113726
Goto Top

Nutzungsvereinbarung des WLANS im Unternehmen

Hallo,

wir haben in unserer Firma eine Fritzbox und einen TP-Link Router, beide gekoppelt.

Wir möchten das WLAN gerne für die Mitarbeiter zur Verfügung stellen.

Nun wissen wir nicht richtig, wie wir die nutzungsvereinbarung formulieren sollen bzw. ob wir noch an irgendwas denken mü+ssen vorher?

Es gibt ein WLAN Kennwort, alles ist per WPA2 gesichert und das Kennwort würden Nutzer dann erhalten, nachdem sie die Vereinbarung unterschrieben haben.

Alles, was man so im Netz findet, ist auf Hotelgäste usw. ausgelegt.

Habt ihr eine Idee oder einen Vordruck?
Müssen wir noch auf was achten?

Vielen Dank im Voraus.

Gruß
Manuel

Content-Key: 256850

Url: https://administrator.de/contentid/256850

Ausgedruckt am: 29.03.2024 um 14:03 Uhr

Mitglied: Looser27
Looser27 05.12.2014 aktualisiert um 14:17:11 Uhr
Goto Top
Mach es doch so:

Sichere 802.1x WLAN-Benutzer Authentisierung über Radius

Die Anleitung von aqui geht super und wenn Du nicht gerade 100 MA mit WLAN versorgen musst auch einfach nachzuhalten.


Das WLAN für die MA noch vom Produktivnetz abgetrennt und alles ist schick.

Gruß

Looser
Mitglied: SlainteMhath
SlainteMhath 05.12.2014 um 14:16:44 Uhr
Goto Top
Moin,

wenn du den Mitarbeitern das WLAN für private Zwecke überlässt, kannst du die gleiche Vereinbarung nehmen wie für die Hotelgäste face-smile

lg,
Slainte
Mitglied: 113726
113726 05.12.2014 um 14:24:24 Uhr
Goto Top
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius

Die Anleitung von aqui geht super und wenn Du nicht gerade 100 MA mit WLAN versorgen musst auch einfach nachzuhalten.
Vielen Dank, habe es ganz kurz überflogen.
Klingt interessant, eine VM wollte ich aber nicht noch extra machen.
Ich suche eine einfacherer möglichkeit.


Das WLAN für die MA noch vom Produktivnetz abgetrennt und alles ist schick.
Das geht dann auch nur mit der VM oder?
Mitglied: 113726
113726 05.12.2014 um 14:28:02 Uhr
Goto Top
Zitat von @SlainteMhath:

Moin,

wenn du den Mitarbeitern das WLAN für private Zwecke überlässt, kannst du die gleiche Vereinbarung nehmen wie
für die Hotelgäste face-smile

lg,
Slainte

Hey,

private Sachen sind untersagt.

Ich überlasse das WLAN den Mitarbeitern für firmeninterne Zwecke, damit sie auch mal an ihrem Laptop oder Handy was internes im Internet Nachschauen können.
Mitglied: xbast1x
xbast1x 05.12.2014 um 14:28:44 Uhr
Goto Top
Hast du eine Domäne? Wie viel Mitarbeiter betrifft es? Die sauberste Lösung ist die Authentifizierung mittels Radiusserver.
Mitglied: Xaero1982
Xaero1982 05.12.2014 um 15:43:49 Uhr
Goto Top
Moin,

deine Idee in Ehren, aber das würde ich keinesfalls machen. Wie willst du rausbekommen wer Schindluder getrieben hat.

Das Stichwort ist hier in der Tat: Radius.

Grüße
Mitglied: aqui
aqui 05.12.2014 aktualisiert um 16:47:05 Uhr
Goto Top
Oder Captive Portal (wahlweise mit Radius) wo auf der Portalseite die Nutzungsvereinbarungen stehen die man rechtlich bindend abnicken muss.
Das wäre am sinnigsten.
Wie man das genau macht erklärt dir in allen Schritten dieses Forums Tutorial:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Mitglied: 113726
113726 08.12.2014 um 08:21:41 Uhr
Goto Top
ICh dankeeuch, aber es muss doch auch einfacher gehen. Wir haben 3 Leute, die das WLAN nutzen. Mehr nicht. Dafür so viel Aufwand betreiben, will ich nicht. Zumal ich auf dem Server auch keine VM laufen lassen möchte und einen zweiten haben wir nicht.

Die neuen FB haben ja einen Gastmodus. Leider unsere alte nicht. Eventuell gibt es da ja eine andere Firmware.
Mitglied: xbast1x
xbast1x 08.12.2014 um 11:19:55 Uhr
Goto Top
Am Ende musst du entscheiden wie du es strukturieren möchtest. Der WLAN Key könnte immer weitergegeben werden. Das Risiko wirst du nicht minimieren können.
Mitglied: 113726
113726 08.12.2014 um 11:46:53 Uhr
Goto Top
Naja gibt es nicht möglichkeiten, das WLAN Netz irgendwie abzugrenzen vom produktivnetz?

Leider haben wir auch einen WLAN Drucker in unserer Firma, der im Produktivnetz verfügbar sein muss.
Mitglied: xbast1x
xbast1x 08.12.2014 um 14:09:14 Uhr
Goto Top
Möglichkeiten gibt es, dafür müsstest du aber mehr Informationen über verfügbare Hardware (Switches) etc. geben.
Mitglied: 113726
113726 08.12.2014 um 14:14:19 Uhr
Goto Top
Also wie gesagt wären da die beiden Router.

Dann haben wir noch einen Netgear GS724T.

Mehr haben wir nicht.
Mitglied: xbast1x
xbast1x 08.12.2014 um 14:16:01 Uhr
Goto Top
Wenn du es so trennen möchtest, müsstest du verschiedene VLAN Netze erinchten, ob das dein Router kann, musst du prüfen

Mehr Informationen zu dem Thema:

VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Mitglied: 113726
113726 08.12.2014 um 14:24:51 Uhr
Goto Top
oha oha oha, das sieht mir ja extrem komliziert aus.

