squal10
Goto Top

WLAN-Netzwerk mit zwei SSIDs erstellen

Hallo liebe Administratoren-Gemeinde,

dies ist mein erster Beitrag mit der Hoffnung genauso kompetent geholfen zu bekommen, als auch die zuvor erstellen Beiträge. Nun zu meinem Anliegen:

Ich bin in einem 70 Mann-Unternehmen beschäftigt und möchte die Firma mit einem WLAN-Netz ausbauen, da noch nicht vorhanden. Das Wlan-Netzwerk wird überwiegend nur die mobilen Arbeitsgeräte wie Tabletes, Notebooks und Smartphones betreffen, da alle anderen stationären Geräte an ein kabelgebundenes LAN angeschlossen sind.
Wenn Besprechungen mit externen Personen erfolgen, sollen diese die Möglichkeit haben per WLAN einen Zugang ins Internet zu bekommen ohne dabei unser internes Netzwerk zu betreten. Alle Mitarbeiter dürfen allerdings, dass Netzwerk und Internet nutzen.


Mein Lösungsansatz:

Insgesamt werden ca. 13 AP's verbaut. Diese sollen dann von einem Controller aus alle konfiguriert werden.

Frage:

Wie kann ich einen getrennten Zugang (evtl. über getrennte SSID's? ) einrichten, bzw. welche Lösungen habt ihr?


Vielen Dank bereits im Vorraus!

Content-ID: 195959

Url: https://administrator.de/contentid/195959

Ausgedruckt am: 24.11.2024 um 23:11 Uhr

MrNetman
MrNetman 17.12.2012 um 14:51:04 Uhr
Goto Top
Hi Squal,

Bei einer Controllerlösung gibt es dazu überhaupt keine Problem.
Einzige Vorraussetzung für deine Anforderungen sind VLAN-Infrastrukturen bei den Switches.
Du nutzt zwei SSIDs. Diese werden über den VLAN-Uplink mit jeweils einem VLAN an die kabelgebundene Infrastruktur angebunden.
SSID Gast VLAN33, SSID intern VLAN 20 und Authentifizierung gegen das AD.
Der Internetrouter muss diese beiden VLAN nur auf seinem getaggten uplink sauber verteilen.

Weiters vermute ich, dass die Switche schon oder bald PoE können um die APs und evtl. IP-Phones zu versorgen.

Gruß
Netman
Squal10
Squal10 17.12.2012 aktualisiert um 15:06:39 Uhr
Goto Top
Hi Netman,

ja sowas habe ich mir auch vorgestellt gehabt. Ich habe folgende Theorie:

lancom-l-322agn-dual-wireless mit je zwei Netzwerkanschlüssen!

SSID GAST ---> Eth0 --> Switch mit VLAN 0 --> Firewall --> Router/Internet

SSID Intern--> Eth1 --> Switch mit VLAN 1 --> Internes Netzwerk -->Firewall -->Router/Internet

Da wir bereits über eine IP-Telefonanlage verfügen, haben wir auch 3COM PoE Switches im Hause.

Die AP's können aber im normalen Infrastruktur-Modus laufen oder? Also verbinden muss ich die nicht unbedingt oder?
MrNetman
MrNetman 17.12.2012 um 15:24:32 Uhr
Goto Top
Nein, das ist nicht richtig,

SSID1 -> VLAN11 ->
getaggter Uplink Port05 am Switch01 -> Infrastruktur ->*
SSID2 -> VLAN12 ->

-> Infrastruktur ->* getaggter Uplink Router/Firewall -> Internet
-> Infrastruktur ->* getaggter Uplink Router/Firewall -> komplettes LAN.

Eine Vereinfachung wäre die SSID1 für den Gast mit VLAN-tags zu versorgen und die SSID2 fürs interne Netz ungetaggt zu lassen (Konfiguration im Controller oder AP). Nachteil: Es gibt keine Sicherheit gegen unbefugten Zugriff aufs Netz.

