Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Anzahl User Captive portal Monowall

Frage Netzwerke

Mitglied: goetzg123

goetzg123 (Level 1) - Jetzt verbinden

28.03.2012, aktualisiert 18.10.2012, 3976 Aufrufe, 8 Kommentare, 1 Danke

Hallo,
nachdem ich es Dank der tollen Anleitung hier im Forum geschafft habe, eine FW mit Monowall im Testbetrieb zum laufen zu bekommen, nun eine ganz simple Frage: wer kann mir sagen, ob bei Monowall die Anzahl der Zugänge über Captive Portal und die Anzahl der durchgelassenen MAC Adressen beschränkt ist?

Ich möchte gerne die FW an der Schule einsetzen. Geplant ist, dass die festen Rechner (ca 200!!!) per MAC Adresse durchgelassen werden und nur den Zugriff über WLAN authentifiziert werden muss. Zunächst sollen erst mal alle 110 Lehrer einen Zugang bekommen, eventuell aber später auch noch teilweise die Schüler.

Ich habe an den entsprechenden Stellen im Monowall Handbuch nachgelesen, aber keine Antwort gefunden.

Danke schon mal im Vorraus

goetzg123
Mitglied: danielfr
28.03.2012 um 16:22 Uhr
wer kann mir sagen, ob bei Monowall die Anzahl der Zugänge über Captive Portal und die
Anzahl der durchgelassenen MAC Adressen beschränkt ist?
Kann ich mir beim besten Willen nicht vorstellen, das es hier eine Beschränkung geben soll. Das macht ja auch keinen Sinn.
Bitte warten ..
Mitglied: tikayevent
28.03.2012 um 20:20 Uhr
Ich möchte gerne die FW an der Schule einsetzen. Geplant ist, dass die festen Rechner (ca 200!!!) per MAC Adresse durchgelassen werden und nur den Zugriff über WLAN authentifiziert werden muss. Zunächst sollen erst mal alle 110 Lehrer einen Zugang bekommen, eventuell aber später auch noch teilweise die Schüler.
Ähm, ich glaube, du baust dir da ein riesen großes Problem auf. Denn jeder Rechner, der per WLAN drin ist, kann auf alle anderen Rechner zugreifen. Du verhinderst mit dem Captive Portal nur den Zugriff aufs Internet.
Beschäftige dich erstmal mit richtigem Netzwerkdesign, ehe du das Problem angehst (unterschiedliche Broadcastdomänen für Kabelnetz und WLAN, getrennte Netzwerke für Schüler und Lehrer, ...)
Bitte warten ..
Mitglied: aqui
29.03.2012, aktualisiert 18.10.2012
Eine Beschränkung der Mac Adressen gibt es in der Tat nicht, das ist richtig ! Hier hast du kein Limit.
Allerdings hat Kollege /tkayeven t nicht ganz Unrecht was seine Sicherheitsbedenken anbetrifft !!
Willst du wirklich beide Gruppen also Schlüer und Lehrer in ein gleiches WLAN stecken ??
Ganz stimmt es nicht was Kollege /tkayevent
schreibt, du kannst natürlich im WLAN selber mit "WLAN Isolation" auf den APs die Clients untereinander trennen und sofern du mehrere Accesspoints betreibst die in ein sog. Private VLAN oder Isolatetd VLAN am Switch legen um einen Any zu Any Kommunikation der Clients untereinander sicher zu verhinden. Allerdings....
Dafür müssen deinen APs und auch deine Switchhardware diese Funktion haben bzw. supporten ansonsten kannst du das gleich vergessen !
Machst du das dann nämlich nicht können die Schüler problemlos im gemeinsamen WLAN die Rechner der Lehrer attackieren (..und auch andersrum) wenn sie wollen.
Das wäre sicher so nicht gewollt.
Sinnvoller und besser (und auch einfacher) ist es WLAN Accesspoints mit ESSID Funktion, also mehreren WLANs pro AP, zu verwenden und den Lehrern ein eigenes getrenntes WLAN bzw. ESSID zu geben. Fast jeder bessere Billig AP kann das heutzutage. Hier kannst du dann die Lehrer wasserdicht mit Mac Adresse und WLAN Verschlüsselung absichern.
Das Schülernetz lässt du dann offen mit einem Captive Portal und den entsprechenden Filterlisten davor um nur gewollte Protokolle und Kommunikation in bestimmte Netze zuzulassen und sie auch vom Lehrernetz abzutrennen.
So macht das Sinn und ist absolut wasserdicht für die Lehrer. Beide Netze koexistieren aber sind dennoch sauber getrennt um einen Any zu Any Kommunikation zu unterbinden.
Wie man das ganz einfach macht und mit welcher Hardware kannst du hier nachlesen:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Bitte warten ..
Mitglied: tikayevent
29.03.2012 um 12:32 Uhr
