Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Anzahl User Captive portal Monowall

Frage Netzwerke

Mitglied: goetzg123

goetzg123 (Level 1) - Jetzt verbinden

28.03.2012, aktualisiert 18.10.2012, 3923 Aufrufe, 8 Kommentare, 1 Danke

Hallo,
nachdem ich es Dank der tollen Anleitung hier im Forum geschafft habe, eine FW mit Monowall im Testbetrieb zum laufen zu bekommen, nun eine ganz simple Frage: wer kann mir sagen, ob bei Monowall die Anzahl der Zugänge über Captive Portal und die Anzahl der durchgelassenen MAC Adressen beschränkt ist?

Ich möchte gerne die FW an der Schule einsetzen. Geplant ist, dass die festen Rechner (ca 200!!!) per MAC Adresse durchgelassen werden und nur den Zugriff über WLAN authentifiziert werden muss. Zunächst sollen erst mal alle 110 Lehrer einen Zugang bekommen, eventuell aber später auch noch teilweise die Schüler.

Ich habe an den entsprechenden Stellen im Monowall Handbuch nachgelesen, aber keine Antwort gefunden.

Danke schon mal im Vorraus

goetzg123
Mitglied: danielfr
28.03.2012 um 16:22 Uhr
wer kann mir sagen, ob bei Monowall die Anzahl der Zugänge über Captive Portal und die
Anzahl der durchgelassenen MAC Adressen beschränkt ist?
Kann ich mir beim besten Willen nicht vorstellen, das es hier eine Beschränkung geben soll. Das macht ja auch keinen Sinn.
Bitte warten ..
Mitglied: tikayevent
28.03.2012 um 20:20 Uhr
Ich möchte gerne die FW an der Schule einsetzen. Geplant ist, dass die festen Rechner (ca 200!!!) per MAC Adresse durchgelassen werden und nur den Zugriff über WLAN authentifiziert werden muss. Zunächst sollen erst mal alle 110 Lehrer einen Zugang bekommen, eventuell aber später auch noch teilweise die Schüler.
Ähm, ich glaube, du baust dir da ein riesen großes Problem auf. Denn jeder Rechner, der per WLAN drin ist, kann auf alle anderen Rechner zugreifen. Du verhinderst mit dem Captive Portal nur den Zugriff aufs Internet.
Beschäftige dich erstmal mit richtigem Netzwerkdesign, ehe du das Problem angehst (unterschiedliche Broadcastdomänen für Kabelnetz und WLAN, getrennte Netzwerke für Schüler und Lehrer, ...)
Bitte warten ..
Mitglied: aqui
29.03.2012, aktualisiert 18.10.2012
Eine Beschränkung der Mac Adressen gibt es in der Tat nicht, das ist richtig ! Hier hast du kein Limit.
Allerdings hat Kollege /tkayeven t nicht ganz Unrecht was seine Sicherheitsbedenken anbetrifft !!
Willst du wirklich beide Gruppen also Schlüer und Lehrer in ein gleiches WLAN stecken ??
Ganz stimmt es nicht was Kollege /tkayevent
schreibt, du kannst natürlich im WLAN selber mit "WLAN Isolation" auf den APs die Clients untereinander trennen und sofern du mehrere Accesspoints betreibst die in ein sog. Private VLAN oder Isolatetd VLAN am Switch legen um einen Any zu Any Kommunikation der Clients untereinander sicher zu verhinden. Allerdings....
Dafür müssen deinen APs und auch deine Switchhardware diese Funktion haben bzw. supporten ansonsten kannst du das gleich vergessen !
Machst du das dann nämlich nicht können die Schüler problemlos im gemeinsamen WLAN die Rechner der Lehrer attackieren (..und auch andersrum) wenn sie wollen.
Das wäre sicher so nicht gewollt.
Sinnvoller und besser (und auch einfacher) ist es WLAN Accesspoints mit ESSID Funktion, also mehreren WLANs pro AP, zu verwenden und den Lehrern ein eigenes getrenntes WLAN bzw. ESSID zu geben. Fast jeder bessere Billig AP kann das heutzutage. Hier kannst du dann die Lehrer wasserdicht mit Mac Adresse und WLAN Verschlüsselung absichern.
Das Schülernetz lässt du dann offen mit einem Captive Portal und den entsprechenden Filterlisten davor um nur gewollte Protokolle und Kommunikation in bestimmte Netze zuzulassen und sie auch vom Lehrernetz abzutrennen.
So macht das Sinn und ist absolut wasserdicht für die Lehrer. Beide Netze koexistieren aber sind dennoch sauber getrennt um einen Any zu Any Kommunikation zu unterbinden.
Wie man das ganz einfach macht und mit welcher Hardware kannst du hier nachlesen:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Bitte warten ..
Mitglied: tikayevent
29.03.2012 um 12:32 Uhr
Ich hab das "feste Rechner" eher so verstanden, dass die nicht im WLAN sondern am Kabel hängen.
Bitte warten ..
Mitglied: aqui
29.03.2012 um 19:52 Uhr
