Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Netzwerk für Verein neu einrichten

Frage Netzwerke LAN, WAN, Wireless

Mitglied: muhkow79

muhkow79 (Level 1) - Jetzt verbinden

19.11.2014 um 22:29 Uhr, 1521 Aufrufe, 7 Kommentare

Hallo zusammen,

ich habe die Aufgabe unser Netzwerk neu einzurichten. Wir sind ein Verein mit etwa 200 Mitgliedern, die auch alle einen Zugang zu unserem WLAN bekommen sollen. Von denen sind etwa 15-20 Personen täglich anwesend und benötigen auch Zugriff auf ein NAS. Sie benutzen jeweils ihre eigenen Geräte.
Mein Plan war ein Captive Portal auf unserer pfsense-Firewall einzurichten, den 20 regelmäßigen Benutzern einen permanenten Zugang zu verschaffen und den übrigen Mitgliedern Vouchers zukommen zu lassen.
Außerdem werden wir demnächst 4-5 WLAN Accesspoints bekommen. Diese wollte ich per RADIUS-Server einbinden. Das alles sollte ganz gut funktionieren, allerdings kenne ich mich nicht sonderlich gut mit mit Benutzerverwaltung aus.
Es wäre schön, wenn wir nicht immer auf dem NAS und zusätzlich auf der Firewall die Benutzer pflegen müssen. Dazu hatte ich mir schon überlegt einen LDAP-Server einzurichten. Ich weiß allerdings nicht worauf ich den aufsetzen sollte. Auf der Firewall oder auf dem NAS oder lieber auf einem kleinen extra Gerät (zB. Raspberry Pi).
Schön wäre auch, wenn beim Login in das Netzwerk über das Captive Portal schon die Freigaben vom NAS erreichbar sind und der Benutzer sein Passwort selbst ändern kann.

Vielleicht kann mir dabei jemand helfen. Ein wenig Literatur dazu würde mir auch schon helfen, falls jemand ein gutes Buch kennt.
Mitglied: stefaan
19.11.2014 um 23:28 Uhr
Servus,

grundsätzlich ist alles möglich. Je nach Kenntnisstand sogar (lizenz)kostenlos mit Linux, wenn du Zeit investieren kannst (weil du schon indirekt Linux erwähnst).

Als Basis ein Verzeichnisdienst zur Benutzerverwaltung und Dateifreigabe (mit Samba oder Active Directory). Dazu ein Radius-Server fürs WLAN (freeradius oder NAP, gekoppelt an den Verzeichnisdienst).
Die Anmeldung am WLAN kannst du wie schon erwähnt dann über ein Portal mit pfsense machen. Bei zusätzlichen APs kann ich die Unifi-APs (UAP, UAP-Pro) empfehlen. Sind zentral verwaltbar und relativ günstig.

Sind an sich Standard-Sachen, die man schön zusammen einrichten kannst. Freeradius könnte man z.B. auch mit einem MySQL-Backend betreiben, wenn du den NAS-Zugriff entkoppeln willst, Benutzerverwaltung geht dann über ein einfaches PHP-Script. Freeradius lässt sich vermutlich sogar auf einigen NAS-Systemen betreiben, am Raspi auch, wenn die Authentifizierung eine Sekunde länger dauern darf ;)

Interessant ist, wie viel Erfahrung du schon hast bzw. wie viel Zeit deinerseits bzw. Geld vom Verein zur Verfügung steht.

Grüße, Stefan
Bitte warten ..
Mitglied: tikayevent
20.11.2014 um 00:28 Uhr
Beim Captive Portal hast du das Problem, dass das WLAN unverschlüsselt ist. Also auch Fremde könnten einfach den Datenverkehr mitlesen. Schwirrt ja einfach so in der Luft rum.

Behalt die RADIUS-Sache im Auge, nutz aber besser WPA2-Enterprise dafür. Sehr viele Geräte unterstützen es, auch im Mobilbereich und du musst einen RADIUS-Server als Backend haben.

Damit ist das WLAN und die Daten sicher. Hätte gleichzeitig den Vorteil, dass man es im Gerät nur einmal einrichten muss, danach loggt man sich automatisch wieder ein. Bei einem Captive Portal musst du dich jedes mal neu anmelden oder du machst es durch MAC-Relogin unsicherer.