Damit hatte ich ja noch nie was zu tun.

Aber so wie es aussieht, benötige ich auch einen VLAN fähigen Router und das kann die Fritzbox nicht. Ergo müssten wir eine neue kaufen und das wollte ich 1) eigentlich ersparen und 2) kann ich dann ja gleich das Gast-WLAN der neuen Fritzboxen nutzen.
face-sad
Mitglied: aqui
aqui 08.12.2014 um 18:08:22 Uhr
Goto Top
oha oha oha, das sieht mir ja extrem komliziert aus.
Nur für jemanden der keine Ahnung hat was er da macht oder von Netzen allgemein....! face-wink
Sorry aber mal ehrlich...auf jedem popeligen VLAN Switch ist das mit 3 Mausklicks in 15 Minuten erledigt ! Das nennst du wirklich "kompliziert" ?!
Mitglied: Looser27
Looser27 09.12.2014 um 08:44:41 Uhr
Goto Top
Dann haben wir noch einen Netgear GS724T.

Super. Der kann doch VLAN. Und die Einrichtung ist beim Netgear fix gemacht.
Mitglied: aqui
aqui 09.12.2014 um 10:17:30 Uhr
Goto Top
VLANs "fix" bei NetGear. Igitt, das sit die unverständlichste VLAN Konfig von allen am Markt. Aber wenn man weiss was man macht bekommt man das natürlich auch bei NetGear in den Griff !
Wie, das erklärt dieses Forumstutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Mitglied: 113726
113726 15.12.2014 aktualisiert um 07:06:45 Uhr
Goto Top
Guten Morgen,

ich habe mir die ganze Sache noch mal angeschaut.

Ich habe zu dem Radius Server noch mal eine Frage.

Also wenn ich das jetzt richtig gelesen habe, reicht mir so ein Radius Server aus, um die WLAN Autorisierung durchzuführen richtig?

Wir haben ein Synlogy NAS und im Link steht ja, dass auch die NAS Systeme Radius unterstützen, also benötige ich keine VM.

Klappt das so einfach?

Dann muss ich ja noch im Router auf Enterprise stellen. Beim Tp-Link klappt das natürlich, bei der Fritzbox allerdings nicht. Gibt es da eine alternative Firmware?

Und muss ich dann wirklich das Zertifikat auf dem Client installieren? Das möchte ich mir schenken. ICh möchte dem User einen Account geben, womit er sich dann im WLAn anmelden kann.
Mitglied: aqui
aqui 15.12.2014 um 10:53:51 Uhr
Goto Top
Also wenn ich das jetzt richtig gelesen habe, reicht mir so ein Radius Server aus, um die WLAN Autorisierung durchzuführen richtig?
Ja, richtig !
Wir haben ein Synlogy NAS und im Link steht ja, dass auch die NAS Systeme Radius unterstützen, also benötige ich keine VM.
Auch das ist genau richtig !
Klappt das so einfach?
Ja, ist mit dem Radius Server auf dem Synology in 15 Minuten erledigt....
Dann muss ich ja noch im Router auf Enterprise stellen.
Ja, auch richtig und die Radius Server IP einstellen. Achtung: Der Radius muss dazu vom AP natürlich erreichbar sein !
bei der Fritzbox allerdings nicht. Gibt es da eine alternative Firmware?
Ist klar, denn die FB ist ein Billiger Consumer Router der das nicht supportet. Wenn du eine alternative FW verwenden willst die das kann musst du Freetz nehmen: http://freetz.org
Ist dir Frage ob das Sinn macht oder du dir nicht lieber für den Aufwand ein paar mehr TP-Link, Edimax usw. 20 Euro APs kaufst die den Enterprise Support problemlos können ?!
Und muss ich dann wirklich das Zertifikat auf dem Client installieren?
Das kannst du automatisiert mit einem Domain Login z.B. machen. Hast du sowas nicht musst du Hand anlegen... Du kannst natürlich auch im 802.1x Client die Zertifikatsüberprüfung ganz abschlaten (Sihe o.a. Tutorial !!)
Das möchte ich mir schenken. I
Na ja... Ohne ein Server Zertifikat, und das wird sogar dir wohl auch als Laie sofort einleuchten, ist die ganze Radisu Authentisierung dann ja völliger Mumpitz !
Da kann dann jeder beliebige User oder Eindringling einen kleinen Raspberry_Pi oder eine VM als Radius allen deinen APs unterjubeln da du ja nicht mehr die Authentizität des Servers prüft und erlangt dann damit sofortigen Zugang zum kompletten WLAN und allen angeschlossenen Resourcen.
Dann kannst du dir den Radius auch gleich ganz sparen, ein statische WPA Passwort nehmen und unten am Eingang ein Schild anbringen: "Liebe Besucher, das WLAN Passowrt lautet: xyz"
ICh möchte dem User einen Account geben, womit er sich dann im WLAn anmelden kann.
Genau das ist der Sinn eines WLANs mit Radius...aber sinnvollerweise auch mit dem Zertifikat. Wenn dir die Sicherheit des WLANs nichts wert ist und du das Risiko bewusst eingehen willst, dann schlate die Zertifikatsprüfung einfach ab !
Das Forumstutorial erklärt dir alle Schritte dazu im Detail...wenn du es denn liest ?!
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Mitglied: 113726
113726 15.12.2014 aktualisiert um 11:49:22 Uhr
Goto Top
Vielen Dank.

Also wir haben ein Synlogy 712+ NAS, da habe ich die Option jetzt gar nicht gefunden.
Habe es aber nur kurz überflogen. (Edit: Kann man als Paket nachinstallieren face-wink)

Wegen dem Zertifika ist mir schon verständlich und abschalten möchte ich das natürlich ungern.