OK, da hast du natürlich völlig Recht. Dafür benötigt er dann auch zwingend "Private VLAN" oder Isolated VLANs" auf dem Switch um das zu trennen.
Billigteile haben sowas bekanntlich nicht folglich ist also die Trennung der Schüler und Lehrer ESSIDs am sinnvollsten.
Tunlichst unterdrückt man für die Leherer SSID auch noch das beaconing der SSID um den Schülern auch den Anreiz auf einen "Lehrer Angriff" zu nehmen.
Na ja wenn man es richtig macht alles 1 bis 2 Mausklicks in der Konfig der APs.
Bitte warten ..
Mitglied: goetzg123
29.03.2012 um 21:10 Uhr
Das ist ja spannend, welche Disskussion aus einer einfachen Frage entstanden ist. Natürlich ist bei uns an der Schule das Verwaltungsnetz und das pädagogische Netz sowieso getrennt. Die festen Rechner im pädagogischen Netz (die haupsächlich von Schülern aber auch von Lehrern) benutzt werden sind zudem softwareseitig so eingerichtet, dass die Schüler keinerlei Möglichkeit haben, auf andere Rechner zuzugreifen, wir sind ja nicht dämlich. Zudem gibt es Logbücher zu den Rechnern in denen sich jeder Benutzer eintragen muss, aus diesem Grund möchte ich die festen Rechner (das hat tikayevent richtig verstanden, die hängen am Kabel) ja auch per MAC Filterung durchlassen. Somit ist es auch nicht notwendig jedem der 1300 Schüler einen Zugang einzurichten
Die Einrichtung der FW soll lediglich die wild wuchernden WLAN Netze bei uns im Haus eingrenzen. Im Moment kann jeder seinen eigenen Router anschließen (Jajaja, das sollte nicht so sein, ist aber an einer so großen Schule schwer zu kontrollieren). Über diese wilden WLANs gehen Lehrer mit ihren privaten Laptops und zum Teil wohl auch Schüler ins pädagogische Netz und ich habe keine Kontrolle, wer wo was macht. Dass die privaten Laptops sich innerhalb des pädagogischen Netzes auch trotz der FW ausspionieren können, ist mir natürlich klar und sollte auch den Kollegen klar sein.
Über die Captive Portal Funktion der FW habe ich zumindest die Möglichkeit, den Internetzugang zu reglementieren (das es nicht mehr ist, ist mir auch klar, wie gesagt ich bin ja nicht dämlich tikayevent), d.h. keiner kann mehr seinen Router irgentwo anschließen und wahlos die Zugangsdaten weitergeben.
Darüberhinaus kann ich mit dem Captiv Portal User Management auch Tageslizenzen an auswärtige Lehrer und Schüler vergeben, das ist ebenfalls ein wichtiger Punkt, da wir sehr viele internationale Parnerschulen haben und ein entsprechen großes Austauschprogramm.
Wie gesagt, ich hatte nur eine einfach Frage.
Danke an aqui für die Antwort und an den super Tipp mit den verschiedenen ESSIDs, daran hatte ich in der Tat noch nicht gedacht.
Bitte warten ..
Mitglied: aqui
30.03.2012 um 16:26 Uhr
Ja, richtig ! Damit hast du mit dem Captive Portal das richtige Werkzeug in der Hand um zu regelementieren und diesen Wildwuchs in geordnete Bahnen zu lenken.
Die Tageslizenzen für temporäre besucher sind da ein Bonbon obendrauf.
Mit der ESSID Trennung (diese APs kosten nur geringfügig mehr als andere) kannst du eben die Schüler und Leher noch besser trennen und die "Daumenschrauben" am Schüler WLAN / VLAN mit der Firewall bzw. den Regeln noch etwas anziehen um dort noch mehr Sicherheit zu schaffen.
Das pädagogische Netz solltest du auch auf einen Port der Firewall oder einen VLAN Port hängen. So kannst du noch granularer Zugangsregeln aus den Schüler und Lehrer WLANs (und anderen Segmenten) dafür einstellen ohne das du diese Klimmzüge mit den Mac Adressen machen musst. Auf die Dauer ist das bei 1300 Usern nicht dauerhaft managebar.
Wenn du das so umsetzt bist du genau auf dem richtigen Weg für das Schulnetz.....
Bitte warten ..
Mitglied: goetzg123
30.03.2012 um 17:11 Uhr
Denke ich auch, Danke dir auch für die super Anleitungen, habe heute auf der FW ein bischen rumprobiert und das mit den VLANS denke ich so weit ganz gut vorbereitet.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
HTML
Captive Portal login Seite (2)

Frage von gansa28 zum Thema HTML ...

Netzwerkmanagement
gelöst PfSense, Captive Portal eigene mehrsprachige Templates (5)

Frage von seltsam zum Thema Netzwerkmanagement ...

Netzwerke
gelöst Weiterleitung nach Anmeldung im Captive Portal (1)

Frage von MLangHSE zum Thema Netzwerke ...

Router & Routing
PfSense - VPN-Verbindung über Captive Portal? (8)

Frage von micson zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...