7
Netzwerk für Verein neu einrichten
Hallo zusammen,
ich habe die Aufgabe unser Netzwerk neu einzurichten. Wir sind ein Verein mit etwa 200 Mitgliedern, die auch alle einen Zugang zu unserem WLAN bekommen sollen. Von denen sind etwa 15-20 Personen täglich anwesend und benötigen auch Zugriff auf ein NAS. Sie benutzen jeweils ihre eigenen Geräte.
Mein Plan war ein Captive Portal auf unserer pfsense-Firewall einzurichten, den 20 regelmäßigen Benutzern einen permanenten Zugang zu verschaffen und den übrigen Mitgliedern Vouchers zukommen zu lassen.
Außerdem werden wir demnächst 4-5 WLAN Accesspoints bekommen. Diese wollte ich per RADIUS-Server einbinden. Das alles sollte ganz gut funktionieren, allerdings kenne ich mich nicht sonderlich gut mit mit Benutzerverwaltung aus.
Es wäre schön, wenn wir nicht immer auf dem NAS und zusätzlich auf der Firewall die Benutzer pflegen müssen. Dazu hatte ich mir schon überlegt einen LDAP-Server einzurichten. Ich weiß allerdings nicht worauf ich den aufsetzen sollte. Auf der Firewall oder auf dem NAS oder lieber auf einem kleinen extra Gerät (zB. Raspberry Pi).
Schön wäre auch, wenn beim Login in das Netzwerk über das Captive Portal schon die Freigaben vom NAS erreichbar sind und der Benutzer sein Passwort selbst ändern kann.
Vielleicht kann mir dabei jemand helfen. Ein wenig Literatur dazu würde mir auch schon helfen, falls jemand ein gutes Buch kennt.
ich habe die Aufgabe unser Netzwerk neu einzurichten. Wir sind ein Verein mit etwa 200 Mitgliedern, die auch alle einen Zugang zu unserem WLAN bekommen sollen. Von denen sind etwa 15-20 Personen täglich anwesend und benötigen auch Zugriff auf ein NAS. Sie benutzen jeweils ihre eigenen Geräte.
Mein Plan war ein Captive Portal auf unserer pfsense-Firewall einzurichten, den 20 regelmäßigen Benutzern einen permanenten Zugang zu verschaffen und den übrigen Mitgliedern Vouchers zukommen zu lassen.
Außerdem werden wir demnächst 4-5 WLAN Accesspoints bekommen. Diese wollte ich per RADIUS-Server einbinden. Das alles sollte ganz gut funktionieren, allerdings kenne ich mich nicht sonderlich gut mit mit Benutzerverwaltung aus.
Es wäre schön, wenn wir nicht immer auf dem NAS und zusätzlich auf der Firewall die Benutzer pflegen müssen. Dazu hatte ich mir schon überlegt einen LDAP-Server einzurichten. Ich weiß allerdings nicht worauf ich den aufsetzen sollte. Auf der Firewall oder auf dem NAS oder lieber auf einem kleinen extra Gerät (zB. Raspberry Pi).
Schön wäre auch, wenn beim Login in das Netzwerk über das Captive Portal schon die Freigaben vom NAS erreichbar sind und der Benutzer sein Passwort selbst ändern kann.
Vielleicht kann mir dabei jemand helfen. Ein wenig Literatur dazu würde mir auch schon helfen, falls jemand ein gutes Buch kennt.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 255302
Url: https://administrator.de/contentid/255302
Printed on: April 19, 2024 at 22:04 o'clock
7 Comments
Latest comment
Servus,
grundsätzlich ist alles möglich. Je nach Kenntnisstand sogar (lizenz)kostenlos mit Linux, wenn du Zeit investieren kannst (weil du schon indirekt Linux erwähnst).
Als Basis ein Verzeichnisdienst zur Benutzerverwaltung und Dateifreigabe (mit Samba oder Active Directory). Dazu ein Radius-Server fürs WLAN (freeradius oder NAP, gekoppelt an den Verzeichnisdienst).
Die Anmeldung am WLAN kannst du wie schon erwähnt dann über ein Portal mit pfsense machen. Bei zusätzlichen APs kann ich die Unifi-APs (UAP, UAP-Pro) empfehlen. Sind zentral verwaltbar und relativ günstig.
