Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Anzahl User Captive portal Monowall

Frage Netzwerke

Mitglied: goetzg123

goetzg123 (Level 1) - Jetzt verbinden

28.03.2012, aktualisiert 18.10.2012, 3951 Aufrufe, 8 Kommentare, 1 Danke

Hallo,
nachdem ich es Dank der tollen Anleitung hier im Forum geschafft habe, eine FW mit Monowall im Testbetrieb zum laufen zu bekommen, nun eine ganz simple Frage: wer kann mir sagen, ob bei Monowall die Anzahl der Zugänge über Captive Portal und die Anzahl der durchgelassenen MAC Adressen beschränkt ist?

Ich möchte gerne die FW an der Schule einsetzen. Geplant ist, dass die festen Rechner (ca 200!!!) per MAC Adresse durchgelassen werden und nur den Zugriff über WLAN authentifiziert werden muss. Zunächst sollen erst mal alle 110 Lehrer einen Zugang bekommen, eventuell aber später auch noch teilweise die Schüler.

Ich habe an den entsprechenden Stellen im Monowall Handbuch nachgelesen, aber keine Antwort gefunden.

Danke schon mal im Vorraus

goetzg123
Mitglied: danielfr
28.03.2012 um 16:22 Uhr
wer kann mir sagen, ob bei Monowall die Anzahl der Zugänge über Captive Portal und die
Anzahl der durchgelassenen MAC Adressen beschränkt ist?
Kann ich mir beim besten Willen nicht vorstellen, das es hier eine Beschränkung geben soll. Das macht ja auch keinen Sinn.
Bitte warten ..
Mitglied: tikayevent
28.03.2012 um 20:20 Uhr
Ich möchte gerne die FW an der Schule einsetzen. Geplant ist, dass die festen Rechner (ca 200!!!) per MAC Adresse durchgelassen werden und nur den Zugriff über WLAN authentifiziert werden muss. Zunächst sollen erst mal alle 110 Lehrer einen Zugang bekommen, eventuell aber später auch noch teilweise die Schüler.
Ähm, ich glaube, du baust dir da ein riesen großes Problem auf. Denn jeder Rechner, der per WLAN drin ist, kann auf alle anderen Rechner zugreifen. Du verhinderst mit dem Captive Portal nur den Zugriff aufs Internet.
Beschäftige dich erstmal mit richtigem Netzwerkdesign, ehe du das Problem angehst (unterschiedliche Broadcastdomänen für Kabelnetz und WLAN, getrennte Netzwerke für Schüler und Lehrer, ...)
Bitte warten ..
Mitglied: aqui
29.03.2012, aktualisiert 18.10.2012
Eine Beschränkung der Mac Adressen gibt es in der Tat nicht, das ist richtig ! Hier hast du kein Limit.
Allerdings hat Kollege /tkayeven t nicht ganz Unrecht was seine Sicherheitsbedenken anbetrifft !!
Willst du wirklich beide Gruppen also Schlüer und Lehrer in ein gleiches WLAN stecken ??
Ganz stimmt es nicht was Kollege /tkayevent
schreibt, du kannst natürlich im WLAN selber mit "WLAN Isolation" auf den APs die Clients untereinander trennen und sofern du mehrere Accesspoints betreibst die in ein sog. Private VLAN oder Isolatetd VLAN am Switch legen um einen Any zu Any Kommunikation der Clients untereinander sicher zu verhinden. Allerdings....
Dafür müssen deinen APs und auch deine Switchhardware diese Funktion haben bzw. supporten ansonsten kannst du das gleich vergessen !
Machst du das dann nämlich nicht können die Schüler problemlos im gemeinsamen WLAN die Rechner der Lehrer attackieren (..und auch andersrum) wenn sie wollen.
Das wäre sicher so nicht gewollt.
Sinnvoller und besser (und auch einfacher) ist es WLAN Accesspoints mit ESSID Funktion, also mehreren WLANs pro AP, zu verwenden und den Lehrern ein eigenes getrenntes WLAN bzw. ESSID zu geben. Fast jeder bessere Billig AP kann das heutzutage. Hier kannst du dann die Lehrer wasserdicht mit Mac Adresse und WLAN Verschlüsselung absichern.
Das Schülernetz lässt du dann offen mit einem Captive Portal und den entsprechenden Filterlisten davor um nur gewollte Protokolle und Kommunikation in bestimmte Netze zuzulassen und sie auch vom Lehrernetz abzutrennen.
So macht das Sinn und ist absolut wasserdicht für die Lehrer. Beide Netze koexistieren aber sind dennoch sauber getrennt um einen Any zu Any Kommunikation zu unterbinden.
Wie man das ganz einfach macht und mit welcher Hardware kannst du hier nachlesen:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Bitte warten ..
Mitglied: tikayevent
29.03.2012 um 12:32 Uhr
Ich hab das "feste Rechner" eher so verstanden, dass die nicht im WLAN sondern am Kabel hängen.
Bitte warten ..
Mitglied: aqui
29.03.2012 um 19:52 Uhr
OK, da hast du natürlich völlig Recht. Dafür benötigt er dann auch zwingend "Private VLAN" oder Isolated VLANs" auf dem Switch um das zu trennen.
Billigteile haben sowas bekanntlich nicht folglich ist also die Trennung der Schüler und Lehrer ESSIDs am sinnvollsten.
Tunlichst unterdrückt man für die Leherer SSID auch noch das beaconing der SSID um den Schülern auch den Anreiz auf einen "Lehrer Angriff" zu nehmen.
Na ja wenn man es richtig macht alles 1 bis 2 Mausklicks in der Konfig der APs.
Bitte warten ..
Mitglied: goetzg123
29.03.2012 um 21:10 Uhr
Das ist ja spannend, welche Disskussion aus einer einfachen Frage entstanden ist. Natürlich ist bei uns an der Schule das Verwaltungsnetz und das pädagogische Netz sowieso getrennt. Die festen Rechner im pädagogischen Netz (die haupsächlich von Schülern aber auch von Lehrern) benutzt werden sind zudem softwareseitig so eingerichtet, dass die Schüler keinerlei Möglichkeit haben, auf andere Rechner zuzugreifen, wir sind ja nicht dämlich. Zudem gibt es Logbücher zu den Rechnern in denen sich jeder Benutzer eintragen muss, aus diesem Grund möchte ich die festen Rechner (das hat tikayevent richtig verstanden, die hängen am Kabel) ja auch per MAC Filterung durchlassen. Somit ist es auch nicht notwendig jedem der 1300 Schüler einen Zugang einzurichten
Die Einrichtung der FW soll lediglich die wild wuchernden WLAN Netze bei uns im Haus eingrenzen. Im Moment kann jeder seinen eigenen Router anschließen (Jajaja, das sollte nicht so sein, ist aber an einer so großen Schule schwer zu kontrollieren). Über diese wilden WLANs gehen Lehrer mit ihren privaten Laptops und zum Teil wohl auch Schüler ins pädagogische Netz und ich habe keine Kontrolle, wer wo was macht. Dass die privaten Laptops sich innerhalb des pädagogischen Netzes auch trotz der FW ausspionieren können, ist mir natürlich klar und sollte auch den Kollegen klar sein.
Über die Captive Portal Funktion der FW habe ich zumindest die Möglichkeit, den Internetzugang zu reglementieren (das es nicht mehr ist, ist mir auch klar, wie gesagt ich bin ja nicht dämlich tikayevent), d.h. keiner kann mehr seinen Router irgentwo anschließen und wahlos die Zugangsdaten weitergeben.
Darüberhinaus kann ich mit dem Captiv Portal User Management auch Tageslizenzen an auswärtige Lehrer und Schüler vergeben, das ist ebenfalls ein wichtiger Punkt, da wir sehr viele internationale Parnerschulen haben und ein entsprechen großes Austauschprogramm.
Wie gesagt, ich hatte nur eine einfach Frage.
Danke an aqui für die Antwort und an den super Tipp mit den verschiedenen ESSIDs, daran hatte ich in der Tat noch nicht gedacht.
Bitte warten ..
Mitglied: aqui
30.03.2012 um 16:26 Uhr
Ja, richtig ! Damit hast du mit dem Captive Portal das richtige Werkzeug in der Hand um zu regelementieren und diesen Wildwuchs in geordnete Bahnen zu lenken.
Die Tageslizenzen für temporäre besucher sind da ein Bonbon obendrauf.
Mit der ESSID Trennung (diese APs kosten nur geringfügig mehr als andere) kannst du eben die Schüler und Leher noch besser trennen und die "Daumenschrauben" am Schüler WLAN / VLAN mit der Firewall bzw. den Regeln noch etwas anziehen um dort noch mehr Sicherheit zu schaffen.
Das pädagogische Netz solltest du auch auf einen Port der Firewall oder einen VLAN Port hängen. So kannst du noch granularer Zugangsregeln aus den Schüler und Lehrer WLANs (und anderen Segmenten) dafür einstellen ohne das du diese Klimmzüge mit den Mac Adressen machen musst. Auf die Dauer ist das bei 1300 Usern nicht dauerhaft managebar.
Wenn du das so umsetzt bist du genau auf dem richtigen Weg für das Schulnetz.....
Bitte warten ..
Mitglied: goetzg123
30.03.2012 um 17:11 Uhr
Denke ich auch, Danke dir auch für die super Anleitungen, habe heute auf der FW ein bischen rumprobiert und das mit den VLANS denke ich so weit ganz gut vorbereitet.
Bitte warten ..
Ähnliche Inhalte
PHP
gelöst PfSense Captive Portal Plus Problem (2)