Ich möchte aber definitiv nicht das Zertifikat per Hand verteilen.
Ich habe das einmal durch mit dem Serverzertifikat, will ich nicht wieder haben. Zumal es irgendwann abläuft, da´nn muss man wieder Hand anlegen.
Das mit dem Domain Login klingt gut, d.h. ich besuche eine Webseite und dann wird das Zertifikat installiert richtig? Dazu brauch er aber erst mal Internet face-wink
Wie funktioniert das ganze auf Handys, weil das meiste Smartphones sind.

Wie müsste ich denn das Zertifikat auf dem Handy installieren?

Sehe ich dann mit dem Radius Server genau, wann wer online war und habe eine bessere übersicht?
Muss der User sich jedes mal neu einloggen? Oder bleibt die Verbindung aktiv?

//edit: Was mir noch einfällt.
Wir haben auch einen WLAN Drucker (Brother 8950DW), wie tut der sich autorisieren? Er muss ja ständig erreichbar sein.
Mitglied: aqui
aqui 15.12.2014 aktualisiert um 12:33:12 Uhr
Goto Top
Der Radius Server ollte auch beim 712+ NAS direkt aus der "Paketzentrale" nachinstallierbar sein ! Hast du das geprüft ??
Aktuelle Firmware auf dem 712er ?
Zumal es irgendwann abläuft, da´nn muss man wieder Hand anlegen.
Du generierst das Zertifikat ja selber. Dann stellst du dort ein Gültigkeit von 10 Jahren ein. Das wird vermutlich die Einsatzzeit des NAS dann auch überdauern ?! Sonst 20 Jahre ! Kommt man aber auch leicht von selber drauf wenn man mal etwas nachdenkt ?!
ich besuche eine Webseite und dann wird das Zertifikat installiert richtig?
Nichtmal das... Mit dem Login wird automatisch das zertifikat im Hintergrund betankt ohne das der User das mitbekommt !
Über die Webseite gehts aber natürlich auch. Muss der User dann anklicken und wird automatisch installiert.
Wie funktioniert das ganze auf Handys, weil das meiste Smartphones sind.
Dort sendet man das Zertifikat einfach und simpel per Mail... User klickt drauf...fertig installiert !
Sehe ich dann mit dem Radius Server genau, wann wer online war und habe eine bessere übersicht?
Ja, das ist ja der Sinn.
Wenn du zusätzlich Accounting einstellst kannst du sogar genau sehen wieviel Datentraffic usw. im Netz generiert wurden per User.
Muss der User sich jedes mal neu einloggen? Oder bleibt die Verbindung aktiv?
Verbindung bleibt aktiv !
Wir haben auch einen WLAN Drucker (Brother 8950DW), wie tut der sich autorisieren? Er muss ja ständig erreichbar sein.
Tuten tut der Nachtwächter denn der hat ne Tute....
Nicht 802.1x Endgeräte authentisierst du über dessen Mac Adresse mit dem Radius. Lies dir das Tutorial hier durch dort steht wies geht:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Kapitel: Anpassen der FreeRadius Server Konfigurations Dateien
Einfach die Mac als User und Pass in der Radisu User Konf eintragen, das wars.
Mitglied: 113726
113726 15.12.2014 aktualisiert um 14:12:51 Uhr
Goto Top
OK vielen Dank das klingt pausibel face-smile

Ja den Radius kann ich einfach nachinstallieren!

ICh kenne das mit dem Zertifikatgenerierung nur von unserem SBS, dort kann man keine Laufzeit einstellen, weil der SBS das eigenständig konfiguriert.
Aber wenn man das so einstellen kann, dass er bei der Anmeldung im WLAN automatisch das zertifikat installiert, dann ist doch alles fein.
Das sollte dann ja auch auf dem Handy so funktionieren. Kann ich das einfach einstellen am Synlogy NAS?

Accounting klingt gut, mehr Informationen sind nie verkehrt. So kann man ggf auch jemand finden, der z.B. nur die Leitung blockiert etc.

Vielen Dank, dann wird der Drucker ja einfach eingebunden.

Alles in allem klingt das ja wirklich einfach, wenn das mit der Zertifikatsinstallation jetzt noch problemlos klappt.

Gruß
Manuel

Edit: Wie füge ich neue Benutzer hinzu, denen ich den WLAN zugriff gewähren möchte?

Edit2: So ich habe jetzt umgestellt auf Domainbenutzer.
Jetzt können sich die User mittels Konto anmelden, was ich im Active Directory hinterlegt habe. Es funktioniert face-smile
Ist das der richtige weg, also das über die Domainuser zu machen?
Da kann ich ja auch einen Gastaccount im AD erstellen, wenn doch mal ein Gast kommt, dem ich WLAN Zugriff gewähren möchte.

Und die anderen User melden sich ja normal mit ihren Namen und Passwort an, was im AD hinterlegt ist, so kann ich nachvollziehen, wer wann drauf war.
Ich habe aber keine Möglichkeit gefunden, "Accounting" zu alktivieren. Vermutlich geht das bei Synlogy nicht.