Sind an sich Standard-Sachen, die man schön zusammen einrichten kannst. Freeradius könnte man z.B. auch mit einem MySQL-Backend betreiben, wenn du den NAS-Zugriff entkoppeln willst, Benutzerverwaltung geht dann über ein einfaches PHP-Script. Freeradius lässt sich vermutlich sogar auf einigen NAS-Systemen betreiben, am Raspi auch, wenn die Authentifizierung eine Sekunde länger dauern darf ;)
Interessant ist, wie viel Erfahrung du schon hast bzw. wie viel Zeit deinerseits bzw. Geld vom Verein zur Verfügung steht.
Grüße, Stefan
grundsätzlich ist alles möglich. Je nach Kenntnisstand sogar (lizenz)kostenlos mit Linux, wenn du Zeit investieren kannst (weil du schon indirekt Linux erwähnst).
Als Basis ein Verzeichnisdienst zur Benutzerverwaltung und Dateifreigabe (mit Samba oder Active Directory). Dazu ein Radius-Server fürs WLAN (freeradius oder NAP, gekoppelt an den Verzeichnisdienst).
Die Anmeldung am WLAN kannst du wie schon erwähnt dann über ein Portal mit pfsense machen. Bei zusätzlichen APs kann ich die Unifi-APs (UAP, UAP-Pro) empfehlen. Sind zentral verwaltbar und relativ günstig.
Sind an sich Standard-Sachen, die man schön zusammen einrichten kannst. Freeradius könnte man z.B. auch mit einem MySQL-Backend betreiben, wenn du den NAS-Zugriff entkoppeln willst, Benutzerverwaltung geht dann über ein einfaches PHP-Script. Freeradius lässt sich vermutlich sogar auf einigen NAS-Systemen betreiben, am Raspi auch, wenn die Authentifizierung eine Sekunde länger dauern darf ;)
Interessant ist, wie viel Erfahrung du schon hast bzw. wie viel Zeit deinerseits bzw. Geld vom Verein zur Verfügung steht.
Grüße, Stefan
Beim Captive Portal hast du das Problem, dass das WLAN unverschlüsselt ist. Also auch Fremde könnten einfach den Datenverkehr mitlesen. Schwirrt ja einfach so in der Luft rum.
Behalt die RADIUS-Sache im Auge, nutz aber besser WPA2-Enterprise dafür. Sehr viele Geräte unterstützen es, auch im Mobilbereich und du musst einen RADIUS-Server als Backend haben.
Damit ist das WLAN und die Daten sicher. Hätte gleichzeitig den Vorteil, dass man es im Gerät nur einmal einrichten muss, danach loggt man sich automatisch wieder ein. Bei einem Captive Portal musst du dich jedes mal neu anmelden oder du machst es durch MAC-Relogin unsicherer.
Captive Portals sind dafür gedacht, um unbedarften Benutzern, die nur kurzfristig irgendwo sind, einen schnellen und einfachen Internetzugang zu ermöglichen, also im Cafe, im Hotel, am Bahnhof, wo man sich nur kurz aufhält.
Behalt die RADIUS-Sache im Auge, nutz aber besser WPA2-Enterprise dafür. Sehr viele Geräte unterstützen es, auch im Mobilbereich und du musst einen RADIUS-Server als Backend haben.
Damit ist das WLAN und die Daten sicher. Hätte gleichzeitig den Vorteil, dass man es im Gerät nur einmal einrichten muss, danach loggt man sich automatisch wieder ein. Bei einem Captive Portal musst du dich jedes mal neu anmelden oder du machst es durch MAC-Relogin unsicherer.
Captive Portals sind dafür gedacht, um unbedarften Benutzern, die nur kurzfristig irgendwo sind, einen schnellen und einfachen Internetzugang zu ermöglichen, also im Cafe, im Hotel, am Bahnhof, wo man sich nur kurz aufhält.
Die bintec Access Points der bintec Wx003/4n Serie können über die kostenlose WLAN Controller Lizenz bis zu 5 weitere APs managen. Damit hat man ein zentrales WLAN Management mit vielen Statistikfunktionen.
Nachtrag: Und das System macht auch dann noch keine Probleme wenn sich sehr viele Clients registriert haben.
