4
Empfehlung für neues WLAN-Netzwerk (HP)
Hallo,
wir haben unser Netzwerk größtenteils auf HP ProCurve aufgebaut und wollen demnächst noch die
Möglichkeit zur Verfügung stellen mit dem eigenen Laptop per WLAN auf unser Netz zuzugreifen.
Die ideale Lösung die ich mir vorstelle:
- Benutzer werden per WPA2/RADIUS oder Captive Portal gegen AD authentifiziert
- Bekommen eine IP und Gateway vom DHCP-Server
- Der Gateway ist eigentlich nur ein Transparent Proxy für unseren Proxyserver
- Neben Gateway soll nur eine Verbindung mit den AD-Servern möglich sein (Dateizugriff)
Ich habe mich einmal ein bisschen umgeschaut und die Lösung wie sie HP gerne verkaufen würde wäre wohl:
Procurve 5304xl
Procurve Wireless EDGE Services xl module
Procurve Radio Port 210
Procurve Access Control Server 745wl
Da hat mich mein Budget aber ausgelacht, die Koffer gepackt und ist verschwunden.
Als nächstes habe ich mir die normalen APs angeschaut.
Ein 530wl ist (zwar mit erhöhtem Aufwand) eigentlich ideal.
Allerdings brauchen wir mehrere und da ist dann auch meine Kaffeekasse weggelaufen.
Die letzte Lösung die ich mir angeschaut habe wären die Procurve 10ag APs.
Das ganze kommt zwar preislich hin, aber wird dann wohl eine Bastellösung:
- Ein Server mit Linux/OpenBSD auf dem ein DHCP-Server läuft und der den Proxyserver transparent macht
- Ein VLAN, das die Server und die Access Points einschließt.
- Authentifizierung per RADIUS
Die Nachteile hierbei sind:
- Das Management-Interface der APs ist auch im Client-VLAN
- RADIUS-Authentifizierung ist (unter Windows) nicht besonders benutzerfreundlich
Hat jemand noch einen Tipp für mich, wie ich das ganze am besten lösen kann?
Grüße
Max
wir haben unser Netzwerk größtenteils auf HP ProCurve aufgebaut und wollen demnächst noch die
Möglichkeit zur Verfügung stellen mit dem eigenen Laptop per WLAN auf unser Netz zuzugreifen.
Die ideale Lösung die ich mir vorstelle:
- Benutzer werden per WPA2/RADIUS oder Captive Portal gegen AD authentifiziert
- Bekommen eine IP und Gateway vom DHCP-Server
- Der Gateway ist eigentlich nur ein Transparent Proxy für unseren Proxyserver
- Neben Gateway soll nur eine Verbindung mit den AD-Servern möglich sein (Dateizugriff)
Ich habe mich einmal ein bisschen umgeschaut und die Lösung wie sie HP gerne verkaufen würde wäre wohl:
Procurve 5304xl
Procurve Wireless EDGE Services xl module
Procurve Radio Port 210
Procurve Access Control Server 745wl
Da hat mich mein Budget aber ausgelacht, die Koffer gepackt und ist verschwunden.
Als nächstes habe ich mir die normalen APs angeschaut.
Ein 530wl ist (zwar mit erhöhtem Aufwand) eigentlich ideal.
Allerdings brauchen wir mehrere und da ist dann auch meine Kaffeekasse weggelaufen.
Die letzte Lösung die ich mir angeschaut habe wären die Procurve 10ag APs.
Das ganze kommt zwar preislich hin, aber wird dann wohl eine Bastellösung:
- Ein Server mit Linux/OpenBSD auf dem ein DHCP-Server läuft und der den Proxyserver transparent macht
- Ein VLAN, das die Server und die Access Points einschließt.
- Authentifizierung per RADIUS
Die Nachteile hierbei sind:
- Das Management-Interface der APs ist auch im Client-VLAN
- RADIUS-Authentifizierung ist (unter Windows) nicht besonders benutzerfreundlich
Hat jemand noch einen Tipp für mich, wie ich das ganze am besten lösen kann?
Grüße
Max
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 94562
Url: https://administrator.de/contentid/94562
Printed on: April 26, 2024 at 10:04 o'clock
4 Comments
Latest comment
Ohne Angabe um wieviele User und Access Points es sich handelt kann man da schwerlich eine Empfehlung aussprechen.