Frage von wurscht12 zum Thema PHP ...

Entwicklung
Captive Portal Seite mit Voucher speichern Funktion (4)

Frage von fisi-pjm zum Thema Entwicklung ...

HTML
gelöst Captive Portal login Seite (2)

Frage von gansa28 zum Thema HTML ...

Netzwerkmanagement
gelöst PfSense, Captive Portal eigene mehrsprachige Templates (5)

Frage von seltsam zum Thema Netzwerkmanagement ...

Neue Wissensbeiträge
RedHat, CentOS, Fedora

Fedora, RedHat, Centos: DNS-Search Domain setzen

(13)

Tipp von Frank zum Thema RedHat, CentOS, Fedora ...

Drucker und Scanner

Samsung SL-M4025ND, firmware update und (kompatible) Tonerkassetten

(1)

Erfahrungsbericht von markus-1969 zum Thema Drucker und Scanner ...

Heiß diskutierte Inhalte
Windows 10
Windows für Privatanwender "nicht mehr handhabbar" (35)

Frage von FA-jka zum Thema Windows 10 ...

LAN, WAN, Wireless
Komplett neues Netzwerk, Ubiquiti WLAN, Router, Switch (15)

Frage von Freak-On-Silicon zum Thema LAN, WAN, Wireless ...

Backup
Backup Wochen- Monats- Jahressicherung (13)

Frage von Meterpeter zum Thema Backup ...

RedHat, CentOS, Fedora
Fedora, RedHat, Centos: DNS-Search Domain setzen (13)

Tipp von Frank zum Thema RedHat, CentOS, Fedora ...