Nachtrag: Und das System macht auch dann noch keine Probleme wenn sich sehr viele Clients registriert haben.
Hallo Stefan,
vielen Dank für die Antwort. Die Unifi-APs habe ich auch schon ins Auge gefasst. Die scheint es im Dreierpack ganz günstig zu geben. Damit werde ich dann erstmal anfangen und nach und nach weiter ausbauen.
Pfsense läuft derzeit auf einem APU1C. Daran wollte ich dann das NAS direkt anschließen, WAN und den Switch (also LAN). Auf dem NAS laufen derzeit der RADIUS-Server und eine Benutzerverwaltung. Leider muss man die Benutzer doppelt pflegen für die Dateifreigabe und für den Radius-Server. Das ist mir zu umständlich und die Anmeldung dauert immer ewig, weil die Festplatten bei jeder Anmeldung im WLAN hochfahren müssen. Deshalb dachte ich für die Benutzerverwaltung an einen kleinen LDAP-Server auf einem Raspi. Auf der Firewall könnte dann noch der Radius-Server laufen.
Beim Captive Portal hatte ich nicht bedacht, dass das WLAN dann unverschlüsselt ist. Das sollte so nicht sein. Lässt sich aber mit den Unifi-APs ein zweites Gastnetz aufbauen? Dann könnten die regelmäßigen Nutzer via Radius ins Netz und der Rest kann sich weiterhin über die Vouchers anmelden.
Von PHP/MySQL habe ich leider fast keine Ahnung, könnte mich aber vielleicht ein wenig einlesen. Mit Linux kenne ich mich schon besser aus.
Wie kriege ich es denn hin, dass beim Netz-Login über Radius die Dateifreigaben auch direkt vorhanden sind?
Geld ist wie immer keins vorhanden. Das ganze muss so günstig wie möglich sein. Deshalb auch der Vorschlag mit dem Raspi. Den haben wir hier noch herumliegen ;)
EDIT: Von Active Directory habe ich leider auch nicht viel Ahnung. Ich dachte immer, dass das nur eine Domäne ist mit der die Windows-Logins zentral gespeichert werden. Die Nutzer solle allerdings weiterhin ihre eigenen Rechner verwenden können. Also habe ich auf die Endgerät keinen Einfluss.
vielen Dank für die Antwort. Die Unifi-APs habe ich auch schon ins Auge gefasst. Die scheint es im Dreierpack ganz günstig zu geben. Damit werde ich dann erstmal anfangen und nach und nach weiter ausbauen.
Pfsense läuft derzeit auf einem APU1C. Daran wollte ich dann das NAS direkt anschließen, WAN und den Switch (also LAN). Auf dem NAS laufen derzeit der RADIUS-Server und eine Benutzerverwaltung. Leider muss man die Benutzer doppelt pflegen für die Dateifreigabe und für den Radius-Server. Das ist mir zu umständlich und die Anmeldung dauert immer ewig, weil die Festplatten bei jeder Anmeldung im WLAN hochfahren müssen. Deshalb dachte ich für die Benutzerverwaltung an einen kleinen LDAP-Server auf einem Raspi. Auf der Firewall könnte dann noch der Radius-Server laufen.
Beim Captive Portal hatte ich nicht bedacht, dass das WLAN dann unverschlüsselt ist. Das sollte so nicht sein. Lässt sich aber mit den Unifi-APs ein zweites Gastnetz aufbauen? Dann könnten die regelmäßigen Nutzer via Radius ins Netz und der Rest kann sich weiterhin über die Vouchers anmelden.
Von PHP/MySQL habe ich leider fast keine Ahnung, könnte mich aber vielleicht ein wenig einlesen. Mit Linux kenne ich mich schon besser aus.
Wie kriege ich es denn hin, dass beim Netz-Login über Radius die Dateifreigaben auch direkt vorhanden sind?
Geld ist wie immer keins vorhanden. Das ganze muss so günstig wie möglich sein. Deshalb auch der Vorschlag mit dem Raspi. Den haben wir hier noch herumliegen ;)
EDIT: Von Active Directory habe ich leider auch nicht viel Ahnung. Ich dachte immer, dass das nur eine Domäne ist mit der die Windows-Logins zentral gespeichert werden. Die Nutzer solle allerdings weiterhin ihre eigenen Rechner verwenden können. Also habe ich auf die Endgerät keinen Einfluss.