Durch das VLAN-Komzept werden sie auf einem physikalischen Port sauber getrennt, während deine Idee der Nutzung eines Ports pro SSID erstens zwei uplinks benötigt und zusätzlich die Trennung via VLANs.

Gruß
Netman
Squal10
Squal10 17.12.2012 um 15:33:19 Uhr
Goto Top
Hey Netman,

vielen Dank für die Erklärung. Könntest du mir bitte die begrifflichkeiten (getaggt, ungetaggt usw..) näher erläutern? Was meinst du damit Vlan tags? Oder getaggter Uplink?

Und ja, ich bin recht neu in der IT-Administration.. daher bitte keine abwertenden Kommentare jetzt. ;)
MrNetman
MrNetman 17.12.2012 um 15:59:16 Uhr
Goto Top
Die Ethernetpakte werden für das VLAN um 4 Byte erweitert. Diese 4 Byte sind ziemlich am Anfang des Paketes. Darin befinden sich die Informationen zur VLAN-Nummer (max4096) und Priorisierungsinformationen. Wenn das den teilnehmenden Geräten nicht bekannt ist, werden die falschen informationen für die Weiterleitung im Netz verwendet und das Chaos ist vorhersehbar. Etwas detaillierter auf http://www.netzmafia.de/skripten/netze/netz7.html#7.12

Für dich wichtig sind die Begriffe, die der Hersteller verwendet:
Da gibt es trunks, uplinks, taggt Ports, edge ports, access ports. Die Bezeichnugn ist nicht über alle Hersteller durchgängig.
Deshalb: VLAN-Ports mit einem TAG (den 4 Byte) sind getaggt. VLAN-Ports ohne solche TAGs sind Access-Ports, Ports für die Endgeräte wie PCs und Drucker. Also muss man jeden Port auch so konfigurieren, dass er die Pakete passend verteilt.
Uplinks sollen alle VLANS an die weiteren Switche verteilen, enthalten deshalb alle VLANs in getaggter Form.
Zugangsports können eine VLAN-Information haben, sollten aber ungetaggt sein. Wenn gleichzeitig ein Telefon daran betrieben wird, kann man eine Kombination aus ungetaggten und getaggten VLANs benutzen: Telefon getaggt, PC ungetaggt.

Durch diese Trennung ergibt sich die Notwendigkeit die Netze bei Bedarf auch zu verbinden, untereinander oder mit anderen Netzen.
Da machen Layer3 Switches, oder Router, oder wie bei dir die Firewall.
Zu diesem Zweck wird ein komplett getaggter uplink Port mit der Firewall verbunden und deine Konfiguration an der Firewall entsprechend angepasst. Jetz gibt es nämlich die Möglichkeit, das Pakete bei ETH0 rein kommen und die FW auch dort wieder verlassen, nur in einem anderen VLAN.

Gruß
Netman
P.S.: Beim Mitlesen ist dir bestimmt schon aufgefallen, dass Fragen und spezifische Nachfragen auch ohne Häme beantwortet werden. Manchmal ist das vorgespielte, vorgetäuschte Wissen aber einfach zu schön um darüber nicht zu schmunzeln
aqui
aqui 17.12.2012 aktualisiert um 16:25:46 Uhr
Goto Top
Dieses Tutorial beschreibt so ein Konzept über eSSIDs ebenso:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern --> "Praxisbeispiel"
Ist eigentlich recht einfach umzusetzen....
2 SSIDs in 2 VLANs trennen und die dann über Router oder Firewall.
Die Gästeintegration machst du am besten mit einem Captive Portal (Hotspot) und einer zeitgesteuerten Ticketverwaltung am Empfang.
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
108012
108012 18.12.2012 um 09:06:14 Uhr
Goto Top
Hallo Squal10,

nun gut nach dem nun schon alles gesagt wurde, möchte ich nur noch anfügen, dass Du auf jeden Fall die Sache mit dem VLAN01 noch einmal überdenken solltest!