Jetzt muss ich nur noch den Drucker einbinden (den muss ich dann warscheinlich auch im AD anlegen) und (ich werde es mal testen) die alternative Firmware auf die Fritzbox drauf installieren.
Wenns nicht geht, kauf ich einfach noch ein TP-Link, der funlktioniert sehr gut.
Mitglied: aqui
aqui 15.12.2014 um 15:21:53 Uhr
Goto Top
ICh kenne das mit dem Zertifikatgenerierung nur von unserem SBS,
Das passiert leider vielen Winblows Knechten so die nur diese Welt sehen...oder sehen wollen. Aber glücklicherweise ämdert sich das ja jetzt face-wink
dass er bei der Anmeldung im WLAN automatisch das zertifikat installiert
Da hast du was falsch verstanden...Das geht nur bei dem Einloggen in eine Winblows Domain über den Server. In das WLAN kommst du ohne Zertifikat ja erst gar nicht rein wenn du das umgestellt hast ! Wie sollte das auch gehen denn ein WLAN Logon kann ja nun mal nix automatisch auf einen Rechner spreichern...wie sollte das gehen ?!
Alles in allem klingt das ja wirklich einfach,
Ist es auch ! Lies das Tutorial !
Und die anderen User melden sich ja normal mit ihren Namen und Passwort an, was im AD hinterlegt ist, so kann ich nachvollziehen, wer wann drauf war.
Genau so ist es ! Das mit dem AD klappt aber nur wenn du den Radius per LDAP mit dem Synology verheiratest, damit sie beide eine gemeinsame User Datenbank nutzen.
Noch einfacher geht es wenn du auf dem AD Server den NPS (Network Policy Server) installierst. So heisst der Radius Server von Winblows face-wink
Damit ersparst du dir die LDAP Kopplung zw. dem Synology und dem AD.
Ich habe aber keine Möglichkeit gefunden, "Accounting" zu alktivieren. Vermutlich geht das bei Synlogy nicht.
Das musst du auch nicht, denn das macht der Server automatisch (ist ein FreeRadius) Wenn dann musst du es auf dem Authneticatior sprich deinem AP aktivieren ! Dort ist meist ein Haken fürs Accounting.
Mitglied: 113726
113726 16.12.2014 aktualisiert um 12:39:21 Uhr
Goto Top
Danke für den Windows NPS Tipp, das Programm ist schon installiert bei mir.
Ist aber etwas komplizierter als unter Synlogy, dafür mehr Einstellmöglichkeiten.
Ich werde mich da aber einarbeiten.

Wenn jetzt ein Gast kommt und kurz mal im WLAN was nachschauen möchte, wie müsste ich dann vorgehen?
Das Zertifikat möchte ich dann natürlich nicht erst importieren.
Ich möchte dann dem User "Name" und "Passwort" geben, damit er sich einwählen kann.
Das ganze sollte dann natürlich nachverfolgbar sein.
Also erstelle ich einen User im AD und gebe dem Gastlaptop dann die Daten. Dann loggt er sich damit ein und das Zertifikat wird automatisch installiert, richtig?

Sollte man irgendwelche speziellen Verbindungsanforderungen oder Netzwerkrichtlinienbedingungen eintragen?
Derzeit ist nur IEEE 802.11 und eine Benutzergruppe "WLAN-Benutzer" drinn.

Jetzt frage ich mich noch, wie ich meinen Drucker da mit rein bekomme?

Und Accounting finde ich leider auch nirgends. Wo kann ich z.b. dann sehen, wer was verbraucht hat etc? Ich sehe bisher lediglich in der Ereignisanzeige, wann sich wer eingeloggt hat.

Jetzt wäre noch die Frage von der Netztrennung, die ich stellen muss.
Ich möchte nicht, dass ein Mitarbeiter seinen privaten Laptop mitbringt und mit WLAn in das interne Netz geht.
Muss ich das Netz jetzt zwingend trennen oder kann ich auch die "NAP-Erzwingung" dafür nutzen? So könnte ich ja eventuell eine Gruppe mit WLAN-Vollzugriff machen und eine mit eingeschärnkten Zugriff.
Oder geht das so nicht?

Viele Grüße
Manuel
Mitglied: aqui
aqui 19.12.2014 um 11:02:01 Uhr
Goto Top
Wenn jetzt ein Gast kommt und kurz mal im WLAN was nachschauen möchte, wie müsste ich dann vorgehen?
Wenn du es einigermaßen sicher haben möchtest für Gäste dann so:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Den User erstellst du dann im Web GUI. Besser ist es aber wenn du mit sog. "Einmalpasswörtern" arbeitest. Die kannst du dann vorab in eine Liste drucken und jedem Gast dann geben. Das ist ein sog. Ticket was eine zeitlimitierte Gültigkeit hat und danch automatisch verfällt.
Du kannst verschiedene Tickets mit verschiedenen Zeitspannen für Gäste erstellen...oder auch diese automatisch per SMS aufs Handy des Gastes senden lassen.
Wie all das schnell und unkompliziert geht erklärt dir das o.a. Tutorial und die folgenden Threads dadrin.
Sollte man irgendwelche speziellen Verbindungsanforderungen oder Netzwerkrichtlinienbedingungen eintragen?
Auf dem Gastnetz ??
Ja, das ist anzuraten. In den Firewall Regeln des Gastportals solltest du nur das erlauben was Gäste in der Regel benötigen. Eine sog "Whitelist". Standard ist z.B. Mail und Browsen. Falls du Business Gäste hast erlaubst du noch VPN.
Alles andere insbesondere Filesharing usw. solltest du blocken um dich schon auf der Ebene rechtlich abzusichern.
Und Accounting finde ich leider auch nirgends. Wo kann ich z.b. dann sehen, wer was verbraucht hat etc? Ich sehe bisher lediglich in der Ereignisanzeige, wann sich wer eingeloggt hat.
Dort gibt es mehrere Optionen. Am einfachsten ist das wenn du das User Accounting über Radius aktivierst wenn du ein pro User Accounting haben willst.
Noch detailierter geht das wenn du das Portal mit einem Proxy kombinierst. Bei der pfSense z.B. kannst du über die Paket Verwaltung zusätzlich einen Squid Proxy aktivieren.
Damit ist dann sogar eine Auswertung möglich welcher User wieviel Traffic und wohin gemacht hat. Was da rechtlich möglich und erlaubt ist musst du selber entscheiden.
Jetzt wäre noch die Frage von der Netztrennung, die ich stellen muss. Ich möchte nicht, dass ein Mitarbeiter seinen privaten Laptop mitbringt und mit WLAn in das interne Netz geht.
Das ist eine Frage die dir kein Forum der Welt beantworten kann ! Warum... ?
Jedes Unternehmen hat eine dedizierte Sicherheits Policy. An diese musst du ja zwangsweise dieses Verhalten anpassen. Da du dazu rein gar nichts schreibst, was erwartest du sollen wir dir also antworten ??
Nur so viel:
Private HW eines Mitarbeiters solltest du IMMER als Gast behandeln. Du kannst niemals wissen was oder welche SW auf privater HW eines Gastes oder Mitarbeiters installiert ist und was er damit macht.
In so fern gelten immer die strengen Restriktionen die auch für Gäste gelten, das sollte klar sein ! Das Mitarbeiter mit privater HW auch Firmenresourcen nutzen ist bekanntlich ein NoGo da die Kontrolle fehlt (Virenbefall, Trojaner etc.)
Das sagt einem aber auch schon der gesunde Menschenverstand und dafür muss man kein Forum fragen !