Servus!
WAN <> pfsense <> Switch und dort dann alles aus dem LAN dran.
https://www.synology.com/de-de/knowledgebase/tutorials/469
(können sicher andere Hersteller auch, nur als Bsp).
Alternativ: Captive Portal + WPA mit shared Key, den alle Mitglieder wissen. Damit schützt du dich dann zumindest vor mitlauschenden Nachbarn, sofern der Key intern bleibt. Login-Zeit auf 10-12 Stunden, dann muss man sich jeden Tag neu einloggen. Portal per HTTPS, dann fliegen zumindest die Passwörter nicht unverschlüsselt herum.
Musst du abschätzen: Sitzt du mitten in der Stadt oder irgendwo allein im Wald.
Wie gesagt, meine Hinweise zielen auf eine Lösung ab, die Bastelarbeit erfordert, machbar, wenn du Zeit und Lust hast. Du lernst sicher viel dabei, wirst aber vermutlich auch gelegentlich schief angeschaut, wenn was nicht perfekt läuft...
Du kannst ja die Infrastruktur einmal in VMs nachbauen und testen, bevor du das ganze Netz umbaust.
Ein "Verzeichnisdienst out of the Box" (auf einem NAS wie oben verlinkt, eine Linux-Distri wie z.B. Zentyal, wo alles out of the Box läuft, oder ein Win-Server, mit richtiger Lizenzierung aber eher nicht leistbar) würde dir viel Arbeit abnehmen...
Grüße, Stefan
Pfsense läuft derzeit auf einem APU1C. Daran wollte ich dann das NAS direkt anschließen, WAN und den Switch (also LAN).
??WAN <> pfsense <> Switch und dort dann alles aus dem LAN dran.
Auf dem NAS laufen derzeit der RADIUS-Server und eine Benutzerverwaltung. Leider muss man die Benutzer doppelt pflegen für
die Dateifreigabe und für den Radius-Server.
Was ist das für ein NAS? Ev. kann das NAS die User auch per Verzeichnisdienst verwalten, wie z.B.:die Dateifreigabe und für den Radius-Server.
https://www.synology.com/de-de/knowledgebase/tutorials/469
(können sicher andere Hersteller auch, nur als Bsp).
Festplatten bei jeder Anmeldung im WLAN hochfahren müssen. Deshalb dachte ich für die Benutzerverwaltung an einen
kleinen LDAP-Server auf einem Raspi. Auf der Firewall könnte dann noch der Radius-Server laufen.
Dann wirds aber kompliziert. Dann müsstest du vermutlich auf dem Raspi einen kompletten Samba installieren, und das NAS in die Domäne aufnehmen, um gleiche Useraccounts zu verwenden. Die Lösung wird aber auch nicht sooo performant sein, Anleitungen dazu finden sich im Netz. Freeradius dann auch gleich dazu.kleinen LDAP-Server auf einem Raspi. Auf der Firewall könnte dann noch der Radius-Server laufen.
Beim Captive Portal hatte ich nicht bedacht, dass das WLAN dann unverschlüsselt ist.
Die saubere Lösung ist - wie oben schon erwähnt - WPA2-Enterprise, die Konfiguration ist ein bisschen aufwändiger, die UniFi-APs können das aber.Alternativ: Captive Portal + WPA mit shared Key, den alle Mitglieder wissen. Damit schützt du dich dann zumindest vor mitlauschenden Nachbarn, sofern der Key intern bleibt. Login-Zeit auf 10-12 Stunden, dann muss man sich jeden Tag neu einloggen. Portal per HTTPS, dann fliegen zumindest die Passwörter nicht unverschlüsselt herum.
Musst du abschätzen: Sitzt du mitten in der Stadt oder irgendwo allein im Wald.
sich aber mit den Unifi-APs ein zweites Gastnetz aufbauen? Dann könnten die regelmäßigen Nutzer via Radius ins
Netz und der Rest kann sich weiterhin über die Vouchers anmelden.
Das Gastnetz ist aber dann wieder unverschlüsselt, Radius müsste per WPA2-Enterprise gehen, sonst gleiches Problem wie oben.Netz und der Rest kann sich weiterhin über die Vouchers anmelden.
