107235
Jun 24, 2012
5319
11
0
WLAN Konzept für Kollegen und Externe
Hallo,
ich habe einen Standort mit einer merkwürdig anmutenden WLAN Konfig übernommen.
Bisher habe ich Accesspoints, getrennt über ein VLAN, durch ein MS TMG 2010 geroutet und dort in mein LAN gebracht. Alle Teilnehmer waren immer Domänenuser und auch die Geräte gehörten der Domänen an. Somit konnte ich per GPO usw ganz bequem das WLAN zur Verfügung stellen und die Kollegen konnten im gesammten Firmenareal per Klick ins WLAN und ich konnte durch hinzufügen oder entfernen aus AD-Gruppen die Kollegen limitieren in ihrer Bewegungsfreiheit.
Jetzt hat die Geschäftsführung mich gebeten für Fremde das WLAN so zur Verfügung zu stellen, dass z. B. Kunden sich in Ihre Firmen verbinden können.
Das musste ich ablehnen, weil ich keine "Fremden" im Netz haben will.
Alle Accesspoints sind Multi-SSID fähig und können die SSIDs mit VLANs taggen.
Ich habe einen reinen Internetanschluss zur Verfügung der sich eignen würde Gästen das Internet anzubieten.
Hinter dem Internet möchte ich mit IPSense einen Capative Portal mit Vouchers-Funktion betreiben, bzw habe ich den eben fertig gemacht.
Jetzt habe ich verschiedene Ideen, wie ich die Brücke vom IPSense zu den Accesspoints schlagen soll. Damit ist nicht der Kabelweg gemeint. ;)
Ich brauch DHCP für die Gäste und will eine Trennung zu meinen Netz. in meinen Netz gibt es natürlich DHCP.
Unabhängig von meinen Ideen. möchte ich hier gerne weiteren Input lesen.
Vielen Dank für die Aufmerksamkeit.
ich habe einen Standort mit einer merkwürdig anmutenden WLAN Konfig übernommen.
Bisher habe ich Accesspoints, getrennt über ein VLAN, durch ein MS TMG 2010 geroutet und dort in mein LAN gebracht. Alle Teilnehmer waren immer Domänenuser und auch die Geräte gehörten der Domänen an. Somit konnte ich per GPO usw ganz bequem das WLAN zur Verfügung stellen und die Kollegen konnten im gesammten Firmenareal per Klick ins WLAN und ich konnte durch hinzufügen oder entfernen aus AD-Gruppen die Kollegen limitieren in ihrer Bewegungsfreiheit.
Jetzt hat die Geschäftsführung mich gebeten für Fremde das WLAN so zur Verfügung zu stellen, dass z. B. Kunden sich in Ihre Firmen verbinden können.
Das musste ich ablehnen, weil ich keine "Fremden" im Netz haben will.
Alle Accesspoints sind Multi-SSID fähig und können die SSIDs mit VLANs taggen.
Ich habe einen reinen Internetanschluss zur Verfügung der sich eignen würde Gästen das Internet anzubieten.
Hinter dem Internet möchte ich mit IPSense einen Capative Portal mit Vouchers-Funktion betreiben, bzw habe ich den eben fertig gemacht.
Jetzt habe ich verschiedene Ideen, wie ich die Brücke vom IPSense zu den Accesspoints schlagen soll. Damit ist nicht der Kabelweg gemeint. ;)
Ich brauch DHCP für die Gäste und will eine Trennung zu meinen Netz. in meinen Netz gibt es natürlich DHCP.
Unabhängig von meinen Ideen. möchte ich hier gerne weiteren Input lesen.
Vielen Dank für die Aufmerksamkeit.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 186951
Url: https://administrator.de/contentid/186951
Printed on: April 23, 2024 at 23:04 o'clock
11 Comments
Latest comment
Hi
nachdem der AP mehrere SSID und VLan kanns mach einfach für das Gastnetz ein eigenes Vlan. Aucvh die Pfsense hängst du in dieses VLAN. Sonst nichts. Den DHCP kannst du ja sicher auf der pfsense laufen lassen. Somit sind deine Netze sauber getrennt.
LG
nachdem der AP mehrere SSID und VLan kanns mach einfach für das Gastnetz ein eigenes Vlan. Aucvh die Pfsense hängst du in dieses VLAN. Sonst nichts. Den DHCP kannst du ja sicher auf der pfsense laufen lassen. Somit sind deine Netze sauber getrennt.
LG
Okay. Das war ebenfalls mein erster Gedanke.