Eine professionelle Lösung mit mSSID fähigen APs die eine Trennung gesichertes Firmen WLAN und Gast WLAN mit einer HW machen findest du z.B. hier im Praxisbeispiel:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Mitglied: 113726
113726 20.12.2014 um 21:01:00 Uhr
Goto Top
Vielen Dank, ich schaue mir das am Montag in Ruhe an.

Ich habe jetzt unsere Fritzbox entfernt und werde am Montag einen Tp-Link Router anschließen.

Wichtige Frage wäre dann für mich noch.

Wie bekomme ich meinen WLAN Drucker dann zum laufen?
Wo muss ich was eintragen?
Mitglied: aqui
aqui 20.12.2014, aktualisiert am 21.12.2014 um 13:50:54 Uhr
Goto Top
Wie bekomme ich meinen WLAN Drucker dann zum laufen?
Na ja das ist ja nun kinderleicht....
  • WLAN Drucker im Setup als WLAN Client einstellen und SSID und Passwort eingeben damit der sich ins bestehende lokale WLAN einbuchen kann
Fertig !
Macht dir jeder Erstklässler in 5 Minuten face-wink
Mitglied: 113726
113726 21.12.2014 um 09:29:45 Uhr
Goto Top
Dann hab ich irgendwas nicht richtig verstanden.

Ich habe dann ja komplett wpa2-Enterprise.
Ergo habe ich nicht einfach nur ein pw, sondern muss mich mit Benutzername und pw anmelden.
Mitglied: aqui
aqui 21.12.2014 um 13:52:14 Uhr
Goto Top
Sorry, du hast natürlich Recht. Das ist aber kein Thema, den Drucker ohne 802.1x Client authentisierst du über seine Mac Adresse indem du die als User und Pass einträgst.
Damit kannst du dann auch Endgeräte OHNE .1x Client über Radius authentisieren.
Mitglied: 113726
113726 21.12.2014 aktualisiert um 13:58:06 Uhr
Goto Top
Also einfach im AD den Drucker als User hinterlegen? Also am besten eine Kategorie machen und dann einen User dort rein. Oder?
Aber komisch ist das schon, dann bekommt er ja auch eine Emailadresse etc. Was will ein Drucker damit? face-wink
Mitglied: 113726
113726 22.12.2014 um 15:35:51 Uhr
Goto Top
Hallo,

ich muss noch mal nachfragen face-smile

Unser WLAN Drucker (Brother 8950DW) hat sogar Enterprise Security (802.1x).

Also muss ich ja im AD nichts anlegen.

Er fragt aber trotzdem nach Username und Passwort, soll ich da das vom Administrator nehmen? Oder doch einen User dafür anlegen im AD?

PS.: Wir haben jetzt einen TP-Link TD-W8970B hier, der untersatützt WPA2-Enterprise und sogar VLAN. Und eine Gäste WLAN.

Komm ich da nicht einfacher, wenn ich für die privaten Laptops und Smartphones das Gäste WLAN nutze oder doch lieber alles per VLAN (dort muss ich mich wirklich einlesen vorher)?
Mitglied: aqui
aqui 23.12.2014 um 11:57:10 Uhr
Goto Top
Unser WLAN Drucker (Brother 8950DW) hat sogar Enterprise Security (802.1x).
Also muss ich ja im AD nichts anlegen.
Richtig, da muss man dann nix machen und behandelt den als normalen "User".
soll ich da das vom Administrator nehmen? Oder doch einen User dafür anlegen im AD?
Besser wohl letzteres wenn du dein Netz nicht kompromitieren willst !
PS.: Wir haben jetzt einen TP-Link TD-W8970B hier, der untersatützt WPA2-Enterprise und sogar VLAN. Und eine Gäste WLAN.
Na perfekt !!
Wie man das dann alles zusammenklöppelt kannst du hier nachlesen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Komm ich da nicht einfacher, wenn ich für die privaten Laptops und Smartphones das Gäste WLAN nutze
Ja, aber dann mit einem "richtigen" Gast WLAN. Niemals mit dem Spielkram auf billigen Chian APs. Das ist KEIN wirklich sicheres Gast WLAN und in minutenschnelle ausgehebelt !
Ein richtiges Gäste WLAN das den Namen verdient richtest du mit einem Captive Portal und entsprechenden Filterregeln ein:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Mitglied: 113726
113726 04.01.2015 aktualisiert um 16:38:02 Uhr
Goto Top
Hallo face-smile
Jetzt gehts morgen wieder ans arbeiten und ich habe gleich noch ein paar Fragen.

Es geht noch mal um das GastWLAN.
Ich möchte mir kein Linux irgendwie installieren. Was gibt es denn noch für andere Möglichkeiten? Bei uns greifen wirklich nur ein paar Leute drauf zu. Durch WPA2-Enterprise habe ich jetzt schon erreicht, dass sich die User mit ihren eigenen Kennwort und Namen einloggen und es keinen zentralen WPA2 Schlüssel mehr gibt.. Und ich sehe, wenn sich welcher User eingeloggt hat. Ich habe eine WLAN Sicherheitsgruppe erstellt und schiebe auch nur die Leute rein, die Zugreifen dürfen.
Bezüglich Datenkontrolle (wer verbraucht wie viel) konnte ich nichts finden face-sad

Jetzt habe ich z.B. einen Laptop, der nicht in der Domäne ist. Wie kann er über WLAN ins Internet gehen? Da lege ich also auch einfach einen User im AD an, womit er sich dann einloggt, richtig?