Das VALN01 oder VLAN1 ist bei vielen Herstellern, das sogenannte "Default VLAN", in dem alle Netzwerkkomponenten die an den Switch angeschlossen werden automatisch Mitglied sind! Man benutzt dieses VALN1 auch als Management VLAN zum administrieren der Geräte und daher würde es sich denkbar schlecht dazu eignen die WLAN AP´s dort rein zu setzen. Nur meine Meinung, nimm doch VLAN20 und VLAN30 wenn die noch frei sind und gut ist.

Des weiteren solltest Du einmal darüber nachdenken ob Du danach, nicht den ganzen Switch mit all seinen
VLAN´s, außer dem Default VLAN1, in ein extra VLAN "packst", um es vom dem VLAN1 (Management VLAN)
zu trennen und dann kannst Du an einen Port von jedem Switch Dein KVM Switch hängen, an dem
Dein Administrator PC/WS/Server angeschlossen wird! Dann hast Du wenigstens keinen "Besuch" von Euren Mitarbeitern.

Insgesamt werden ca. 13 AP's verbaut. Diese sollen dann von einem Controller aus alle konfiguriert
werden.

Feine Sache so ein WLAN Controller, es gibt aber von den großen und namhaften Herstellern meist zwei verschiedene Ausführungen. Die eine ist ein Gerät zum Verwalten von WLAN Netzwerken und das andere
ist ein "echter" WLAN Controller. Ich kann momentan noch nicht für alle Geräte sprechen, aber der "echte"
WLAN Controller von Netgear erlaubt es Dir sogar, die Gäste und Besucher in Eurem Besprechungsraum
könnten dann wie aqui es schon erklärt hat, über das Captive Portal (Hotspot) gehen und die Mitarbeiter
von Euch könnten dann alle über einen separaten Radius Server gesichert werden, wenn gewünscht.

Normaler Weise funktioniert nur der Einsatz einer Variante, daher würde ich noch einmal bei Deinem Modell nachschauen ob diese Funktion bei Euch/Dir auch gegeben ist, wenn Interesse daran besteht.


Gruß
Dobby
Squal10
Squal10 18.12.2012 um 09:34:20 Uhr
Goto Top
Hallo,

ja also, dass sind viele gute Informationen. Ich werde jetzt damit ein Konzepot ausarbeiten und Angebote reinholen. Anschließend werde ich mich hier nochmal über den Sachstand melden.

Vielen Dank schonmal für die bisherigen Antworten.
aqui
aqui 18.12.2012 um 19:04:10 Uhr
Goto Top
Feedback ist immer interessant...bleiben wir also mal gespannt face-wink
Squal10
Squal10 20.12.2012 um 11:46:54 Uhr
Goto Top
Hey Leute,

also hab mich jetzt nochmal ausgiebig informiert über das Thema VLAN. Ich habe zuvor noch nie mit VLAN zutun gehabt und die Begrifflichkeiten sind relativ neu.

Also kann mir einer von euch nochmal kurz und knapp schreiben, was ich brauche und wie ich es konfigurieren soll.

Ich habe pro Stockerk 2 Acess Points mit je 2 SSID's geplant. Gast und Intern. der Access Point verfügt doch aber nur um einen physischen Ethernet Port. Wie können die Pakete bereits im Acess Point getrennt werden. Wenn jetzt alle Kabel des Access Points über Layer2 Switchs zum Serverraum laufen, leite ich diese auf einen LAyer 3 Switch um. Diese zwei Switchs werden dann per Uplink-Port verbunden. Innerhalb des Layer3 Switchs ordne ich die zwei VLAN Netze der entsprechenden Ports zu. Was dann ? Wie kann ich garantieren, dass die Gäste nur ins Internet dürfen und nicht in das Firmennetzwerk?