Gern weiterer Input erwünscht.
Gern weiterer Input erwünscht.
Hi
was möchtest du denn sonst noch bzw. anders haben ?
LG
was möchtest du denn sonst noch bzw. anders haben ?
LG
Ich weiß nicht wie das bei euch mit dem ersten Gedanken ist, aber der muss ja nicht immer der beste sein. Auch mal schnell was provisorisch zu machen, hat ja oft zur Folge das Provisorien sehr langlebig sind.
Daher bin ich immer an frischen Input interessiert.
Daher bin ich immer an frischen Input interessiert.
moin,
Sollen die Gäste "nacktes" Internet bekommen oder eher ein gefiltertes, in dem ggf nur web, mail udn vpn geht.
Ich habe Kunden, die stellen den Gästen nur "web" zur verfügung und andere Kunden, die den Gästen soweit vertrauen, daß alles ungefiltert durchgeht. Natürlich jedesmal im eigenen Segment, getrennt vom Firmen-LAN.
lks
Sollen die Gäste "nacktes" Internet bekommen oder eher ein gefiltertes, in dem ggf nur web, mail udn vpn geht.
Ich habe Kunden, die stellen den Gästen nur "web" zur verfügung und andere Kunden, die den Gästen soweit vertrauen, daß alles ungefiltert durchgeht. Natürlich jedesmal im eigenen Segment, getrennt vom Firmen-LAN.
lks
Ich denke ich werde später an der PFSense filtern.
Wenn die APs ESSID fähig sind (Multi SSID) dann beschreibt doch dieses Tutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern -->> Praxisbeispiel
ganz genau deine (WLAN) Anforderung und wie man das im Handumdrehen löst ?!
Wo genau ist denn nun dein Problem ??
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern -->> Praxisbeispiel
ganz genau deine (WLAN) Anforderung und wie man das im Handumdrehen löst ?!
Wo genau ist denn nun dein Problem ??
Kann mir mal einer helfen und zeigen, wo die Frage ist? Anhand des dafür vorgesehenen Satzzeichens und der Satzstellung konnte ich nichts finden.
PFSense habe ich so heute Vormittag schon konfiguriert. Das Praxisbeispiel habe ich beim bei Suche nicht gefunden/bzw übersehen.
Ich werde Dienstag/Mittwoch mal einen Accesspoint anpassen.
Wenn es keinen tollen Ideen mehr gibt, dand vielen Dank.
Ich werde Dienstag/Mittwoch mal einen Accesspoint anpassen.
Wenn es keinen tollen Ideen mehr gibt, dand vielen Dank.
Vom Prinzip her ist das Gast-WLAN einfach ein weiteres VLAN, das jedoch am L3 (Def. GW) übergang durch eine Firewall reglementiert wird, sodass die FW die Zugriff aufs Internet zulässt (nach erfolgter Web-Authentsierung) und Zugriff aufs interne Netz blockt.
Fertiglösungen für diese typische Anforderung gibts übrigens auch en masse, z. B. Cisco WLC, da ist schon alles drin und es steht ruckzuck bereit. Oder Aruba, oder Trapeze, oder Astaro, oder oder oder...
Da ist dann das Captive Portal, dhcp, Gast-User Veraltung alles drinne und man muss nicht tagelang basteln.
Bei Cisco kann man auch Gast-Traffic aus Aussenstandorten bis zum so genannten "Anchor Controller" im Hauptsitz (wo der Internet Zugang steht) tunneln mittels EoIP. Sehr elegante Lösung.
Fertiglösungen für diese typische Anforderung gibts übrigens auch en masse, z. B. Cisco WLC, da ist schon alles drin und es steht ruckzuck bereit. Oder Aruba, oder Trapeze, oder Astaro, oder oder oder...
Da ist dann das Captive Portal, dhcp, Gast-User Veraltung alles drinne und man muss nicht tagelang basteln.
Bei Cisco kann man auch Gast-Traffic aus Aussenstandorten bis zum so genannten "Anchor Controller" im Hauptsitz (wo der Internet Zugang steht) tunneln mittels EoIP. Sehr elegante Lösung.
Ich werde ggf. für das nächste Geschäftsjahr das Budget beantragen. Dieses Jahr reicht es nicht bzw ist für andere Sachen verplant.
Ich habe jetzt zum Testen drei Accesspoints in die Config aufgenommen und bin eigentlich zu frieden.
Ich habe jetzt zum Testen drei Accesspoints in die Config aufgenommen und bin eigentlich zu frieden.