Kann man für das GastWLAn nicht doch das integrierte nehmen? Wir haben etwa 4-5 Leute, die aufs WLAN zugreifen. Also sehr übersichtlich. Einer davon soll auch aufs interne Netz zugreifen können.

//Edit: Jetzt les ich gerade, dass hier: VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern auch PFSense vorgeschrieben wird.
Was gibt es denn noch für Möglichkeiten, wenn man das nicht möchte?

Wie gesagt ich bin da nicht so bewandert drin und wir sind nur ein sehr kleines Unternehmen. WPA2-Enterpsise ist ja schon sicherer als vorher. Was müsste man noch tuen?
Kann ich die VLAN nicht nur über den Switch anlegen oder direkt im Router? Ich hab es paar mal durchgelesen, aber so richtig bin ich nicht drinnen face-smile

Also im Prinzip muss ich 2 VLANs anlegen (Am Switch). Im Router muss ich dann jeweils 1 VLAN 1er SSID zuordnen.
Wie sage ich dann dem VLAN, dass er nur aufs Internet zugreifen kann?
Wir haben nur 1-2 User, die per WLAN auf das Interne Netz zugreifen müssen und zwar nur wegen den Netzwerkdruckern.
Vielleicht kann man da ja irgendwas machen, um sich zusätzliche Arbeit zu ersparen?
Mitglied: aqui
aqui 05.01.2015 um 09:24:27 Uhr
Goto Top
Ich möchte mir kein Linux irgendwie installieren. Was gibt es denn noch für andere Möglichkeiten?
Das musst du auch nicht !!
Nimm einfach eine feste Appliance die einen Captive Portal Hotspot supportet wie eine pfSense:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
bzw.
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
oder einen fertigen Router der das kann wie z.B. ein Mikrotik 750:
http://varia-store.com/Wireless-Systeme/Fuer-den-Innenbereich/MikroTik- ...
...und fertig ist der Lack !
dass sich die User mit ihren eigenen Kennwort und Namen einloggen und es keinen zentralen WPA2 Schlüssel mehr gibt..
Wenn sie das weitergeben ist das Gast WLAN aber auch kompromitiert. Besser sind hier immer zeitlich befristete Einmalpasswörter. Denk da immer an die rechtliche Störerhaftung !
Jetzt habe ich z.B. einen Laptop, der nicht in der Domäne ist. Wie kann er über WLAN ins Internet gehen?
Über ein Gast WLAN mit Captive Portal und Einmalpasswörtern wie es oben beschrieben ist.
Kann man für das GastWLAn nicht doch das integrierte nehmen?
Nicht wenn das ein billige Consumer Router ist. Das sind keine wirklichen Gast WLANs und diese Lösungen sind in sekundenschnelle überwunden.
Was gibt es denn noch für Möglichkeiten, wenn man das nicht möchte?
Keine ! Du kannst es drehen und wenden wie du willst. Was sollten denn da noch für andere Wunderdinge da sein wenn segmentieren und Sicherung für dich scheinbar nicht greifen...oder greifen wollen.
Wie gesagt ich bin da nicht so bewandert drin
Keine gute Voraussetzung für sowas face-sad Das siehst du ja schon an der Eierei hier... Geh zum Systemhaus und IT Partner deiner Wahl und hole dir dort fachkundige Hilfe wenn du es selber nicht leisten kannst !
Kann ich die VLAN nicht nur über den Switch anlegen oder direkt im Router?
Klar ! Natürlich geht das wenn du die richtige HW hast die das auch supportet !
Sieh dir dieses Tutorial an, das beschreibt alles so einfach das es auch für blutige Laien verständlich ist:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Also im Prinzip muss ich 2 VLANs anlegen (Am Switch). Im Router muss ich dann jeweils 1 VLAN 1er SSID zuordnen.
Nicht nur im Prinzip sondern auch in der Praxis ! Ja, das ist der richtige Weg !
Wie sage ich dann dem VLAN, dass er nur aufs Internet zugreifen kann?
Das machst du am VLAN Router oder Switch mit IP Accesslisten bzw. Firewall regeln die den Zugriff reglementieren !
Vielleicht kann man da ja irgendwas machen, um sich zusätzliche Arbeit zu ersparen?
Solche Einstellung ist sehr gefährlich und tödlich für die Unternehmenssicherheit. Diese riskierst du hier gerade.
Etweder habt ihr eine Security Policy und du hälst dich dran oder es ist alles egal.
Dann machst du halt ein WLAN und druckst das Passwort am Empfang auf ein Poster. Das ist die einfachste Lösung und beseitigt alle deine Probleme !
Diese Diskussion wirst du in einem Forum nie lösen können ! Sagt auch einem auch schon der gesunde Menschenverstand...
Mitglied: 113726
113726 05.01.2015 aktualisiert um 12:01:30 Uhr
Goto Top
Vielen Dank für die Antwort.
Ich habenicht alles verstanden, muss ich ehrlich sagen.

Ich möchte gern einfach noch mal sagen, was ich genau möchte, um das ganze etwas einzugrenzen und zu erleichtern für mich.

---
Also ich habe einen Netgear Switch, einen TP-Link TD-W8970B Router und einen neuen TP-link AP.

Der Router stellt die Internetverbindung her.
Es soll kein zusätzliches Gerät angebracht werden, sondern ich möchte das vorhandene nutzen.

Wir haben 4-5 User, die aufs WLAN zugreifen (mit Smartphone und Laptop).
1-2 Laptopnutzer möchten dann über den Netzwerkdrucker drucken.
Die anderen (Smartphones und 1 Laptop) möchten einfach nur internet.
Es gibt nicht für jeden/s User/Gerät (egal ob Smartphone oder Laptop) einen User im AD. Z.B. hat der eine private Laptop kein AD User.