Wie kriege ich es denn hin, dass beim Netz-Login über Radius die Dateifreigaben auch direkt vorhanden sind?
Wie sollen die Freigaben gleich verfügbar sein? Als Netzlaufwerke eingebunden? Oder gleiche User/Passwort-Kombination?Geld ist wie immer keins vorhanden. Das ganze muss so günstig wie möglich sein. Deshalb auch der Vorschlag mit dem
Raspi. Den haben wir hier noch herumliegen ;)
Klar lässt sich das Projekt auch mit NAS und Raspi umsetzen, vorausgesetzt es gibt das entsprechende Knowhow bzw. die Zeit & Lust auf Bastelarbeiten.Raspi. Den haben wir hier noch herumliegen ;)
EDIT: Von Active Directory habe ich leider auch nicht viel Ahnung. Ich dachte immer, dass das nur eine Domäne ist mit der die
Windows-Logins zentral gespeichert werden.
Grob gesagt ja, verschiendenste Dienste können dieses Verzeichnis abfragen und den Zugriff gestatten (Dateizugriff, Radius, ...). Im Prinzip auch nur ein LDAP-Server, den sich MS für seine Zwecke angepasst hat.Windows-Logins zentral gespeichert werden.
Die Nutzer solle allerdings weiterhin ihre eigenen Rechner verwenden können. Also habe ich auf die Endgerät keinen Einfluss.
Klar, ist ja kein Problem.Wie gesagt, meine Hinweise zielen auf eine Lösung ab, die Bastelarbeit erfordert, machbar, wenn du Zeit und Lust hast. Du lernst sicher viel dabei, wirst aber vermutlich auch gelegentlich schief angeschaut, wenn was nicht perfekt läuft...
Du kannst ja die Infrastruktur einmal in VMs nachbauen und testen, bevor du das ganze Netz umbaust.
Ein "Verzeichnisdienst out of the Box" (auf einem NAS wie oben verlinkt, eine Linux-Distri wie z.B. Zentyal, wo alles out of the Box läuft, oder ein Win-Server, mit richtiger Lizenzierung aber eher nicht leistbar) würde dir viel Arbeit abnehmen...
Grüße, Stefan
Danke für die vielen Hinweise.
Ich denke, dass ich jetzt erstmal einen LDAP-Server auf dem NAS aufsetze und dann alles weitere teste. Das passende Package ist auf dem Synology (welches genau müsste ich nachsehen) schon drauf. Dann wären die Freigaben wenigstens mit den gleichen Zugangsdaten abrufbar. Das ist schon ein Fortschritt.
Auf der Firewall habe ich heute mal FreeRADIUS installiert. Leider habe ich noch nicht ganz raus, wie ich den LDAP-Server angebunden kriege.
Ich werde jetzt mal ein wenig weiter probieren und bedanke mich schon mal für die ausführlichen Antworten.
Ich denke, dass ich jetzt erstmal einen LDAP-Server auf dem NAS aufsetze und dann alles weitere teste. Das passende Package ist auf dem Synology (welches genau müsste ich nachsehen) schon drauf. Dann wären die Freigaben wenigstens mit den gleichen Zugangsdaten abrufbar. Das ist schon ein Fortschritt.
Auf der Firewall habe ich heute mal FreeRADIUS installiert. Leider habe ich noch nicht ganz raus, wie ich den LDAP-Server angebunden kriege.
Ich werde jetzt mal ein wenig weiter probieren und bedanke mich schon mal für die ausführlichen Antworten.
Servus,
gut, dann viel Spaß beim Testen.
Auf der Firewall (pfsense?) musst du keinen freeradius installieren, der gehört aufs NAS und mit dem LDAP-Server verbunden.
Auf der pfsense stellst du dann unter Services -> Captive Portal -> Name des Portals -> Authentication "Radius Authentication" ein und befüllst IP, Port und shared secret.
Grüße, Stefan
gut, dann viel Spaß beim Testen.
Auf der Firewall (pfsense?) musst du keinen freeradius installieren, der gehört aufs NAS und mit dem LDAP-Server verbunden.
Auf der pfsense stellst du dann unter Services -> Captive Portal -> Name des Portals -> Authentication "Radius Authentication" ein und befüllst IP, Port und shared secret.
Grüße, Stefan