Captive Portals sind dafür gedacht, um unbedarften Benutzern, die nur kurzfristig irgendwo sind, einen schnellen und einfachen Internetzugang zu ermöglichen, also im Cafe, im Hotel, am Bahnhof, wo man sich nur kurz aufhält.
Bitte warten ..
Mitglied: Kalle2013
20.11.2014, aktualisiert um 08:09 Uhr
Die bintec Access Points der bintec Wx003/4n Serie können über die kostenlose WLAN Controller Lizenz bis zu 5 weitere APs managen. Damit hat man ein zentrales WLAN Management mit vielen Statistikfunktionen.

Nachtrag: Und das System macht auch dann noch keine Probleme wenn sich sehr viele Clients registriert haben.
Bitte warten ..
Mitglied: muhkow79
20.11.2014, aktualisiert um 09:22 Uhr
Hallo Stefan,

vielen Dank für die Antwort. Die Unifi-APs habe ich auch schon ins Auge gefasst. Die scheint es im Dreierpack ganz günstig zu geben. Damit werde ich dann erstmal anfangen und nach und nach weiter ausbauen.
Pfsense läuft derzeit auf einem APU1C. Daran wollte ich dann das NAS direkt anschließen, WAN und den Switch (also LAN). Auf dem NAS laufen derzeit der RADIUS-Server und eine Benutzerverwaltung. Leider muss man die Benutzer doppelt pflegen für die Dateifreigabe und für den Radius-Server. Das ist mir zu umständlich und die Anmeldung dauert immer ewig, weil die Festplatten bei jeder Anmeldung im WLAN hochfahren müssen. Deshalb dachte ich für die Benutzerverwaltung an einen kleinen LDAP-Server auf einem Raspi. Auf der Firewall könnte dann noch der Radius-Server laufen.
Beim Captive Portal hatte ich nicht bedacht, dass das WLAN dann unverschlüsselt ist. Das sollte so nicht sein. Lässt sich aber mit den Unifi-APs ein zweites Gastnetz aufbauen? Dann könnten die regelmäßigen Nutzer via Radius ins Netz und der Rest kann sich weiterhin über die Vouchers anmelden.
Von PHP/MySQL habe ich leider fast keine Ahnung, könnte mich aber vielleicht ein wenig einlesen. Mit Linux kenne ich mich schon besser aus.
Wie kriege ich es denn hin, dass beim Netz-Login über Radius die Dateifreigaben auch direkt vorhanden sind?
Geld ist wie immer keins vorhanden. Das ganze muss so günstig wie möglich sein. Deshalb auch der Vorschlag mit dem Raspi. Den haben wir hier noch herumliegen ;)

EDIT: Von Active Directory habe ich leider auch nicht viel Ahnung. Ich dachte immer, dass das nur eine Domäne ist mit der die Windows-Logins zentral gespeichert werden. Die Nutzer solle allerdings weiterhin ihre eigenen Rechner verwenden können. Also habe ich auf die Endgerät keinen Einfluss.
Bitte warten ..
Mitglied: stefaan
20.11.2014, aktualisiert um 12:06 Uhr
Servus!

Pfsense läuft derzeit auf einem APU1C. Daran wollte ich dann das NAS direkt anschließen, WAN und den Switch (also LAN).
??
WAN <> pfsense <> Switch und dort dann alles aus dem LAN dran.

Auf dem NAS laufen derzeit der RADIUS-Server und eine Benutzerverwaltung. Leider muss man die Benutzer doppelt pflegen für
die Dateifreigabe und für den Radius-Server.
Was ist das für ein NAS? Ev. kann das NAS die User auch per Verzeichnisdienst verwalten, wie z.B.:
https://www.synology.com/de-de/knowledgebase/tutorials/469
(können sicher andere Hersteller auch, nur als Bsp).

Festplatten bei jeder Anmeldung im WLAN hochfahren müssen. Deshalb dachte ich für die Benutzerverwaltung an einen
kleinen LDAP-Server auf einem Raspi. Auf der Firewall könnte dann noch der Radius-Server laufen.
Dann wirds aber kompliziert. Dann müsstest du vermutlich auf dem Raspi einen kompletten Samba installieren, und das NAS in die Domäne aufnehmen, um gleiche Useraccounts zu verwenden. Die Lösung wird aber auch nicht sooo performant sein, Anleitungen dazu finden sich im Netz. Freeradius dann auch gleich dazu.

