8
Anzahl User Captive portal Monowall
Hallo,
nachdem ich es Dank der tollen Anleitung hier im Forum geschafft habe, eine FW mit Monowall im Testbetrieb zum laufen zu bekommen, nun eine ganz simple Frage: wer kann mir sagen, ob bei Monowall die Anzahl der Zugänge über Captive Portal und die Anzahl der durchgelassenen MAC Adressen beschränkt ist?
Ich möchte gerne die FW an der Schule einsetzen. Geplant ist, dass die festen Rechner (ca 200!!!) per MAC Adresse durchgelassen werden und nur den Zugriff über WLAN authentifiziert werden muss. Zunächst sollen erst mal alle 110 Lehrer einen Zugang bekommen, eventuell aber später auch noch teilweise die Schüler.
Ich habe an den entsprechenden Stellen im Monowall Handbuch nachgelesen, aber keine Antwort gefunden.
Danke schon mal im Vorraus
goetzg123
nachdem ich es Dank der tollen Anleitung hier im Forum geschafft habe, eine FW mit Monowall im Testbetrieb zum laufen zu bekommen, nun eine ganz simple Frage: wer kann mir sagen, ob bei Monowall die Anzahl der Zugänge über Captive Portal und die Anzahl der durchgelassenen MAC Adressen beschränkt ist?
Ich möchte gerne die FW an der Schule einsetzen. Geplant ist, dass die festen Rechner (ca 200!!!) per MAC Adresse durchgelassen werden und nur den Zugriff über WLAN authentifiziert werden muss. Zunächst sollen erst mal alle 110 Lehrer einen Zugang bekommen, eventuell aber später auch noch teilweise die Schüler.
Ich habe an den entsprechenden Stellen im Monowall Handbuch nachgelesen, aber keine Antwort gefunden.
Danke schon mal im Vorraus
goetzg123
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 182741
Url: https://administrator.de/contentid/182741
Printed on: April 25, 2024 at 11:04 o'clock
8 Comments
Latest comment
wer kann mir sagen, ob bei Monowall die Anzahl der Zugänge über Captive Portal und die
Anzahl der durchgelassenen MAC Adressen beschränkt ist?
Kann ich mir beim besten Willen nicht vorstellen, das es hier eine Beschränkung geben soll. Das macht ja auch keinen Sinn.Anzahl der durchgelassenen MAC Adressen beschränkt ist?
Ich möchte gerne die FW an der Schule einsetzen. Geplant ist, dass die festen Rechner (ca 200!!!) per MAC Adresse durchgelassen werden und nur den Zugriff über WLAN authentifiziert werden muss. Zunächst sollen erst mal alle 110 Lehrer einen Zugang bekommen, eventuell aber später auch noch teilweise die Schüler.
Ähm, ich glaube, du baust dir da ein riesen großes Problem auf. Denn jeder Rechner, der per WLAN drin ist, kann auf alle anderen Rechner zugreifen. Du verhinderst mit dem Captive Portal nur den Zugriff aufs Internet.Beschäftige dich erstmal mit richtigem Netzwerkdesign, ehe du das Problem angehst (unterschiedliche Broadcastdomänen für Kabelnetz und WLAN, getrennte Netzwerke für Schüler und Lehrer, ...)
Eine Beschränkung der Mac Adressen gibt es in der Tat nicht, das ist richtig ! Hier hast du kein Limit.
Allerdings hat Kollege /tkayeventnicht ganz Unrecht was seine Sicherheitsbedenken anbetrifft !!
Willst du wirklich beide Gruppen also Schlüer und Lehrer in ein gleiches WLAN stecken ??
Ganz stimmt es nicht was Kollege /tkayevent schreibt, du kannst natürlich im WLAN selber mit "WLAN Isolation" auf den APs die Clients untereinander trennen und sofern du mehrere Accesspoints betreibst die in ein sog. Private VLAN oder Isolatetd VLAN am Switch legen um einen Any zu Any Kommunikation der Clients untereinander sicher zu verhinden. Allerdings....
Dafür müssen deinen APs und auch deine Switchhardware diese Funktion haben bzw. supporten ansonsten kannst du das gleich vergessen !
Machst du das dann nämlich nicht können die Schüler problemlos im gemeinsamen WLAN die Rechner der Lehrer attackieren (..und auch andersrum) wenn sie wollen.
Das wäre sicher so nicht gewollt.
Sinnvoller und besser (und auch einfacher) ist es WLAN Accesspoints mit ESSID Funktion, also mehreren WLANs pro AP, zu verwenden und den Lehrern ein eigenes getrenntes WLAN bzw. ESSID zu geben. Fast jeder bessere Billig AP kann das heutzutage. Hier kannst du dann die Lehrer wasserdicht mit Mac Adresse und WLAN Verschlüsselung absichern.
