Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Netzwerk problem wlan

Frage Netzwerke Router & Routing

Mitglied: heikoflat

heikoflat (Level 1) - Jetzt verbinden

25.10.2013, aktualisiert 14:40 Uhr, 4666 Aufrufe, 15 Kommentare, 1 Danke

Hallo Leute,

ich habe ein Problem bei dem ich nicht weiter komme und benötige Hilfe oder anregungen um dieses Problem zu lösen.

Ich betreue ein Wohnheim mit 30 Zimmern. In den Zimmern befinden sich keine Netzwerkdosen. Das gesamte Gebäude ist mit WLAN ausgestattet. Baulich wiefolgt.

Internetanschluss über Kabel 100 Mbit/s (Kabel Deutschland)
DHCP Server läuft über den mitgelieferten Router.
In den Etagen befinden sich jeweils 2 Access Point's diese sind so konfiguriert das sie auf den router als gatway zugreifen können.
Nach der Installation funktioniert alles super gut. Nur wohnen ind dem Wohnheim Chenesische Schüler die es irgendwie schaffen mein Netz auszuhebeln.

Der Fehler sieht dann so aus.

in der 1 etage befindet sich der Router, dieser ist in einem Schrank eingeschlossen und es kommt niemand ran. Alle bekommen über den Adressbereich des DHCP Servers im Router ihre IP-Adressen. Irgendwie schaffen die Schüler es das die Access points in den anderen Etagen keine funktien mehr haben. Und nur noch 3 -4 Schüler in der 1 Etage Internet haben und der rest nicht. Alle anderen Etagen sind tot.

Ich vermute das sie sich selber IP-Adressen vergeben und ein eigendes Netz aufbauen somit sind alle anderen tot und nur sie haben Netz um zu zocken oder was auch immer. Immer wenn ich dann vor Ort fahre ging wieder alles, kaum bin ich weg fängst das von vorne an.

Ich bin langsam mit meinem Latein am ende. Meine Idee ist es jetzt ein Server mit DHCP und proxyserver in den Keller zu bauen um so eventuell der sachen auf die schliche zu kommen.

Wie kann ich es unterbinden das sie sich selber IP Adressen vergeben oder das ganze netz so lam zu legen.

Stellt Fragen wenn ihr was wissen wollt
Mitglied: aqui
25.10.2013, aktualisiert um 14:59 Uhr
Du solltest dich erstmal als allererstes entspannen und einmal über die technischen Fakten nachdenken, denn nur mit sebstvergebenden IP Adressen schafft man es nicht einen Accesspoint am Senden zu hindern !
Accessponts selber greifen niemals "auf den Router als Gateway" zu ! Auch das ist irgendwie unsinnig und verwirrt. Ein WLAN Accesspoint ist in der Regel eine simple Bridge und der Client im WLAN greift wenn dann direkt aufs Gateway zu.
Ausnahme du betreibst die APs selber als Router was aber vermutlich nicht der Fall ost oder ??

Du solltest also erst einmal strategisch vorgehen und messen.
Leider bist du mit deinen Schilderungen recht unpräzise und stellst auch technisch falsche Vermutungen an bedingt dadurch.
Du teilst uns leider auch nicht mit WIE der Zugang zum WLAN gelöst ist, sprich ob das WLAN offen ist mit einem One Time Passwort sprich Hotspot System wie hier beschrieben:
http://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...
Besutzt du eine Zertifikats basierende Zugangskontrolle:
http://www.administrator.de/wissen/sichere-wlan-benutzer-authentifizier ...
Oder hast du schlicht und einfach nur simpel statisch die Verschlüsselung eingeschaltet und verrätst jedem Gast das Passwort ? Dann kannst du auch gleich an der Tür ein Poster ankleben mit "Das Passwort ist..." oder das WLAN gleich offen betreiben.
Fazit: Die Art der Zugangssteuerung wäre sinnvoll zu wissen hier für eine zielführende Hilfe !

Der zweite Punkt ist die Struktur des WLANs selber ?
  • Ist der Mangement Zugang zu dem APs vom Clienten WLAN getrennt um Manipulationen an den APs vorzubeugen ? (Hoffentlich)
  • Hast du hier eine saubere Funk Kanalplanung gemacht und die AP Funkzellen mit einem Mindestabstand von 4 Funkanälen eingerichtet ?
  • Ist die SSID (WLAN Name) überall gleich wie es sein sollte ?
  • Ebenso der verwendete Schlüsselalgorythmus identisch ?
  • Haben alle APs eine feste 20 Mhz Bandbreite im 2,4 Ghz Bereich konfiguriert ?
  • Können die APs Dual Radio oder machst du nur 2,4 Ghz ?
  • Hast du sinnvollerweise eine Client Isolierung im WLAN in den APs aktiviert (sog. isolated WLAN) die dir ein any zu any Connect der Clients im WLAN sicher verhindern ?
  • Arbeitest du mit einer MAC Filterliste die ganz klar festlegt WER (Client) mit WELCHER Hardware in das WLAN darf bzw. nicht darf ?
  • Machst du sonst irgendeine Art von Benutzertracking um dem rechtlichen Problem Störerhaftung vorzubeugen ?