Als Hardware brauche ich also einen Layer 3 Switch, einen Access-Point Controller und meine 12-13 APs? Das ist alles?


Wenn ich in dieser Vorstellungsbeschreibung etwas falsch geschrieben habe, bitte ich um Berichtigung (auf deutsch :D )
108012
108012 20.12.2012 um 11:53:55 Uhr
Goto Top
Hallo Squal10,

also hab mich jetzt nochmal ausgiebig informiert über das Thema VLAN.

.......Firmennetzwerk?

Ich weiß schon wie das zusammenhängt, morgen geht die Welt unter und daher ist heute schon Freitag ;)

Gruß
Dobby
Squal10
Squal10 20.12.2012 um 12:27:59 Uhr
Goto Top
Inwiefern hilft mir diese Antwort nun?
MrNetman
MrNetman 20.12.2012 um 12:42:16 Uhr
Goto Top
Wenn die Welt untergeht braucht man auch nicht mehr zu verstehen, wie VLANs funktionieren. Das ist @d.o.b.b.y s Kernsatz.

Da fehlen gewisse Grundlagen.
Darin solltes du dich vertiefen (Links kamen schon zuhauf von hilfreichen Admins) und dann deine Überlegungen treffen.

Gruß
Netman
108012
108012 20.12.2012 um 13:27:54 Uhr
Goto Top
Zitat von @Squal10:
Hey Leute,
Hi,

also hab mich jetzt nochmal ausgiebig informiert über das Thema VLAN.
Gut los geht es.

Ich habe zuvor noch nie etwas mit VLANs zu tun gehabt...
Egal.

.....und die Begrifflichkeiten sind relativ neu.
Nicht so wild. Forum suche, Anleitungen von aqui, Dr. Google, Wikipedia,...

Also kann mir einer von euch nochmal kurz und knapp schreiben, was ich brauche und wie ich es
konfigurieren soll.
Wenn Du uns kurz und knapp schreibst;
- Wie sieht das mit den Räumlichkeiten aus? Serverraum,...
- Was hast Du denn schon alles da? Rack, Router, Firewalls, Switche, Kabel,....
- Was sind das für Geräte kann man darauf Zertifikate installieren?

Ich habe pro Stockwerk 2 WLAN APs mit je 2 SSID's geplant. Gast und Intern.
Also die WLAN AP´s sollten Multi SSID fähig sein.

Der WLAN AP verfügt doch aber nur um einen physischen Ethernet Port.
Ja und das braucht er auch nur, aber er sollte vielleicht PoE tauglich sein und/oder 1 GBit/s bringen.
Du legst zwei völlig identische SSIDs an, eine für die Gäste und eine für das Firmennetzwerk.
Das heißt die SSID für Gäste wird immer völlig identisch, mit ein und den selben Daten angelegt
und die SSIDs für das Firmennetzwerk auch. Dann kommen diese je in ein eigenes VLAN!

Wie können die Pakete bereits im WLAN AP getrennt werden.
Per SSIDs und dann später per VLAN.

Wenn jetzt alle Kabel des WLAN AP über Layer2 Switchs zum Serverraum laufen, leite ich diese
auf einen LAyer 3 Switch um.
Entweder so oder Euer Router bzw. die Firewall übernimmt dann das Routing, daher wollte ich auch wissen was alles schon vorhanden ist!!!!
Man kann auch gleich Layer 3 PoE Switche nehmen, je nach dem was Du schon da hast, an "Materialien"!

Diese zwei Switche werden dann per Uplink-Port verbunden.
Entweder so oder die Switche werden gestapelt, also "gestackt", im Ring oder als Kette.
Kommt aber darauf an was alles schon vorhanden ist. Switche, Router, Firewall,.....

Innerhalb des Layer3 Switchs ordne ich die zwei VLAN Netze der entsprechenden Ports zu.

Was dann ?
Alles kaufen und installieren.