Das Schülernetz lässt du dann offen mit einem Captive Portal und den entsprechenden Filterlisten davor um nur gewollte Protokolle und Kommunikation in bestimmte Netze zuzulassen und sie auch vom Lehrernetz abzutrennen.
So macht das Sinn und ist absolut wasserdicht für die Lehrer. Beide Netze koexistieren aber sind dennoch sauber getrennt um einen Any zu Any Kommunikation zu unterbinden.
Wie man das ganz einfach macht und mit welcher Hardware kannst du hier nachlesen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Allerdings hat Kollege /tkayeventnicht ganz Unrecht was seine Sicherheitsbedenken anbetrifft !!
Willst du wirklich beide Gruppen also Schlüer und Lehrer in ein gleiches WLAN stecken ??
Ganz stimmt es nicht was Kollege /tkayevent schreibt, du kannst natürlich im WLAN selber mit "WLAN Isolation" auf den APs die Clients untereinander trennen und sofern du mehrere Accesspoints betreibst die in ein sog. Private VLAN oder Isolatetd VLAN am Switch legen um einen Any zu Any Kommunikation der Clients untereinander sicher zu verhinden. Allerdings....
Dafür müssen deinen APs und auch deine Switchhardware diese Funktion haben bzw. supporten ansonsten kannst du das gleich vergessen !
Machst du das dann nämlich nicht können die Schüler problemlos im gemeinsamen WLAN die Rechner der Lehrer attackieren (..und auch andersrum) wenn sie wollen.
Das wäre sicher so nicht gewollt.
Sinnvoller und besser (und auch einfacher) ist es WLAN Accesspoints mit ESSID Funktion, also mehreren WLANs pro AP, zu verwenden und den Lehrern ein eigenes getrenntes WLAN bzw. ESSID zu geben. Fast jeder bessere Billig AP kann das heutzutage. Hier kannst du dann die Lehrer wasserdicht mit Mac Adresse und WLAN Verschlüsselung absichern.
Das Schülernetz lässt du dann offen mit einem Captive Portal und den entsprechenden Filterlisten davor um nur gewollte Protokolle und Kommunikation in bestimmte Netze zuzulassen und sie auch vom Lehrernetz abzutrennen.
So macht das Sinn und ist absolut wasserdicht für die Lehrer. Beide Netze koexistieren aber sind dennoch sauber getrennt um einen Any zu Any Kommunikation zu unterbinden.
Wie man das ganz einfach macht und mit welcher Hardware kannst du hier nachlesen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Ich hab das "feste Rechner" eher so verstanden, dass die nicht im WLAN sondern am Kabel hängen.
OK, da hast du natürlich völlig Recht. Dafür benötigt er dann auch zwingend "Private VLAN" oder Isolated VLANs" auf dem Switch um das zu trennen.
Billigteile haben sowas bekanntlich nicht folglich ist also die Trennung der Schüler und Lehrer ESSIDs am sinnvollsten.
Tunlichst unterdrückt man für die Leherer SSID auch noch das beaconing der SSID um den Schülern auch den Anreiz auf einen "Lehrer Angriff" zu nehmen.
Na ja wenn man es richtig macht alles 1 bis 2 Mausklicks in der Konfig der APs.
Billigteile haben sowas bekanntlich nicht folglich ist also die Trennung der Schüler und Lehrer ESSIDs am sinnvollsten.
Tunlichst unterdrückt man für die Leherer SSID auch noch das beaconing der SSID um den Schülern auch den Anreiz auf einen "Lehrer Angriff" zu nehmen.
Na ja wenn man es richtig macht alles 1 bis 2 Mausklicks in der Konfig der APs.
Das ist ja spannend, welche Disskussion aus einer einfachen Frage entstanden ist. Natürlich ist bei uns an der Schule das Verwaltungsnetz und das pädagogische Netz sowieso getrennt. Die festen Rechner im pädagogischen Netz (die haupsächlich von Schülern aber auch von Lehrern) benutzt werden sind zudem softwareseitig so eingerichtet, dass die Schüler keinerlei Möglichkeit haben, auf andere Rechner zuzugreifen, wir sind ja nicht dämlich. Zudem gibt es Logbücher zu den Rechnern in denen sich jeder Benutzer eintragen muss, aus diesem Grund möchte ich die festen Rechner (das hat tikayevent richtig verstanden, die hängen am Kabel) ja auch per MAC Filterung durchlassen. Somit ist es auch nicht notwendig jedem der 1300 Schüler einen Zugang einzurichten
Die Einrichtung der FW soll lediglich die wild wuchernden WLAN Netze bei uns im Haus eingrenzen. Im Moment kann jeder seinen eigenen Router anschließen (Jajaja, das sollte nicht so sein, ist aber an einer so großen Schule schwer zu kontrollieren). Über diese wilden WLANs gehen Lehrer mit ihren privaten Laptops und zum Teil wohl auch Schüler ins pädagogische Netz und ich habe keine Kontrolle, wer wo was macht. Dass die privaten Laptops sich innerhalb des pädagogischen Netzes auch trotz der FW ausspionieren können, ist mir natürlich klar und sollte auch den Kollegen klar sein.