Zu all diesen wirklich wichtigen Fragen gibst du keinerlei Detailantwort. Deshalb ist es fraglich was du mit deinem Thread hier erreichen willst bzw. von uns eigentlich erwartest ?
Alle obigen Punkte sind eigentlich absolute Minimalanforderungen an die Betriebssicherheit eines solchen WLANs und du schilderst mit keinem Wort WAS du davon umgesetzt hast
Wenn nichts davon umgesetzt ist, dann wirst du auch weiterhin mit diesen Problemen leben müssen, das leuchtet vermutlich selbst dir ein ?!
Bitte warten ..
Mitglied: heikoflat
25.10.2013 um 14:56 Uhr
Ok danke schon mal ich werde diese Fragen ausführlich beantworten und es verständlicher formulieren
Bitte warten ..
Mitglied: heikoflat
25.10.2013 um 15:43 Uhr
Der Zugang zum WLAN geht mit einem Schlüssel der für die Schüler frei verfügbar ist. Die Verschlüsselung läuft über die Acsess point' WPA-PSK 2. Eine Zugangskontrolle gibt es so nicht, was ich aber gerne hätte. Der Schlüssel ist nur für die Schüler gedacht von außen weiß den ja niemand. Wie ich aus deinen Schilderungen entnehmen kann sollte ich mir über eine andere Lösung gedanken machen. Über die zertifikats basierende Lösung wäre für mich sehr intressant und ich werde mir das mal durchlesen und versuchen zu installieren. Danke für den Tipp

Zu den zweiten punkten.
Hast du hier eine saubere Kanaplanung gemacht und die AP Funkzellen mit einem Mindestabstand von 4 Funkanälen eingerichtet ?
Die Access habe ich Kanalseitig getrennt, das heist ich habe jedem seinen eigenden Kanal zugewiesen und auch lücken dazwischen gelassen.

Ist die SSID überall gleich wie es sein sollte ?
Die SSID ist klar bei allen gleich eingestellt wie auch die verschlüsselung.

Können die APs Dual Radio oder machst du nur 2,4 Ghz
Die Bandbreite ist auch bei allen gleich eingestellt.
Sie arbeiten im 11bgn mixed mode und Auto bei der 20 oder 40 MHz

Hast du sinnvollerweise eine Client Isolierung im WLAN in den APs aktiviert die dir ein any zu any Connect im WLAN sicher verhindern ?
Ist nicht aktiviert bzw heist das bei den Access point Enable AP Isolation


Arbeitest du mit einer MAC Filterliste die ganz klar festlegt WER mit WELCHER Hardware in das WLAN darf ?
ich arbeite mit keiner Filterliste, da die Schüler durch das Gebäude mit ihren Nootbooks rennen.
Bitte warten ..
Mitglied: Dobby
25.10.2013 um 15:48 Uhr
Hallo,

Internet ausmachen und überall erzählen die Chinesen sind schuld.

Das ist doch auch wieder so ein Laden der Dir nichts zahlen möchte und dem alles zu teuer ist, aber
laufen muss das Internet und mit den Chinesen will sich auch keiner anlegen, kann das sein?

So wie @aqui das beschrieben hat ist das schon in Ordnung und hier ist noch gleich eine kommerzielle Lösung
dazu, dann kannst Du Dich ja einmal umsehen was Dir zusagt. Handlink

Man kann das auch mit Ubiquiti erledigen und sicherlich auch Server gestützt denn dort ist die Software
kostenlos und bringt auch einen Radius Server oder ein Captive Portal mit.

MikroTik ist dann wohl die Budgetlösung, aber bringt eben auch GB LAN Ports mit und eine interne Radius
Lösung Namens Usermanager mit.

Einen HTTP-Proxy Lösung namens Squid würde ich aber in jedem Fall empfehlen wollen, denn da kannst Du
dann auch einfach alles mit protokollieren und im Zweifel einmal einschreiten.

Ein kleiner Snort wäre da auch nicht verkehrt und könnte auch so manches Wirken der Chinesen melden
denn das die alle nur YouTube gucken und dafür die gesamte Bandbreite brauchen glaube ich nicht.

Gruß
Dobby
Bitte warten ..
Mitglied: heikoflat
25.10.2013 um 16:00 Uhr
Internet ausmachen und überall erzählen die Chinesen sind schuld.

HaHa war auch mein Vorschlag, ist nicht gut angekommen.