Wie kann ich garantieren, dass die Gäste nur ins Internet dürfen und nicht in das
Firmennetzwerk?
Das läuft über die VLANs, also Du musst das eine VLAN so anlegen das es am Router oder der Firewall endet, und somit nur der Zugriff auf das Internet funktioniert und die Mitarbeiter
können dann auch auf das Firmennetz zugreifen und in das Internet.

Als Hardware brauche ich also einen Layer 3 Switch, einen WLAN Controller und meine 12-13 APs?
Und die Kabel falls nicht vorhanden und einen Radiusserver oder aber einen kleinen MikroTik Router,
oder etwas mit DD-WRT drauf. Ein Router kann das ja auch mit übernehmen, nur man müsste einmal wisse welchen Du da hast!

Das ist alles?
Ja sollte so funktionieren, wenn der WLAN Controller gut ist und/oder es Dir erlaubt, kannst Du den meist schon integrierten HotSpot nutzen und zusätzlich Eure Mitarbeiter über einen Radiusserver absichern. Dann ist auch diese Sache komplett von einander getrennt.

Wenn ich in dieser Vorstellungsbeschreibung etwas falsch geschrieben habe, bitte ich um Berichtigung
Erledigt.

Ich werde jetzt damit ein Konzept ausarbeiten und Angebote einholen. Anschließend werde ich mich
hier nochmal über den Sachstand melden.
Also, was sind denn nun für Entscheidungen gefallen und für welche Hardware hast Du Dich denn nun entschieden?
Welche WLAN APs?
Welchen WLAN Controller?
Mit oder ohne zusätzlichen Radiusserver?
Oder nur mit Captive Portal und dafür alles in verschiedenen Gruppen anlegen?

Wie oben schon gefragt es wäre halt auch schön zu wissen was schon vorhanden ist!?
Denn warum nun für 70 Leute und 10 Besucher noch einen Layer 3 Switch holen wenn dort schon einer steht
oder die Firewall bzw. der Router das mit erledigen können.

Gruß
Dobby
Squal10
Squal10 20.12.2012 um 14:07:33 Uhr
Goto Top
Wow, diese bezugnehmenden Antworten sind sehr gut!

Ok also vorhanden sind zwei 19 Zoll Serverschränke mit 3 Servern und einer Securepoint 19 Zoll Firewall. Pro Stockwerk laufen die einzelnen Dosen zu je einem Patchfeld zusammen. dann werden die Clients auf einen normalen nicht managebaren Switch eingesteckt, dieser geht dann nach unten in den Serverraum, ebenfalls zum switch. Dann gibt es zusätzlich pro Stockwerk einen PoE 3Com Switch (managebaren) für die IP-Telefone, diese sind aber komplett getrennt vom eigentlichen Netzwerk. Das sind die gegebenheiten.

Kabel ist genug vorhanden und alles ist erweiterbar. Pro Stockwerk gibt es auch noch genug platz auf dem Patchfeld um die zusätzlichen Kabel vom AP aufzulegen. Ich weiss nicht ob ich diese dann auf den PoE Switch der Telefonanlage mit auflegen kann. Ansonsten müsste ich pro Stockwerk einen weiteren PoE Switch installieren. Denn wenn, dann werden auch PoE Ap's gekauft.
Squal10
Squal10 20.12.2012 um 15:17:55 Uhr
Goto Top
Also als AP's stelle ich mir TP-Link TL-WA901ND und als Switch den TL-SL3424P vor. Preis/Leistungsverhältnis stimmt und es kann alle Funktionen.