Über die Captive Portal Funktion der FW habe ich zumindest die Möglichkeit, den Internetzugang zu reglementieren (das es nicht mehr ist, ist mir auch klar, wie gesagt ich bin ja nicht dämlich tikayevent), d.h. keiner kann mehr seinen Router irgentwo anschließen und wahlos die Zugangsdaten weitergeben.
Darüberhinaus kann ich mit dem Captiv Portal User Management auch Tageslizenzen an auswärtige Lehrer und Schüler vergeben, das ist ebenfalls ein wichtiger Punkt, da wir sehr viele internationale Parnerschulen haben und ein entsprechen großes Austauschprogramm.
Wie gesagt, ich hatte nur eine einfach Frage.
Danke an aqui für die Antwort und an den super Tipp mit den verschiedenen ESSIDs, daran hatte ich in der Tat noch nicht gedacht.
Die Einrichtung der FW soll lediglich die wild wuchernden WLAN Netze bei uns im Haus eingrenzen. Im Moment kann jeder seinen eigenen Router anschließen (Jajaja, das sollte nicht so sein, ist aber an einer so großen Schule schwer zu kontrollieren). Über diese wilden WLANs gehen Lehrer mit ihren privaten Laptops und zum Teil wohl auch Schüler ins pädagogische Netz und ich habe keine Kontrolle, wer wo was macht. Dass die privaten Laptops sich innerhalb des pädagogischen Netzes auch trotz der FW ausspionieren können, ist mir natürlich klar und sollte auch den Kollegen klar sein.
Über die Captive Portal Funktion der FW habe ich zumindest die Möglichkeit, den Internetzugang zu reglementieren (das es nicht mehr ist, ist mir auch klar, wie gesagt ich bin ja nicht dämlich tikayevent), d.h. keiner kann mehr seinen Router irgentwo anschließen und wahlos die Zugangsdaten weitergeben.
Darüberhinaus kann ich mit dem Captiv Portal User Management auch Tageslizenzen an auswärtige Lehrer und Schüler vergeben, das ist ebenfalls ein wichtiger Punkt, da wir sehr viele internationale Parnerschulen haben und ein entsprechen großes Austauschprogramm.
Wie gesagt, ich hatte nur eine einfach Frage.
Danke an aqui für die Antwort und an den super Tipp mit den verschiedenen ESSIDs, daran hatte ich in der Tat noch nicht gedacht.
Ja, richtig ! Damit hast du mit dem Captive Portal das richtige Werkzeug in der Hand um zu regelementieren und diesen Wildwuchs in geordnete Bahnen zu lenken.
Die Tageslizenzen für temporäre besucher sind da ein Bonbon obendrauf.
Mit der ESSID Trennung (diese APs kosten nur geringfügig mehr als andere) kannst du eben die Schüler und Leher noch besser trennen und die "Daumenschrauben" am Schüler WLAN / VLAN mit der Firewall bzw. den Regeln noch etwas anziehen um dort noch mehr Sicherheit zu schaffen.
Das pädagogische Netz solltest du auch auf einen Port der Firewall oder einen VLAN Port hängen. So kannst du noch granularer Zugangsregeln aus den Schüler und Lehrer WLANs (und anderen Segmenten) dafür einstellen ohne das du diese Klimmzüge mit den Mac Adressen machen musst. Auf die Dauer ist das bei 1300 Usern nicht dauerhaft managebar.
Wenn du das so umsetzt bist du genau auf dem richtigen Weg für das Schulnetz.....
Die Tageslizenzen für temporäre besucher sind da ein Bonbon obendrauf.
Mit der ESSID Trennung (diese APs kosten nur geringfügig mehr als andere) kannst du eben die Schüler und Leher noch besser trennen und die "Daumenschrauben" am Schüler WLAN / VLAN mit der Firewall bzw. den Regeln noch etwas anziehen um dort noch mehr Sicherheit zu schaffen.
Das pädagogische Netz solltest du auch auf einen Port der Firewall oder einen VLAN Port hängen. So kannst du noch granularer Zugangsregeln aus den Schüler und Lehrer WLANs (und anderen Segmenten) dafür einstellen ohne das du diese Klimmzüge mit den Mac Adressen machen musst. Auf die Dauer ist das bei 1300 Usern nicht dauerhaft managebar.
Wenn du das so umsetzt bist du genau auf dem richtigen Weg für das Schulnetz.....
Denke ich auch, Danke dir auch für die super Anleitungen, habe heute auf der FW ein bischen rumprobiert und das mit den VLANS denke ich so weit ganz gut vorbereitet.