Das ist doch auch wieder so ein Laden der Dir nichts zahlen möchte und dem alles zu teuer ist, aber
laufen muss das Internet und mit den Chinesen will sich auch keiner anlegen, kann das sein?

Gut auf den Punkt gebracht...

Danke für die Tipps ich arbeite mich mal durch
Bitte warten ..
Mitglied: Lochkartenstanzer
25.10.2013 um 17:01 Uhr
Cat 9 richtig angewandt, hilft auch, solche Probleme zu lösen.

Bitte warten ..
Mitglied: Cthluhu
25.10.2013 um 17:20 Uhr
Hi,
Zitat von heikoflat:
Und nur noch 3 -4 Schüler in der 1 Etage Internet haben und der rest nicht. Alle anderen Etagen sind tot.
Haben die kein Internet oder geht schon das WLAN nicht?
Wie viele IP Adressen kann der DHCP Server vergeben?
Werden da vllt undercover Accesspoints betrieben welche die deinen stören?
Geh mal mit einem Laptop und scan-tools wie inSSIDer durch die betroffenen Gebäudeteile. Da siehst du recht anschaulich auf welchen Kanäle gefunkt wird.
Vllt können auch deine Accesspoints direkt anzeigen welche anderen Accespoints in der Nähe sind.

Wenns nur Probleme gibt während du nicht da bist: Mach halt mal einen Überraschungsbesuch oder lass mal einen alten Laptop/Rasperry Pi irgendwo stehn und logge mit, welche Accespoints da auftauchen.

Mit freundlichen Grüßen

Cthluhu
Bitte warten ..
Mitglied: 113436
25.10.2013 um 18:49 Uhr
breche doch den schrank auf oder greife über ein mit dm router verbundenen pc / netzwerk auf den router zu und setzte die einstellungen zurück
Bitte warten ..
Mitglied: aqui
25.10.2013, aktualisiert um 19:11 Uhr
In der Antwort oben steht auch wieder ziemlicher, sorry, Bullshit:
Thema Funkkanalplanung:
"Die Access habe ich Kanalseitig getrennt, das heist ich habe jedem seinen eigenden Kanal zugewiesen und auch lücken dazwischen gelassen. "
Was ist das für ein Unsinn ?? Du musst mit einem Funk Scanner Tool wie dem freien inSSIDer
http://www.metageek.net/support/downloads/
auf einm Laptop rumgehen und musst AKTIV dort die Kanalbelegung ausmessen und den AP der diese Zelle bedient fest, statisch auf einen Kanal einstellen der NICHT mit den anderen Zellen und Nachbar WLANs überlappt.
Wie das stilisiert aussehen muss zeigt dir die Grafik im Kapitel "Alternative 3, 5ter Schritt" hier:
http://www.administrator.de/wissen/kopplung-von-2-routern-am-dsl-port-4 ...
So und nicht anders geht das ! "Lücken" besagen gar nix....

Thema Kanalbandbreite:
"Sie arbeiten im 11bgn mixed mode und Auto bei der 20 oder 40 MHz"
Genau da ist schon der erste Kardinalsfehler !!
  • Niemals bgn Mixed Mode aktivieren, denn der b Mode reisst dir dein WLAN runter. Wenn dann nur gn only !
  • Niemals im 2,4 Ghz Bereich den Bandbreiten Mode auf "Auto" einstellen !! Der MUSS zwangsweise auf 20 Mhz fest eingestellt sein bei allen APs !
Machst du das nicht wird einer der .11n mit 40 Mhz nutzt alle anderen APs im Umkreis massiv stören und dein WLAN so in der Performance einschränken das nichts mehr geht !
Genau das Verhalten was du ja siehst !

Keine Client Isolation bzw. AP Isolation und das Fehlen einer MAC Filterliste geben ihm dann den Rest.

Das ist doch vollkommen klar solange du diese Minimalanforderungen dort nicht umgesetzt hast wird das immer und immer wieder passieren. Erschreckend wie naiv und blauäugig du da rangehst, denn das sagt auch der gesunde Menschenverstand einem Laien !
Deine ToDos sind folgende:
  • Dringend die Kanalplanung anpassen und überprüfen.
  • Keinen bgn Mixed Mode sondern immer gn oder nur g betreiben.
  • Bandbreite fest auf 20 Mhz statisch einstellen (Kein Auto Mode !)
  • AP Isolation aktivieren, damit kein Any zu Any Traffic im WLAN und blockierung der WLAN Bandbreite eintritt.
  • Mit Mac Filterlisten arbeiten die identisch sind auf allen APs