Alternativ wären da noch die Cisco WAP4410N . Preislich auch noch ok. Aber bei den passenden Switchs bin ich mich nicht so sicher.
aqui
aqui 20.12.2012 um 17:29:15 Uhr
Goto Top
Ja, natürlich kannst du das auf die PoE Switches für die Telefonie auflegen. Du musst ihnen dazu aber auch dein WLAN VLAN einrichten, damit der WLAN Traffic vom Voice Traffic getrennt ist ! Dann können die problemlos zusätzlich die WLAN APs per PoE bedienen.
Das ist ja gerade der tiefere Sinn von VLANs. Siehe Praxisbeispiel hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Weitere PoE Hardware zu kaufen ist allso überflüssig.
Den Rest erklären dir die oben genannten Tutorials alle im Detail zum Aptippen !
108012
108012 21.12.2012 um 07:07:20 Uhr
Goto Top
Hallo Squal10,

Also als AP's stelle ich mir TP-Link TL-WA901ND...
Mich hat nur stutzig gemacht, das Du weiter oben von einem WLAN Controller geredet hast und dieser nun völlig weg fällt, denn eines sollte doch schon klar sein, nicht jeder WLAN Controller
kommt mit jedem WLAN AP klar!!!! Es werden in der Regel nur eine paar WLAN Aps vom
selben Hersteller des WLAN Controller akzeptiert und unterstützt, das sollte Dir nur klar werden.


Gruß
Dobby
Squal10
Squal10 21.12.2012 um 07:55:03 Uhr
Goto Top
Ja das ist mir bewusst. Wenn ich die PoE Switches pro Stockwerk nutzen kann, hat das bereits einen erheblichen Vorteil. Das bedeutet, dass ich jeden Switch mit den entsprechenden Vlans einrichte. Ja ich habe die TP-Links im Auge gehabt, da diese vom Preis/Leistungsverhältniss sehr gut sind. Klar, einen Controller besitzen diese leider nicht. Aber ich habe bisher keine ähnlichen Alternataiven gesucht. Also der Wlan Acess Point, darf ruhig bis 100 € gehen, wenn dann auch der passende Controller angeboten wird. Für die Anmeldung der Mitarbeiter wäre ein AP mit RADIUS-Funktion gut. Und für den Gast-Zugang wird eine Hot-Spot Funktion genutzt.

Ich habe mir die restlichen Erklärungen mal runtergeladen. Wenn ihr natürlich Ap Empfehlungen habt, würde das meine Suche erleichtern.
108012
108012 21.12.2012 um 09:20:41 Uhr
Goto Top
Hallo nochmal Squal10,

das was mich so ein bisschen irritiert hat an der ganzen Sache ist doch folgendes,
Du hast Aussagen gemacht, die nachher einfach unter den Tisch gefallen sind und dann hast Du von
Angeboten gesprochen die Du uns dann nicht präsentiert hast und zu Deinen Fähigkeiten und den Fähigkeiten Deiner Switche im Hinblick auf QoS ist bis jetzt nichts bekannt.
Und ich denke mal bei verschieden artigem Netzwerkverkehr ist das mit den QoS Algorithmen
unerlässlich und wenn die VLANs zu groß werden und/oder es dann zu Störungen kommt
ist die Überlegung wie Du sie angestellt hast, das ganze gleich auf eigene Switche zu legen,
sicherlich auch nicht ganz außer Acht zu lassen.

Es sieht doch wie folgt aus, wenn ich sehe wer hier im Forum und vor allem was er schreibt,
ist mir völlig klar das ein aqui, MrNetman, dog, lks, und wie sie alle heißen
damit die wenigsten Problemen haben, da bin ich mir aber absolut sicher.

Nur wenn Du nun her gehst und normalen LAN Verkehr hast und VOIP basierenden Verkehr hast, nun aber
zusätzlich ein WLAN Netzwerk aufsetzen möchtest und die Frage stellst ob das denn auch so funktionieren kann, weil ja die WLAN APs nur einen LAN Port haben (mit den Multi SSIDs und dem VLAN) dann frage ich
mich als Heimanwender und Netzwerklaie doch sofort ob Dir das denn vielleicht auch mal in den Sinn
gekommen ist das es eventuell dort dann Probleme auftreten könnten, Du Dir aber die Möglichkeit mit dem
WLAN Controller nun verbaut hast! Denn der unterstützt meist oder selbst von den eigenen Geräten nur ein paar. Klar kann man der ganzen Angelegenheit auch anders begegnen und für die PCs und Server,
die evtl. vorhandenen IP Kameras, die VOIP Telefone und die WLAN APs eigene Switche aufstellen um dem
ganzen schnell aus dem Weg zu gehen, nur das kostet dann eben auch richtig Geld.