Bei ner Handvoll Usern wäre die einfachste u. billigste Lösung WPA Preshared Key einzusetzen, der WPA Key wird dann auf den Notebooks eingetragen und die Userhaben sichern Zugriff aufs LAN. Da kann man dann eine Handvoll Access Points beim Händler um die Ecke kaufen und ausdiemaus (z. B. Netgear, DLink, Linksys usw). Ob das dann incl. Domänenanmeldung sauber funktioiert muss man testen (da ja die WLAN Verbindung gleich nach Rechnerstart aufgebaut sein muss damit sich der Client in der Domäne anmelden kann incl. Loginscripts usw).
Bei vielen Usern und Access Points kommt man um eine Profi Lösung nicht drumrum - grade auch wenn man eventuell einen Gastzugang braucht für Gäste die NUR ins Internet gelangen sollen, nciht aber ins Intranet.
Dass das dann schon paar Euro und auch Aufwand kostet dürfte klar sein.
Selber etwas zu basteln geht auch - die Frage ist wieviel Knowhow und Geschick man mitbringt, und wieviel Zeit man dafür hat etwas zu "basteln". Fertiglösungen sind halt in aller Regel schneller verfügbar und man hat Support und eine gewisse "Ausgereiftheit" die böse Überraschungen minimieren dürfte. Ein captive Portal für INTRANET Zugriff würde ich jedenfalls keineswegs machen. Da ist die Authentisierung zwar verschlüsselt, die Daten an sich jedoch nicht (ausser man benutzt nur Protokolle die Daten stark verschlüsseln). Das ist zu unsicher für Intranet Zugriff. Da muss Authentisierung als auch Datenzugriff stark und konsequent verschlüsselt sein da die Pakete durch die Luft flattern und (theoretisch) von jedem vorbeilaufenden mitgelesen werden können.
Empfehlenswert finde ich die Cisco Lösung mit WLAN Controllern (WLC) und Access Points mit LWAPP Image. Das ist wohl ein sehr zeitgemässer Ansatz der momentanen und auch mittelfristigen Anforderungen genügen dürfte. Zur Authentisierung nimmt man einen IAS Radiusserver der über AD authentisiert.
Der Controller wird einfach über einen 802.1Q Trunk ans LAN angebunden und kann damit WLAN User in beliebige VLANs "hieven", unabhängig davon wo und wie der Access Point angeschlossen ist. Der AP kommuniziert ja über einen LWAPP Tunnel mit dem Controller, was das Management auf den Controller zentriert und stark vereinfacht - bei gleichzeitig äusserst flexibler Möglichkeiten die so ziemlich alles abdecken was man sich vorstellen kann, incl. captive Portal für WLAN Gäste mti Web-Authentisierung. Es gibt auch zahlreiche Mitbewerber die ähnliche Lösungen anbieten (Lancom, Trapez, HP usw) - bei der Cisco Lösung weiss ich jedenfalls dass sie sehr gut funktioniert.
Bei ner Handvoll Usern wäre die einfachste u. billigste Lösung WPA Preshared Key einzusetzen, der WPA Key wird dann auf den Notebooks eingetragen und die Userhaben sichern Zugriff aufs LAN. Da kann man dann eine Handvoll Access Points beim Händler um die Ecke kaufen und ausdiemaus (z. B. Netgear, DLink, Linksys usw). Ob das dann incl. Domänenanmeldung sauber funktioiert muss man testen (da ja die WLAN Verbindung gleich nach Rechnerstart aufgebaut sein muss damit sich der Client in der Domäne anmelden kann incl. Loginscripts usw).
Bei vielen Usern und Access Points kommt man um eine Profi Lösung nicht drumrum - grade auch wenn man eventuell einen Gastzugang braucht für Gäste die NUR ins Internet gelangen sollen, nciht aber ins Intranet.
Dass das dann schon paar Euro und auch Aufwand kostet dürfte klar sein.
Selber etwas zu basteln geht auch - die Frage ist wieviel Knowhow und Geschick man mitbringt, und wieviel Zeit man dafür hat etwas zu "basteln". Fertiglösungen sind halt in aller Regel schneller verfügbar und man hat Support und eine gewisse "Ausgereiftheit" die böse Überraschungen minimieren dürfte. Ein captive Portal für INTRANET Zugriff würde ich jedenfalls keineswegs machen. Da ist die Authentisierung zwar verschlüsselt, die Daten an sich jedoch nicht (ausser man benutzt nur Protokolle die Daten stark verschlüsseln). Das ist zu unsicher für Intranet Zugriff. Da muss Authentisierung als auch Datenzugriff stark und konsequent verschlüsselt sein da die Pakete durch die Luft flattern und (theoretisch) von jedem vorbeilaufenden mitgelesen werden können.