Ich möchte "keine" Einmalkennwörter. Ich möchte einem User die Berechtigung für WLAN geben und fortan kann er ins Netz, solange bis ich ihm die Rechte wieder entziehe.
Auf dem Router bzw. Server möchte ich nachvollziehen können, wann sich welcher User einloggt und eventuell, welche Datenmenge er saugt etc.

Soviel zur Theorie. Mehr brauchen wir nicht und mehr wäre für uns zu overkilled.
Wie ist jetzt was genau umsetzbar?

Ich habe z.B. einen User "LAMMEL".
Der User existiert im AD, da er einen lokalen PC in der Firma hat und sich dort auch einloggt.
Er loggt sich jetzt mit seinem Smartphone ins WLAN mti den gleichen Zugangsdaten ein. Damit könnte er theoretisch auf das interne Netz zugreifen.
Das brauch er zwar nicht, wäre aber OK.

Jetzt gibt es einen weiterne Nutzer "WITTENBURG".
Dieser hat auch einen PC und einen User im AD.
Er hat aber auch ein privates Smartphone und einen privaten Laptop.
Beiden möchte ich den WLAN Zugriff gestatten, aber nicht ins interne Netz.

ICh muss dazu sagen, das wir jetzt jahrelang mit einem WPA2-Personal Zugang gearbeitet haben und es nie Probleme bzw. Anzeichen dafür gab, deshalb will ich das ganze auch nicht zu Weit aufziehen.

Die Grundaustsattung habe ich mti den Radius Server ja schon gelegt, habe d ort den Router und den AP angebunden.
Die User können sich jetzt über PEAP einloggen. Aber optimal ist das noch nicht. Ich sehe noch nicht, was welcher User verbraucht an Datenvolumen.
ICh glaube nicht, das bei uns jemand das GästeWLAn von den TP-LLink Router aushebelt. Man könnte also das für die Leute nutzen, die nur Internen brauchen. Die, die auf das interne Netz zugreifen sind aber so wenig, da lohnt es kaum, die Netze zu trennen.

Edit: Monowall bzw. PFSense ist ja keine Pflicht.
Wenn ich jetzt 2 VLANs über unseren Netgear Switch anlegen und dann im Router bzw. AP die 2 VLANS zuordne, das würde also schon reichen?

Edit2: Sehr ich das richtig, dass ich bei Netgear dann einem VLAN Ports zuordnen muss, also Ports am Switch? Was muss ich an den Ports dann anstecken? Da steckt ja der AP z.B. dran, der beide Netze ünterstützen soll. Am Router habe ich gar keine Option für 2 SSID gefunden.


Ich habe das ganze mal hier aufgezeichnet:

http://abload.de/img/unbenannt-15jupv.jpg
(Bild einfügen hat nicht geklappt).

Als WLAN wird sowohl das im Router integrierte, als auch das vom AP genutzt.
Mitglied: 113726
113726 05.01.2015 aktualisiert um 22:04:03 Uhr
Goto Top
ICh bin etwas weiter.

Also so wie ich das sehe, kann ich das interne WLAN vom Router nicht nutzen.

Also muss ich mir noch einen AP mit Multi-SSID Support kaufen.

ICh erstelle mir 2 SSIDs.
Ich erstelle mir 2 VLANs.
1 VLAN für WLAN intern
1 VLAN für WLAN gast
Ich weiße dann jeweils einer SSID einem VLAN zu.
OK das habe ich soweit verstanden.

Wenn ich die VLANs aber am Netgearswitch einrichte, dann muss ich ja pro VLAN angeben, welche Ports tagged und welche untagged sind.
Tagged ist jeweils der Port zum Router, richtig?
Welche Ports muss ich jetzt mit untagged auswählen? Die zum AP?
Dann haben aber beide VLANS die gleichen tagged und untagged Ports, da ich ja beide VLANs mit dem AP nutzen möchte.
Wie sag ich jetzt, dass er bei dem einen VLAn ein anderes Netz nehmen soll? Wie gesgatte ich nur den Internetzugriff?

EDIT:
Ok die VLANS kann ich dann im Router verschiedenen IP Adressbereichen zuordnen.
Wäre jetzt nur noch die Frage, wie ich einem VLAN "nur" den Internetzugriff gewähre? Das müsste ja theoretisch automatisch passieren, wenn ich einem VLAN einen anderen Adressbereich gebe. Dann dürfte er keinen Zugriff mehr auf das interne Netz haben, richtig?

Somit hätte ich dann die 2 getrennten Netze.
Wie mache ich das jetzt mit dem Gästenetz?
Entweder per normalen WPA2-Personal Key?
Oder auch über das AD? Also auch mit PEAP?
Dann könnte ich ja 2 Sicherheitsgruppen anlegen, eine für das interne Netz und eine für das Gäste Netz und dann jeweil die User rein schieben, die Zugang haben dürfen im jeweiligen WLAN.

Oder ist meine Denkweiße jetzt komplett daneben?

Bin schon froh, etwas weiter gekommen zu sein face-smile

Am Netgearswitch würde ich die Ports, wo FirmenPCs, das NAS usw dran hängen auf die default VLAN Gruppe VLAN1 lassen, geht das?

EDIT2:
Sobald ich am AP Multi-SSID einstelle und VLAN aktiviere, steht mir kein WPA2-Enterprise mehr zur Verfügung. Nur noch WPA2-Personal oder keine Security. Was jetzt?

//EDIT 3: Fassen wir noch mal zusammen:
Capital möchte ich nicht, wie gesagt möchte ich mit der vorhandenen Hardware arbeiten.
Einmalkennwörter möchte ich auch nicht. Wenn ein MA sein Passwort weiter gibt ist mir das egal denn ich kann später genau sehen, welcher Mitarbeiter da misst gebaut hat und der haftet dann. Dann überlegen sich das die MA, ob sie ihr Passwort wirklich weiter geben.

Ich bin aber noch nicht wirklich weiter.
Geht mein ganzes Vorhaben überhaupt mit der vorhandnen Hardware? Die habe ich ja oben aufgelistet.

