouter wäre schön des alleine nur des Schulfilters mal von dem Antivirus und
dem WLAN Plus ganz zu schweigen! Aber das ist derzeit der einzigste Kinder und Jugendfilter der
anerkannt ist!
Gruß
Dobby
so nun mal Butter bei die Fische bitte!
Als der dog das erste Mal geantwortet hatte dachte ich noch, man hat der Schulema ein Glück!
Und dann ging es los:
Das bezog sich auf die Lösung mit 802.11x (RADIUS), die genauso sicher wäre wie VPN.
Ich denke einmal das meint er auch, sagt aber VPN dazu.VPN über WLAN geht natürlich aber macht keinen Sinn denn wenn klein Fritzchen den WLAN AP
abstöpselt und sein Notebook dran steckt kann er surfen und Ihr habt eine Youtube Ecke in der
Pause aber keinen Vertretungsplan mehr.
Mit einem Radius Server und Zertifikaten geht das nicht!
Wenn klein Fritzchen das dann versucht wird er von dem Netzwerk abgelehnt weil er kein Zertifikat hat.
Also was ist das für ein Fernseher und welche Anschlüsse hat der? USB, Netzwerk
Wo Steht Fernseher und wie kommt da der Vertretungsplan drauf? Läuft das schon?
USB, Stick SD Karte oder wie kommt der da drauf.
Ich weiß das in BW alles anders ist und Ihr halt immer eine sonder Rolle spielt, aber
das LAN kann man prima mit einem LDAP Dienst sichern und das WLAN mit einem Radius Server.
Ist ziemlich altmodisch, aber es funktioniert eben gut.
Das VPN benutzt man eigentlich auch nur um durch das Internet auf interne Geräte oder Dateien zu zugreifen, in einem WLAN kann man das mit der breits angesprochenen Multi SSID
machen oder mit schnöden VLANs oder sogar beiden.
Klar der dog kann mit einem MikroTik Router auch noch ganz andere Sachen nur das
bringt Dir ja herzlich wenig!
Es wäre jetzt wohl mal an der Zeit uns allen zu erzählen wie denn die restliche Netzwerkstruktur
aussieht und was alles noch für Hardware vorhanden ist, dmit man sich einmal einen Überblick verschaffen kann. Denn wenn Du nur Switche hast die keine VLAN Unterstützung bieten und auch QoS
nicht im Angebot haben, nur als Beispiel, wirst Du das wohl noch andere Problemchen bekommen.
....und der Musterlösung Baden Württembergs.
Jo damit das dann auch so etwas wird wäre folgendes schön zu wissen.- Wie viel hast Du denn im Budget?
- Wie viel Anhnung hast Du von der Materie?
- Warum sollen die Schüler denn ins Internet ohne Jugendschutzfilter?
- Ist der SchulrouterPlus etwas für Euch?
- Mit Antivirus
- SchulfilterPlus
- WLAN Plus
Muster
Ich meine klar wenn Du nun Mr WLAN selbst wärst dann könnte man ja auch über einen Lösung von Ubiquiti
namens uniFI nachdenken! Die WLAN APs kosten so um die 70 € aber man sollte davon auch nicht die halbe Welt erwarten! Aber die Sache hat einen anderen Vorteil, denn die Software die man auf einem Server
installieren kann ist umsonst und bringt ein Captive Portal mit!!!
Den Fernseher kann man zur Not auch noch mit einer dLAN Lösung mit dem Netzwerk verbinden.
Viele Schulen nutzen heute auch solch einen LCD Fernseher um Ihre Stunden und Vertretungspläne
bekannt zu geben, aber die sollten wenigstens einen LAN also Ethernetanschluss (RJ45) haben, dann geht das ratz fatz und das TV Gerät ist auf Sendung, als Zweitmonitor des Sekretariats und immer aktuell.
Time for Kids
Ubiquiti uniFI
dLAN
Klar die Sache mit dem Schulrouter wäre schön des alleine nur des Schulfilters mal von dem Antivirus und
dem WLAN Plus ganz zu schweigen! Aber das ist derzeit der einzigste Kinder und Jugendfilter der
anerkannt ist!
Gruß
Dobby
VPN über WLAN geht natürlich aber macht keinen Sinn denn wenn klein Fritzchen den WLAN AP abstöpselt und sein Notebook dran steckt kann er surfen und Ihr habt eine Youtube Ecke in der Pause aber keinen Vertretungsplan mehr.
Mal abgesehen davon, das man APs so montiert, dass sie außer Reichweite sind gilt das Risiko im besondern (!) bei 802.1x weil da die Sicherheitsgrenze auf dem AP sitzt, dahinter kann der Nutzer treiben was er will.