Der letzte Punkt ist nicht ganz unwichtig, denn du kannst davon felsenfest ausgehen das die Schüler das WPA-2 Passwort allen erdenklichen Personen mitteilen damit auch die Freundin oder Papa und Mama mit ihrem Smartphone dein WLAN nutzen können. Damit weiss es dann die ganze Welt.
So gesehen ist das Passowrt eigentlich vollkommen obsolet und sinnlos geworden. Leuchtet dir vermutlich auch ein ?! Genausogut kannst du das WLAN dann auch offen betreiben.
So eine inflationäre Passwort Weitergabe verhinderst du in Grenzen mit einer Filterliste.
Klar ist das etwas umständlich denn du musst jedes Gerät eintragen aber so behälst du auch die Kontrolle.
Rechtlich ist deine Passwort Handhabe so oder so ziemlich fragwürdig und wenigstens in D stehst du da immer aufgrund der Störerhaftung mit einem Bein im Knast ! Denn was Schüler mit Filesharing so anrichten können liest du täglich in der Blöd.
Sinnvoll wäre hier immer ein Captive Portal (Hotspot) wie oben beschrieben mit Einmal Passwörtern. Minimal aber eine Mac Filterliste. Das Tutorial beschreibt ja wie du das schnell und preiswert hinbekommst.

Wenn du diese obigen Minmalschritte beherzigst und auch konsequent umsetzt bekommst du das Problem sofort in den Griff. Auch wenn du wie zu vermuten ist billige APs vpm Blödmarkt Grabbeltisch verwendest ! All das sind simple WLAN Basics die jeder Netzwerker der solche WLANs betreibt eigentlich kennen sollte ! Wenn nicht kann man sie überall nachlesen.
Bitte warten ..
Mitglied: Pownech
25.10.2013 um 20:58 Uhr
Moin ;)

Lass mal Wireshark oder ein anderes sniffer tool laufen, es könnte sein das einer "Man in the middle" App am laufen hat und das netz stört.
Je nach AP gibt das Probleme, vor allem billige netgear und Co.

Grüsse
Bitte warten ..
Mitglied: Lochkartenstanzer
30.10.2013, aktualisiert um 09:39 Uhr
Bitte warten ..
Mitglied: 113436
30.10.2013 um 09:55 Uhr
wenn du auf den router zugreifen kannst, andere die einstellungen und ändere das routerkennwort und das wlan kennwort.(wenn du die art wählen musst, wähle wpa2. empfehle ich
Bitte warten ..
Mitglied: aqui
30.10.2013, aktualisiert um 11:42 Uhr
...ist doch alles sinnlos wenn die ARP Spoofing oder andere Attacken nutzen mit ihrem frei erhältlichen Zugangspasswort.
Er hat ja keinerlei Restriktionen was die Vergabe des WLAN Passworts anbetrifft !! Genausogut kann er ein Poster an die Eingangstür kleben mit dem Inhalt "Das WLAN Passwort für alle lautet XYZ... !!"
Oder er betreibt das WLAN offen das kommt doch alles aufs gleiche raus. Bei solch dilettantischer Einrichtung ist sowas doch zu 100% vorprogrammiert.
In sofern ist der Tip an der Verschlüsselung was zu ändern doch total sinnfrei solange die ganze Schülerwelt das WLAN Passwort kennt und fröhlich weitergibt !!

Am fehlenden Feedback kann man ja so oder so ablesen das das Thema sich für den TO vermutlich erledigt hat oder er keinerlei Interesse mehr an einer zielführenden Hilfestellung hat !
Kann man nur hoffen das es dann noch für ein
http://www.administrator.de/faq/32
bei ihm reicht ?!
Bitte warten ..
Mitglied: heikoflat
07.11.2013 um 13:53 Uhr
So nun bin ich wieder aus dem Krankenhaus raus, kleine Sportverletzung. Danke für eure Tipps, ich werde die punkte beherzigen und den Plan abarbeiten. Das mit dem inSSIDer habe ich nicht ganz kapiert werde mich aber reinarbeiten. Ich mess erstmal mit dem Tool und schaue was da raus kommt
Bitte warten ..
Mitglied: heikoflat
07.11.2013 um 13:54 Uhr
Das Thema ist noch nicht erledigt werde mich aber wieder melden Dienstag ist Termin zum Umbau
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Hardware
gelöst Problem WLAN Repeater WLR-755 AC (5)

Frage von H41mSh1C0R zum Thema Hardware ...

Router & Routing
gelöst Routing - Netzwerk Problem - zwischen Filiale und Zentrale (12)

Frage von clonex zum Thema Router & Routing ...

Windows 10
Windows 10 Upgrade - Netzwerk-Problem und Upgrade aufheben (4)

Frage von Ben.Blake.79 zum Thema Windows 10 ...

Windows 10
Finde keine Geräte im Netzwerk über WLAN (5)

Frage von mixmastertobsi zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (23)

Frage von patz223 zum Thema Windows Userverwaltung ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (19)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...