Muss ich dann 2 Netzwerkkabel von Router zu switch ziehen? Auf je einem Kabel läuft ein VLAN richtig?
Mitglied: 113726
113726 06.01.2015 aktualisiert um 13:38:11 Uhr
Goto Top
Ich netschuldige mich, dass ich so viel verwirrende Informationen hier von mir gebe, aber ich bin gern einer, der das Problem selber mit Hilfe löst, als einfach eine IT-Firma zu holen.

Meiner Meinung nach bin ich das ganze falsch angegangen, da ich gleich 2 Projekte gleichzeitig gemacht habe.
1) 2 getrennte Netze aufbauen
2) die WLAN Authorisierung auf WPA2-Enterpsire umstellen
und ich habe den 2. Schritt vor dem ersten gemacht.

Ich bin aber jetzt schon etwas weiter, zumindest was die theorie angeht und ich möchte gerne noch ein paar kleine Fragen loswerden, falsl jemand hier noch antworten möchte (wäre sehr freundlich).

- Unser Router untersützt VLAN nicht direkt, sondern nur Interface Grouping. Soweit ich das verstanden habe, muss ich also 2 Netzwerkkabel vom Router zum Switch ziehen. Später kann ich sagen LAN1=VLAN10, LAN2=VLAN20 etc.

- Im Netgearswitch lege ich die 2 VLANS an. Da es für mich nur die AP betrifft, muss ich die Ports, wo der AP am Switch hängt, mit untagged kennzeichnen. Der Port zum Router ist dann auch untagged, richtig? Da unser Router ja nur Interfacegrouping unterstützt und ich eh 2 getrennte Kabel habe, kann ich das ganze ja nicht auf einem Kabel mit tagged laufen lassen.

- Soweit so gut, jetzt ist das Problem bei Netgear die PVID Configuration. Jedem Port kann ich jetzt nur 1 VLAN zuordnen. Da bei mir der AP ja beide VLANS nehmen soll geht das so ja nicht. Wenn ich das richtig gelesen habe muss ich also einfach einer der beiden VLAN eintragen und nicht (wie oben gesagt) untagged nehmen sondern tagged, so das sich der AP selbst die passende VLAN nimmt, richtig (also der Port zum AP müsste dann doch tagged sein, da der AP VLAn unterstützt, richtig?)?

- Muss ich dann in der VLAN Gruppe 1 (Default) bei den Port zum AP das untagged raus nehmen? ICh möchte aber auch auf die Weboberfläche des AP per FirmenPC noch zugreifen können.

- Muss ich den Netgear Switch nicht irgendwie auf 802.1Q stellen? Davon habe ich gelesen aber keine Option dergleichen gefunden.

- Dann trage ich einfach am AP die 2 SSID ein und ordne die passende VLAN zu. Am Router sage ich dann noch, das der LAN Port 2 z.B. eine andere IP bekommen soll. Und schon sollte es gehen und Projekt 1 wäre abgeschlossen oder habe ich was übersehen?

- Wenn ich VLAN am AP nutze ist es allerdings so, das ich nicht mehr WPA2-Enterprise zur Verfügung habe. Das wäre aber dann das zweite Projekte und ehe das erste nicht abgeschlossen ist, würde ich noch mal alles auf WPA2-Personal stellen und dann das erst angehen. Denn dafür gibt es sicherlich auch eine Lösung.

Viele Grüße und Danke schon mal
Manuel


/// EDIT :
Jetzt habe ich mein Ziel irgendwie vor Augen verloren.
Der TP-Link AP kann definitiv nicht Multi-SSID, VLAN und WPA2-Enterpsire gleichzeitig. Anscheinend haben aber viele von den billigen AP dieses Problem.
Kaufe ich mir jetzt also einen anderen der alles zusammen kann (er sollte aber auch so um die 30-40€ liegen) -> keinen auf die schnelle gefunden.
Oder ist mir das getrennte Netz jetzt wichtiger und es bleibt erstmal bei WPA2-Personal.

Ergo werde ich vermutlich dann den Radiusserver erstmal knicken können und lieber die Netze trennen, damit ich wenigstens 1 Projekt dann abschließen kann.
Vielleicht kann ich später mal eine Firmware auf den TP-Link Ap flashen, die alles gleichzeitig kann. Oder von TP-Link kommt ein Firmwareupdate, aber anscheinend wird dieses Feature von zu wenigen gewünscht face-sad
Mitglied: aqui
aqui 06.01.2015 um 15:14:38 Uhr
Goto Top
Der TP-Link AP kann definitiv nicht Multi-SSID, VLAN und WPA2-Enterpsire gleichzeitig.
Ist normal für so billige Plastik Chinaböller... Beschaff dir was anständiges !
Obwohl komisch ist das schon. Hier werkelt ein 20 Euro Teil von TP-Link uralt (2 Jahre) und das kann alles gleichzeitig ohne Probleme ?!
-> keinen auf die schnelle gefunden.
Sieh ins VLAN Tutorol was oben zitiert ist da hast du eine kleine Übersicht was man nehmen kann !
Mitglied: 113726
113726 06.01.2015, aktualisiert am 07.01.2015 um 15:27:12 Uhr
Goto Top
Zu Gütig, dass du noch mal antwortest, dachte ich habe alle vergrault durch meine vielen durcheinandergewürfelten Informationen face-smile

Sobald ich bei Multi-SSID -> VLAN aktiviere, entfernt er die WPA2-Enterprise Option.
Auch in einer Amazon Kundenmeinung habe ich das gelesen.

Im Tutorial habe ich nachgeschaut und da ist von Edimax die Rede. Habe mir einen AP heraus gesucht (EW-7416APn V2) aber auch er kann nicht alles gleichzeitig.

Langsam zweifel ich, ob es überhaupt "billige" gibt, die alles gleichzeitig können.
Hast du mal ein beispiel bzw. eine Empfehlung für mich?