Man kann ja auch von unserer Seite immer schlecht sagen mit wie vielen Mitarbeitern das Unternehmen
einmal gestartet ist und wie kontinuierlich es wächst, denn wenn dem so ist das jährlich neue Mitarbeiter eingestellt werden ist man irgend wann einmal mit einer "Tüte Buntem" auch schnell am Ende
angelangt und dann wird es noch teurer.

Gruß
Dobby
MrNetman
MrNetman 21.12.2012 um 09:22:59 Uhr
Goto Top
Hi Squal,

Dein Thread wird hier echt spannend.
Nach jedem Hinweis änderst du deine Pläne.
Ob das vielleicht nicht doch ein externen Dienstleister schaffen kann.

Vielleicht hilft dir ein großes Blatt Papier zum Sammeln der Informationen und zur Entwicklung eines Konzeptes.

Als erstes steht die Bestandsaufnahme der aktuellen Infrastruktur.
Gebäude, Server, Switche, Leitungen, Internetzugang, Räume

Dann wirst du überlegen wo du überall WLAN installieren willst und was dieses WLAN können soll.
Dazu gehören Dinge wie:
Frequenzplanung,
Funk-Abdeckung,
Anzahl gleichzeitiger User pro Gebäude, Etage, AP,
mögliche Installationsorte, Kabelverlegung,
Mechanische Anfälligkeit der Technik mit Schutz gegen Veränderung durch Vandalismus,
Zugangsberechtigungen mit möglichst zentraler Verwaltung,
Geräteauswahl nach den oben erarbeiteten Kriterien,

Weiter geht es zur Umsetzung:
Installation der Hardware, Kabel, Antennen,
Abnahmemessungen der geplanten Funktionen und Reichweiten,
Laufender Betrieb: zentral oder dezentral verwaltet,

Gruß
Netman
Squal10
Squal10 21.12.2012 aktualisiert um 09:34:51 Uhr
Goto Top
Als erstes steht die Bestandsaufnahme der aktuellen Infrastruktur.
Gebäude, Server, Switche, Leitungen, Internetzugang, Räume

Dann wirst du überlegen wo du überall WLAN installieren willst und was dieses WLAN können soll.
Dazu gehören Dinge wie:
Frequenzplanung,
Funk-Abdeckung,
Anzahl gleichzeitiger User pro Gebäude, Etage, AP,
mögliche Installationsorte, Kabelverlegung,
Mechanische Anfälligkeit der Technik mit Schutz gegen Veränderung durch Vandalismus,
Zugangsberechtigungen mit möglichst zentraler Verwaltung,
Geräteauswahl nach den oben erarbeiteten Kriterien,

Weiter geht es zur Umsetzung:
Installation der Hardware, Kabel, Antennen,

Die Bestandsaufnahme habe ich bereits gemacht. Frequenzplanung, als auch Funkabdeckung wurde bereits berücksichtigt. Installationsorte, Kabelverlegung ist ebenfalls bereits geplant. Anzahl gleichzeitiger User, Etage, AP auch. Wer welchen Zugang hat ist ebenfalls bereits geklärt. Die Umsetzung wird nicht das Problem darstellen.

MEine Pläne ändere ich keineswegs. Ich verfolge weiterhin das gleiche Ziel mit der gleichen Umsetzung. Nur bin ich mit so einem für mich "großen" Projekt noch nicht vertraut, daher hole ich mir hier Tipps. Und nur weil ich noch nicht alles kompetent wie ihr darstellen kann, heisst es doch nicht, dass ich das projekt an einen externen Dienstleister abgeben muss. In diesem Falle kann man niemals die nötige Erfahrung bekommen. Schließlich möchte ich das auch lernen.