Empfehlenswert finde ich die Cisco Lösung mit WLAN Controllern (WLC) und Access Points mit LWAPP Image. Das ist wohl ein sehr zeitgemässer Ansatz der momentanen und auch mittelfristigen Anforderungen genügen dürfte. Zur Authentisierung nimmt man einen IAS Radiusserver der über AD authentisiert.
Der Controller wird einfach über einen 802.1Q Trunk ans LAN angebunden und kann damit WLAN User in beliebige VLANs "hieven", unabhängig davon wo und wie der Access Point angeschlossen ist. Der AP kommuniziert ja über einen LWAPP Tunnel mit dem Controller, was das Management auf den Controller zentriert und stark vereinfacht - bei gleichzeitig äusserst flexibler Möglichkeiten die so ziemlich alles abdecken was man sich vorstellen kann, incl. captive Portal für WLAN Gäste mti Web-Authentisierung. Es gibt auch zahlreiche Mitbewerber die ähnliche Lösungen anbieten (Lancom, Trapez, HP usw) - bei der Cisco Lösung weiss ich jedenfalls dass sie sehr gut funktioniert.
Hallo,
der Ansatz und Informationsbedarf von Spacyfreak ist erstmal richtig, aber ich frage mich ehrlich gesagt was private Laptops in einem Firmennetzwerk zu suchen haben.
Wenn es darum geht das diese Internet Zugang bekommen dann solltet ihr um eine einwandfreie Identifikation des Teilnehmers zu haben auf jeden Fall eine Radius Authentifizierung einsetzen.
Wenn es darum geht das die Laptops wirklich zugriff auf euer LAN haben dann kann ich nur sagen "gute Nacht" dem Einfall von Viren und anderen unangenehmen Besuchern öffnet ihr Tür und Tor und Datendiebstahl wird einfach gemacht .
Ihr solltet wirklich darüber nachdenken.
der Ansatz und Informationsbedarf von Spacyfreak ist erstmal richtig, aber ich frage mich ehrlich gesagt was private Laptops in einem Firmennetzwerk zu suchen haben.
Wenn es darum geht das diese Internet Zugang bekommen dann solltet ihr um eine einwandfreie Identifikation des Teilnehmers zu haben auf jeden Fall eine Radius Authentifizierung einsetzen.
Wenn es darum geht das die Laptops wirklich zugriff auf euer LAN haben dann kann ich nur sagen "gute Nacht" dem Einfall von Viren und anderen unangenehmen Besuchern öffnet ihr Tür und Tor und Datendiebstahl wird einfach gemacht .
Ihr solltet wirklich darüber nachdenken.
Hallo,
schonmal vielen Dank für eure Tipps.
Ich habe mit einigen Billig-APs im Durchschnitt eine Reichweite von 20m erreicht, also werde ich in der ersten Ausbaustufe 3-4 APs brauchen, später verdoppelt sich das vielleicht noch einmal.
Euren Einwänden wegen Datensicherheit und Viren würde ich normalerweise voll und ganz zustimmen, aber wir haben keine Daten die schützenswert sind
- wir sind eine Schule (darum auch das kleine Budget-Problem) und da ja nur Zugriff auf die Server bestehen soll sind Viren weniger ein Problem, auf den Servern haben wir ja Antivirus-Software
Es geht ja prinzipiell nur darum, dass die (wenigen) "modernen" Lehrer bei uns ihr Laptop und Beamer im Unterricht einsetzen können um z.B. Internetseiten (Java-Applets gibt es zu jedem Schulthema) zu zeigen, gleichzeitig sollten sie idealerweise auch noch Zugriff auf ihre Daten im Netzwerk haben.
Entsprechend wichtig ist deshalb, dass es aus Sicht der Nutzer leicht funktioniert.
Ich muss ja damit rechnen, dass die, die es benutzen wollen, ihr Laptop von Zuhause mit typischer T-Online-Router-Konfiguration mitbringen und so sollte es für sie auch wirklich ohne große Umkonfiguration zu verwenden sein (und bei meinem letzten Versuch mit RADIUS bin ich auch beinahe verzweifelt).
Das eigentlich wichtigste an der ganzen Sache ist für mich, dass der Proxyserver unumgänglich ist - daran sind wir rechtlich gebunden.