Ich hab das "feste Rechner" eher so verstanden, dass die nicht im WLAN sondern am Kabel hängen.
Bitte warten ..
Mitglied: aqui
29.03.2012 um 19:52 Uhr
OK, da hast du natürlich völlig Recht. Dafür benötigt er dann auch zwingend "Private VLAN" oder Isolated VLANs" auf dem Switch um das zu trennen.
Billigteile haben sowas bekanntlich nicht folglich ist also die Trennung der Schüler und Lehrer ESSIDs am sinnvollsten.
Tunlichst unterdrückt man für die Leherer SSID auch noch das beaconing der SSID um den Schülern auch den Anreiz auf einen "Lehrer Angriff" zu nehmen.
Na ja wenn man es richtig macht alles 1 bis 2 Mausklicks in der Konfig der APs.
Bitte warten ..
Mitglied: goetzg123
29.03.2012 um 21:10 Uhr
Das ist ja spannend, welche Disskussion aus einer einfachen Frage entstanden ist. Natürlich ist bei uns an der Schule das Verwaltungsnetz und das pädagogische Netz sowieso getrennt. Die festen Rechner im pädagogischen Netz (die haupsächlich von Schülern aber auch von Lehrern) benutzt werden sind zudem softwareseitig so eingerichtet, dass die Schüler keinerlei Möglichkeit haben, auf andere Rechner zuzugreifen, wir sind ja nicht dämlich. Zudem gibt es Logbücher zu den Rechnern in denen sich jeder Benutzer eintragen muss, aus diesem Grund möchte ich die festen Rechner (das hat tikayevent richtig verstanden, die hängen am Kabel) ja auch per MAC Filterung durchlassen. Somit ist es auch nicht notwendig jedem der 1300 Schüler einen Zugang einzurichten
Die Einrichtung der FW soll lediglich die wild wuchernden WLAN Netze bei uns im Haus eingrenzen. Im Moment kann jeder seinen eigenen Router anschließen (Jajaja, das sollte nicht so sein, ist aber an einer so großen Schule schwer zu kontrollieren). Über diese wilden WLANs gehen Lehrer mit ihren privaten Laptops und zum Teil wohl auch Schüler ins pädagogische Netz und ich habe keine Kontrolle, wer wo was macht. Dass die privaten Laptops sich innerhalb des pädagogischen Netzes auch trotz der FW ausspionieren können, ist mir natürlich klar und sollte auch den Kollegen klar sein.
Über die Captive Portal Funktion der FW habe ich zumindest die Möglichkeit, den Internetzugang zu reglementieren (das es nicht mehr ist, ist mir auch klar, wie gesagt ich bin ja nicht dämlich tikayevent), d.h. keiner kann mehr seinen Router irgentwo anschließen und wahlos die Zugangsdaten weitergeben.
Darüberhinaus kann ich mit dem Captiv Portal User Management auch Tageslizenzen an auswärtige Lehrer und Schüler vergeben, das ist ebenfalls ein wichtiger Punkt, da wir sehr viele internationale Parnerschulen haben und ein entsprechen großes Austauschprogramm.
Wie gesagt, ich hatte nur eine einfach Frage.
Danke an aqui für die Antwort und an den super Tipp mit den verschiedenen ESSIDs, daran hatte ich in der Tat noch nicht gedacht.
Bitte warten ..
Mitglied: aqui
30.03.2012 um 16:26 Uhr
Ja, richtig ! Damit hast du mit dem Captive Portal das richtige Werkzeug in der Hand um zu regelementieren und diesen Wildwuchs in geordnete Bahnen zu lenken.
Die Tageslizenzen für temporäre besucher sind da ein Bonbon obendrauf.
Mit der ESSID Trennung (diese APs kosten nur geringfügig mehr als andere) kannst du eben die Schüler und Leher noch besser trennen und die "Daumenschrauben" am Schüler WLAN / VLAN mit der Firewall bzw. den Regeln noch etwas anziehen um dort noch mehr Sicherheit zu schaffen.
Das pädagogische Netz solltest du auch auf einen Port der Firewall oder einen VLAN Port hängen. So kannst du noch granularer Zugangsregeln aus den Schüler und Lehrer WLANs (und anderen Segmenten) dafür einstellen ohne das du diese Klimmzüge mit den Mac Adressen machen musst. Auf die Dauer ist das bei 1300 Usern nicht dauerhaft managebar.
Wenn du das so umsetzt bist du genau auf dem richtigen Weg für das Schulnetz.....
Bitte warten ..
Mitglied: goetzg123
30.03.2012 um 17:11 Uhr
Denke ich auch, Danke dir auch für die super Anleitungen, habe heute auf der FW ein bischen rumprobiert und das mit den VLANS denke ich so weit ganz gut vorbereitet.
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Captive Portal z.B. Monowall
Frage von GuentherLAN, WAN, Wireless2 Kommentare