Ich denke, ich habe genug Informationen gesammelt, um das Konzept zu erstellen.

Mir ist auch durchaus bewusst, dass ich noch viel Wissen brauche was dieses Konzept betrifft. Aber ich bin sehr zuversichtlich, dass ich das realisiert bekomme. Ich habe bereits viel Hilfe von euch bekommen. Dafür auch schonmal Danke!
aqui
aqui 21.12.2012 aktualisiert um 13:32:51 Uhr
Goto Top
Und wie du deine TP-Links dann in einen Hotspot Gast WLAN Infrastruktur mit Ticket System und einer Radius Authentisierung einbindest kannst du hier im Detail nachlesen:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
und
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Falls du noch keinen Server hast erledigt der hier sowas preiswert im kleinen Rahmen:
Netzwerk Management Server mit Raspberry Pi
Frequenzplanung und Ausleuchtung sind dafür zwingende Voraussetzung wie Kollege Netman oben richtig bemerkt.
Wenn das schon sauber gemacht ist kann auch als Newbie mit den obigen Tutorials an der Hand nix mehr schief gehen !
Squal10
Squal10 21.12.2012 um 13:41:32 Uhr
Goto Top
Ich danke euch für die ganze Unterstützung. Hier nach habe ich viel neue Erfahrung gesammelt! face-smile
Squal10
Squal10 28.12.2012 um 15:10:35 Uhr
Goto Top
Hallo,

ich hoffe Ihr hattet ein schönes WEihnachtsfest gehabt. Also nach ausgiebiger Prüfung steht die Planung der Hardware fest. Folgende HW wird eingekauft:

1x Cisco SRW2024 Layer3 Switch
8x TP-Link TL-WA901 ND
1x M0n0wall für Captive Portal Lösung
1x FREERadius mit VMWare für RADIUS Server

back-to-topKabel etc....


Damit ist eine gute und preisgünstige Hardwaregrundlage geschaffen.

Meine Frage nur noch. Macht es Sinn den FreeRadius Server (Linux mit VMWare) auf dem PC auf dem die M0n0wall läuft zu installieren? Oder sollte ich einen seperaten nehmen?
aqui
aqui 29.12.2012 aktualisiert um 12:09:44 Uhr
Goto Top
Na dann hast du alle Komponenten richtig zusammen...und es kann losgehen !
Hardwaretechnisch bist du damit auf einem sehr guten Weg und damit ist das im Handumdrehen umzusetzen. Die entsprechenden Tutorials hast du ja hier zur Verfügug.

Zur Frage der Kopplung von FreeRadius und dem Captive Portal wäre das machbar allerdings bedingt dann immer ein Ausfall oder Fehlfunktion einer dieser Komponenten immer auch gleichzeitig den Ausfall der anderen.
Aus diesem Grunde solltest du es zur Betriebssicherheit besser trennen, zumal man das CP dann auch auf einer Flash basierten und Verschleiss freien Lösung realisieren kann:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Mit einer entsprechend großen SD Karte kannst du sogar das hier:
Netzwerk Management Server mit Raspberry Pi
als Authentisierungsserver benutzen.
Das Monitoring der Komponenten und die Vergabe der Gäste Einmalpasswörter macht er gleich nebenbei.
Allerdings gibt es ein Limit was die Skalierbarkeit anbetrifft, das ist klar bei solcher Komponente.
Wenn es mehr User sind und du mehr überwachen musst macht ggf. ein preiswerter 1HE Server wie dieser hier mehr Sinn:
http://www.ebay.de/itm/1HE-Supermicro-Server-Celeron-1-6GHz-512MB-80GB- ...
Für alle Anforderungen an dein WLAN reicht das ebenfalls !