Bei VPN ist die Sicherheitsgrenze direkt auf dem Proxy-Server(zumindest beim ISA), also auch wenn alle davor Wild-Wild-West spielen ist es für die Gesamtsicherheit des Netzwerks unerheblich.
Das macht die VPN-Lösung grade für Netzwerke ohne getunnelte Controller-Lösungen oder APs mit L3-Firewall interessant.
Wenn klein Fritzchen das dann versucht wird er von dem Netzwerk abgelehnt weil er kein Zertifikat hat.
Verwechselst du vielleicht grade WLAN mit LAN?
Zu LAN und 802.1x sage ich nur: Das ist etwa so sicher wie die MAC-ID-Sperre in Heimroutern.
Zudem war die Anforderung:
Das Wlan soll für Lehrer nutzbar sein und eventuell auch für Schüler
Das VPN benutzt man eigentlich auch nur um durch das Internet auf interne Geräte oder Dateien zu zugreifen,
Nö, Offenes WLAN + (Open)VPN ist z.B. ein Setup was ich auch schon oft bei Unis gesehen habe.
Die Sicherheit ist equivalent aber man vermeidet das ganze Chaos wenn ca. 5000 verschiedene Arten von Geräten für WPA-Enterprise konfiguriert werden sollen.
Glaub mir, das hab ich schon durch - nur ca. 50% der Geräte funktionieren am Ende auch.
- Warum sollen die Schüler denn ins Internet ohne Jugendschutzfilter?
Das hat der TO doch nirgendwo gesagt?
Wir benutzen den TFK Filter auch als ISA-Plugin (weil das die einzige Lösung war bei der ich mir halbwegs sicher sein konnte, dass durch die Software nicht noch mehr Scheuentore im Netzwerk entstehen - basierend auf den Erfahrungen die ich bisher zur Qualität von Software mit Zielgruppe Schulen gemacht habe (und TFK ist da keine Ausnahme)).
aber die sollten wenigstens einen LAN also Ethernetanschluss (RJ45) haben
Das ist aber eben baulich nicht immer so einfach.
Wir haben auch Bereiche in denen es durch die Brandschutzverordnung und das Alter des Gebäudes verboten ist Kabel zu legen (außer in bestehenden Kabelkanälen und die quellen deshalb mittlerweile über).
"WLAN Plus" kannte ich bisher noch nicht, die Geräte sehen aber so aus als wären sie von Aerohive zugekauft http://www.aerohive.com/products/access-points
(Der Schulfilter ist ja auch nur von IBM zugekauft).
Da die APs aber wie die Originale von Aerohive "Cloud-Managed" sind wäre ich da sehr vorsichtig.
Bei den Original-Preisen von Aerohive bin ich jedenfalls das letzte mal vom Stuhl gekippt...
Zu uniFi sage ich nur: Als ich mich das letzte mal im UBNT-Forum dazu umgeschaut habe war das Geheule über die Produktqualität da noch um ein paar Größen schlimmer als was man so aus dem MT-Forum kennt
Guten Morgen und ersteinmal vielen Dank für die Antworten!
Ich sehe schon, dass das nicht so einfach sein wird, wie ich anfangs dachte und es auch unter Experten wissenschaftlichen Gesprächsstoff gibt ;-P
Ich versuche kurz die INfrastruktur zu umschreiben:
Es gibt einen Windows AD server 2003. Dahinter ein internes (pädagogisches) Netzwerk, an dem die Computerräume hängen. Das ganze ist ein 100 mbit Netzwerk und ohnehin sehr langsam. Die Schule wird im April saniert und wenn dies getan wird, würde ich mich dafür einsetzen, dass direkt Gigabit Switches angeschafft werden, die die oben genannten Funktionen (VLan / Qos, richtig?) unterstützen. Wir hatten bis vor kurzem den Jugendschutzfilter über die Uni Stuttgart. Seitdem wir einen AnnexJ Anschluss haben und diese keinen Router liefern konnten, läuft der Jugendschutzfilter über die Musterlösung und der Server wählt sich per Modem ein (hoffe, das ist in Ordnung?) War eben auch eine Kostenfrage, denn der neue Router, der dann später liefrbar war lag bei 300EUR. Der Filter funktioniert auf Gruppenebene.
Momentan hängt ein AP am Netz (und untertsützt meines WIssens auch VLAN!), der das WLAN mit WPA2 verschlüsselt. Aber das ist mir zu unsicher. Notwendig ist dieser, weil der Vertretungsplan (LCD) zwar eine LAN Buchse hat, an dem Standort jedoch leider keine Verkabelung liegt.
Insgesamt sollte die Lösung so günstig wie möglich sein!