Hallo Zusammen, ich habe bereits die Suchfunktion des Forums bemüht, aber leide bin ich nicht auf einen passenden Beitrag ...

Utilities
Monowall Captive Portal - Ein Benutzername und Kennwort für alle möglich?
gelöst Frage von eisbeinUtilities4 Kommentare

Hallo! Es geht hier nur um die Grundsatzfrage, ob es genügt beim Captive Portal der monowall einen Benutzernamen mit ...

Router & Routing
Captive Portal alternative
gelöst Frage von berndschroedRouter & Routing8 Kommentare

Mein Wissen im Netzwerkbereich ist leider relativ begrenzt und meine bisherige Informationssuche war nicht erfolgreich. Ich erkläre am besten ...

Firewall
Zertifikatsfehler bei Pfsene - Captive Portal
gelöst Frage von WarrenderFirewall5 Kommentare

Hallo, ich möchte ein Captive Portal mit Pfsense betreiben und die Verbindung zwischen Server und Client dementsprechend absichern (https). ...

Neue Wissensbeiträge
Linux

Limux-Ende in München: Wie ein Linux Projekt unter Ausschluss der Öffentlichkeit zerstört wurde

Information von Frank vor 1 StundeLinux6 Kommentare

Mein persönlicher Kommentar zum Thema "Limux-Ende". Die SPD-Politikerin Anne Hübner hat die Richtung von München ganz klar definiert: "Wir ...

Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 1 TagBatch & Shell9 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 1 TagHumor (lol)6 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 1 TagMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Heiß diskutierte Inhalte
Router & Routing
Zwei Netzwerke erstellen
Frage von bunteblumeRouter & Routing13 Kommentare

Hallo Zusammen, Ich möchte gerne ein backup von einem bestimmten Folder welcher auf dem Server regelmässig synchronisiert wird auf ...

Off Topic
Fachkräftemangel in Deutschland? - Talentschmiede schreibt alle 2 Tage die gleichen Stellen aus
Frage von Penny.CilinOff Topic12 Kommentare

Hallo, haben wir in Deutschland Fachkräftemangel? Die Talentschmiede schreibt gefühlt alle zwei Tage dieselben Stellen aus. Und das schon ...

Microsoft Office
Outlook Cache Mode Frage
Frage von GwaihirMicrosoft Office11 Kommentare

Hallo zusammen, bin gerade neu in der Firma und lerne hier einige neue Dinge kennen. Zum Beispiel, dass die ...

Windows Server
Windows Store Apps
gelöst Frage von PeterleBWindows Server11 Kommentare

Gibt es einen Weg, auf Windows Server 2016 Windows Store Apps wie zum Beispiel die HP Smart App zu ...