Beim Captive Portal hatte ich nicht bedacht, dass das WLAN dann unverschlüsselt ist.
Die saubere Lösung ist - wie oben schon erwähnt - WPA2-Enterprise, die Konfiguration ist ein bisschen aufwändiger, die UniFi-APs können das aber.
Alternativ: Captive Portal + WPA mit shared Key, den alle Mitglieder wissen. Damit schützt du dich dann zumindest vor mitlauschenden Nachbarn, sofern der Key intern bleibt. Login-Zeit auf 10-12 Stunden, dann muss man sich jeden Tag neu einloggen. Portal per HTTPS, dann fliegen zumindest die Passwörter nicht unverschlüsselt herum.
Musst du abschätzen: Sitzt du mitten in der Stadt oder irgendwo allein im Wald.

sich aber mit den Unifi-APs ein zweites Gastnetz aufbauen? Dann könnten die regelmäßigen Nutzer via Radius ins
Netz und der Rest kann sich weiterhin über die Vouchers anmelden.
Das Gastnetz ist aber dann wieder unverschlüsselt, Radius müsste per WPA2-Enterprise gehen, sonst gleiches Problem wie oben.

Wie kriege ich es denn hin, dass beim Netz-Login über Radius die Dateifreigaben auch direkt vorhanden sind?
Wie sollen die Freigaben gleich verfügbar sein? Als Netzlaufwerke eingebunden? Oder gleiche User/Passwort-Kombination?

Geld ist wie immer keins vorhanden. Das ganze muss so günstig wie möglich sein. Deshalb auch der Vorschlag mit dem
Raspi. Den haben wir hier noch herumliegen ;)
Klar lässt sich das Projekt auch mit NAS und Raspi umsetzen, vorausgesetzt es gibt das entsprechende Knowhow bzw. die Zeit & Lust auf Bastelarbeiten.

EDIT: Von Active Directory habe ich leider auch nicht viel Ahnung. Ich dachte immer, dass das nur eine Domäne ist mit der die
Windows-Logins zentral gespeichert werden.
Grob gesagt ja, verschiendenste Dienste können dieses Verzeichnis abfragen und den Zugriff gestatten (Dateizugriff, Radius, ...). Im Prinzip auch nur ein LDAP-Server, den sich MS für seine Zwecke angepasst hat.

Die Nutzer solle allerdings weiterhin ihre eigenen Rechner verwenden können. Also habe ich auf die Endgerät keinen Einfluss.
Klar, ist ja kein Problem.

Wie gesagt, meine Hinweise zielen auf eine Lösung ab, die Bastelarbeit erfordert, machbar, wenn du Zeit und Lust hast. Du lernst sicher viel dabei, wirst aber vermutlich auch gelegentlich schief angeschaut, wenn was nicht perfekt läuft...
Du kannst ja die Infrastruktur einmal in VMs nachbauen und testen, bevor du das ganze Netz umbaust.

Ein "Verzeichnisdienst out of the Box" (auf einem NAS wie oben verlinkt, eine Linux-Distri wie z.B. Zentyal, wo alles out of the Box läuft, oder ein Win-Server, mit richtiger Lizenzierung aber eher nicht leistbar) würde dir viel Arbeit abnehmen...

Grüße, Stefan
Bitte warten ..
Mitglied: muhkow79
20.11.2014 um 21:19 Uhr
Danke für die vielen Hinweise.
Ich denke, dass ich jetzt erstmal einen LDAP-Server auf dem NAS aufsetze und dann alles weitere teste. Das passende Package ist auf dem Synology (welches genau müsste ich nachsehen) schon drauf. Dann wären die Freigaben wenigstens mit den gleichen Zugangsdaten abrufbar. Das ist schon ein Fortschritt.
Auf der Firewall habe ich heute mal FreeRADIUS installiert. Leider habe ich noch nicht ganz raus, wie ich den LDAP-Server angebunden kriege.

Ich werde jetzt mal ein wenig weiter probieren und bedanke mich schon mal für die ausführlichen Antworten.
Bitte warten ..
Mitglied: stefaan
20.11.2014 um 22:34 Uhr
Servus,

gut, dann viel Spaß beim Testen.
Auf der Firewall (pfsense?) musst du keinen freeradius installieren, der gehört aufs NAS und mit dem LDAP-Server verbunden.

Auf der pfsense stellst du dann unter Services -> Captive Portal -> Name des Portals -> Authentication "Radius Authentication" ein und befüllst IP, Port und shared secret.

Grüße, Stefan
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Server-Hardware
gelöst Domäne neu einrichten (5)

Frage von DerNeueITler zum Thema Server-Hardware ...

Router & Routing
gelöst WLAN AP einrichten aber ohne zweites Netzwerk (7)

Frage von NetNewbie zum Thema Router & Routing ...

Netzwerke
Windows Netzwerk einrichten (7)

Frage von Enel85 zum Thema Netzwerke ...

Windows Netzwerk
Client-Server-Netzwerk einrichten (5)

Frage von Elduderino zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...