Grüße
Max
schonmal vielen Dank für eure Tipps.
Ich habe mit einigen Billig-APs im Durchschnitt eine Reichweite von 20m erreicht, also werde ich in der ersten Ausbaustufe 3-4 APs brauchen, später verdoppelt sich das vielleicht noch einmal.
Euren Einwänden wegen Datensicherheit und Viren würde ich normalerweise voll und ganz zustimmen, aber wir haben keine Daten die schützenswert sind
- wir sind eine Schule (darum auch das kleine Budget-Problem) und da ja nur Zugriff auf die Server bestehen soll sind Viren weniger ein Problem, auf den Servern haben wir ja Antivirus-SoftwareEs geht ja prinzipiell nur darum, dass die (wenigen) "modernen" Lehrer bei uns ihr Laptop und Beamer im Unterricht einsetzen können um z.B. Internetseiten (Java-Applets gibt es zu jedem Schulthema) zu zeigen, gleichzeitig sollten sie idealerweise auch noch Zugriff auf ihre Daten im Netzwerk haben.
Entsprechend wichtig ist deshalb, dass es aus Sicht der Nutzer leicht funktioniert.
Ich muss ja damit rechnen, dass die, die es benutzen wollen, ihr Laptop von Zuhause mit typischer T-Online-Router-Konfiguration mitbringen und so sollte es für sie auch wirklich ohne große Umkonfiguration zu verwenden sein (und bei meinem letzten Versuch mit RADIUS bin ich auch beinahe verzweifelt).
Das eigentlich wichtigste an der ganzen Sache ist für mich, dass der Proxyserver unumgänglich ist - daran sind wir rechtlich gebunden.
Grüße
Max
Um einmal eine Antwort für andere Interessierte zu geben:
Ich habe mich jetzt für folgende Lösung entschieden, weil sie
a) der kostengünstigste Weg ist
b) wenn man die initiale Konfigurationshürde von Windows überwunden hat gut funktioniert
Folgendes habe ich gemacht:
1. ein neues Subnetz angelegt
2. In dieses Subnetz den AD-Server, die APs und einen Linux Server hinzugefügt
3. Auf dem AD-Server IAS für RADIUS aktiviert
4. Auf dem AP WPA mit RADIUS ausgewählt
5. Auf dem Linux-Server einen DHCP und DNS-Server installiert
6. Den Linux-Server so konfiguriert, dass er HTTP und HTTPS transparent "proxyen" kann (Mit transproxy und transocks_ev)
7. Das neue Subnetz per VLAN vom restlichen Netzwerk geteilt.
Wenn sich nun ein Benutzer anmeldet bekommt er vom DHCP automatisch die Daten mitgeteilt (IP, DNS, Router). Der Linux-Server ist aus Clientsicht Gateway, aber über die iptables-Regeln werden alle HTTP und HTTPS anfragen zuerst umgeschrieben und dann an den Proxy-Server im normalen Netzwerk weitergeleitet.
Vielleicht hilft es ja jemanden (und für Tipps bin ich immer offen)
Grüße
Max
Ich habe mich jetzt für folgende Lösung entschieden, weil sie
a) der kostengünstigste Weg ist
b) wenn man die initiale Konfigurationshürde von Windows überwunden hat gut funktioniert
Folgendes habe ich gemacht:
1. ein neues Subnetz angelegt
2. In dieses Subnetz den AD-Server, die APs und einen Linux Server hinzugefügt
3. Auf dem AD-Server IAS für RADIUS aktiviert
4. Auf dem AP WPA mit RADIUS ausgewählt
5. Auf dem Linux-Server einen DHCP und DNS-Server installiert
6. Den Linux-Server so konfiguriert, dass er HTTP und HTTPS transparent "proxyen" kann (Mit transproxy und transocks_ev)
7. Das neue Subnetz per VLAN vom restlichen Netzwerk geteilt.
Wenn sich nun ein Benutzer anmeldet bekommt er vom DHCP automatisch die Daten mitgeteilt (IP, DNS, Router). Der Linux-Server ist aus Clientsicht Gateway, aber über die iptables-Regeln werden alle HTTP und HTTPS anfragen zuerst umgeschrieben und dann an den Proxy-Server im normalen Netzwerk weitergeleitet.
Vielleicht hilft es ja jemanden (und für Tipps bin ich immer offen)
Grüße
Max