Dazu sollte die Lösung unbedingt OS-unabhängig funktionieren und wenn möglich ohne große Konfiguration / Installation auf Seite des Nutzers auskommen, sodass auch Androidgeräte, LInuxgeräte, Symbiangeräte funktionieren.
Deswegen habe ich die VPN + offenes WLAN angesprochen. Kenne ich eben auch von der Uni her.
In erster Linie geht es mir um die Sicherheit. Ich möchte ungern der Arsch sein, der den Kopf hinhalten muss, weil ich mir nicht genügend Gedankne und sommit das WIFI Netz nicht genügend abgesichert habe.
Momentan gibt es im ISA eine Regel für WLAN clients, die auf einer IP Range basiert und die bestimmten Geräten anhand ihrer MAC Adresse die entsprechende IP zuordnet. Diese können dann nach Eingabe des WLAN Keys ohne Authentifizierung ins Netz. Diese Lösung war leider bisher die einzig praktikable, weil es an der Autentifizierung am ISA PROXY scheiterte
Ich bezweifle, dass dies eine sichere Lösung ist, aber wohl die sicherste, die funktioniert?
Noch eine Verständnisfrage: Aus meiner alten Firma kenne ich das so, dass das Netzwerk von außen über ein VPN zu erreichen war. Auf den Maschinen im Firmennetz war kein VPN client installiert. Das heisst, von außen war dies auf einem bestimmten Port zu erreichen. VPN über WLAN funktioniert genauso, oder? Wobei ich dann bei den Systemen ohne Windows vielleicht wieder das Authentifizierungsproblem hätte, muss ich probieren...
Grüße
Schulema
Ich sehe schon, dass das nicht so einfach sein wird, wie ich anfangs dachte und es auch unter Experten wissenschaftlichen Gesprächsstoff gibt ;-P
Ich versuche kurz die INfrastruktur zu umschreiben:
Es gibt einen Windows AD server 2003. Dahinter ein internes (pädagogisches) Netzwerk, an dem die Computerräume hängen. Das ganze ist ein 100 mbit Netzwerk und ohnehin sehr langsam. Die Schule wird im April saniert und wenn dies getan wird, würde ich mich dafür einsetzen, dass direkt Gigabit Switches angeschafft werden, die die oben genannten Funktionen (VLan / Qos, richtig?) unterstützen. Wir hatten bis vor kurzem den Jugendschutzfilter über die Uni Stuttgart. Seitdem wir einen AnnexJ Anschluss haben und diese keinen Router liefern konnten, läuft der Jugendschutzfilter über die Musterlösung und der Server wählt sich per Modem ein (hoffe, das ist in Ordnung?) War eben auch eine Kostenfrage, denn der neue Router, der dann später liefrbar war lag bei 300EUR. Der Filter funktioniert auf Gruppenebene.
Momentan hängt ein AP am Netz (und untertsützt meines WIssens auch VLAN!), der das WLAN mit WPA2 verschlüsselt. Aber das ist mir zu unsicher. Notwendig ist dieser, weil der Vertretungsplan (LCD) zwar eine LAN Buchse hat, an dem Standort jedoch leider keine Verkabelung liegt.
Insgesamt sollte die Lösung so günstig wie möglich sein!
Dazu sollte die Lösung unbedingt OS-unabhängig funktionieren und wenn möglich ohne große Konfiguration / Installation auf Seite des Nutzers auskommen, sodass auch Androidgeräte, LInuxgeräte, Symbiangeräte funktionieren.
Deswegen habe ich die VPN + offenes WLAN angesprochen. Kenne ich eben auch von der Uni her.
In erster Linie geht es mir um die Sicherheit. Ich möchte ungern der Arsch sein, der den Kopf hinhalten muss, weil ich mir nicht genügend Gedankne und sommit das WIFI Netz nicht genügend abgesichert habe.
Momentan gibt es im ISA eine Regel für WLAN clients, die auf einer IP Range basiert und die bestimmten Geräten anhand ihrer MAC Adresse die entsprechende IP zuordnet. Diese können dann nach Eingabe des WLAN Keys ohne Authentifizierung ins Netz. Diese Lösung war leider bisher die einzig praktikable, weil es an der Autentifizierung am ISA PROXY scheiterte
Ich bezweifle, dass dies eine sichere Lösung ist, aber wohl die sicherste, die funktioniert?
Noch eine Verständnisfrage: Aus meiner alten Firma kenne ich das so, dass das Netzwerk von außen über ein VPN zu erreichen war. Auf den Maschinen im Firmennetz war kein VPN client installiert. Das heisst, von außen war dies auf einem bestimmten Port zu erreichen. VPN über WLAN funktioniert genauso, oder? Wobei ich dann bei den Systemen ohne Windows vielleicht wieder das Authentifizierungsproblem hätte, muss ich probieren...
Grüße
Schulema
