18
Routerempfehlung für Wohnheim mit 150 Nutzern
Hallo!
Wir haben hier ein Wohnheim mit max. 150 Nutzern deren Mehrheit alle abends online gehen.
Alle Nutzer werden per Acces Point angebunden.
Adressvergabe erfolgt ohne Anmeldung per DHCP (Vorgabe von Heimleitung - Verwaltungsaufwand für Zugangsdaten zu hoch)
Bandbreite in k/bits: 102.400/5.120 (Down/Up)
Router soll können:
Gerechte Verteilung der Bandbreite auf alle Nutzer!
Zeitliche Begrenzung des Internets
Port-Sperrung
Seiten-Sperrung
Keyword-Sperrung
In nächster Zeit soll das Netz in 2 Segmente getrennt werden ---> Büro und Zimmer
Im Büro sollen keine Sperren greifen, in den Zimmern bzw. AP sehr wohl
Beide Netze sollen voneinnander isoliert sein bis auf einen Laserdrucker auf den beide Seiten zugreifen können.
Vorgabe Heimleitung: geringe Kosten
mfg
Mario
Wir haben hier ein Wohnheim mit max. 150 Nutzern deren Mehrheit alle abends online gehen.
Alle Nutzer werden per Acces Point angebunden.
Adressvergabe erfolgt ohne Anmeldung per DHCP (Vorgabe von Heimleitung - Verwaltungsaufwand für Zugangsdaten zu hoch)
Bandbreite in k/bits: 102.400/5.120 (Down/Up)
Router soll können:
Gerechte Verteilung der Bandbreite auf alle Nutzer!
Zeitliche Begrenzung des Internets
Port-Sperrung
Seiten-Sperrung
Keyword-Sperrung
In nächster Zeit soll das Netz in 2 Segmente getrennt werden ---> Büro und Zimmer
Im Büro sollen keine Sperren greifen, in den Zimmern bzw. AP sehr wohl
Beide Netze sollen voneinnander isoliert sein bis auf einen Laserdrucker auf den beide Seiten zugreifen können.
Vorgabe Heimleitung: geringe Kosten
mfg
Mario
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 173148
Url: https://administrator.de/contentid/173148
Printed on: April 24, 2024 at 23:04 o'clock
18 Comments
Latest comment
Ist das W-LAN schon vorhanden?
Als Router kann ich dir den Funkwerk bintec RS120 empfehlen.
http://www.funkwerk-ec.com/prod_bintec_rs120_main_de,101819,194.html
Mit der Option "Content Filter".
Als Router kann ich dir den Funkwerk bintec RS120 empfehlen.
http://www.funkwerk-ec.com/prod_bintec_rs120_main_de,101819,194.html
Mit der Option "Content Filter".
Keyword-Sperrung
Worüber reden wir hier?
Studentenwohnheim?
Katholisches Internat?
Schülerherberge?
Gerechte Verteilung der Bandbreite auf alle Nutzer!
das könnte kompliziert werden.Schau dir mal Fortigate 110C oder Fortigate 80C an.
FGs können auch Content nach Kategorie filtern/sperren zb P0rn. oder facebook (oder auch nur die fb-apps) weil:
Seiten-Sperrung
Keyword-Sperrung
das wir mit der Zeit ein bisschen zach Keyword-Sperrung
du musst schauen, dass die FW auch beim WebFilter min 100mbit schafft - sonst könnts ein bisschen fad werden
Wenn du dir die Preise bei Fortinet ansiehtst - bei FGs sind die User unbeschränkt und AV, IPS, WebFilter ist in den Jahreslizenzen inkludiert.
sg Dirm
Und nur nochmal der Nachfrage wegen der kryptischen Vorgabe was er können muss:
Wenn du die Güte hättest das noch etwas zu präzisieren können wir sicher auch einen maßgeschneiderten Vorschlag hier machen...
@Dirmhirn
Weighted Round Robin kann heute jeder Wurstrouter (oder sollte es zumindestens) die Verteilung der Bandbreite ist also kein Thema !
- Bandbreite 102,4 Mbit/s Download, 5,12 Mbit/s Upload
- Wirespeed und Packet Forwarding Rate bei NAT vermutlich mit der gleichen Bandbreite
- Port Sperrung ?? Was ist damit gemeint einfach die Abschaltung via Kommando (Telnet, SNMP etc) oder Security wie 802.1x ?
- Seiten Sperrung.... kannst du fast vergessen, das ist für einen "nur" Router ein KO Kriterium, dafür benötigst du eine Firewall Appliance !
- Keyword Sperrung ? Was soll das sein ?? Authentisierung via Web ? Captive Portal wie DAS hier oder ein simpler Proxy wie z.B. Squid mit Authentisierung ??
Wenn du die Güte hättest das noch etwas zu präzisieren können wir sicher auch einen maßgeschneiderten Vorschlag hier machen...
@Dirmhirn
Weighted Round Robin kann heute jeder Wurstrouter (oder sollte es zumindestens) die Verteilung der Bandbreite ist also kein Thema !
Schau dir mal RouterOS an, das kannst du auf einen Potenten Rechner Installieren und sogar einen Proxy mit einrichten.
Gruß michael
Gruß michael
Danke erstmal für die Antworten ...
Die Antworten auf die Fragen:
Es handelt sich um eine Schülerherberge ...
WLAN ist bereits vorhanden, wurde von den Schülern vor Monaten mit Linksys WAP54G AP's aufgebaut. 5 Stück verteilt auf das Gebäute.
Diese hängen über einen Switch auf einen Netgear WNR 2000 Router. Neu hinzugekommen sind jetzt das Büro, welches isoliert sein soll, und um einiges mehr Schüler. Vor dem Zuwachs der Schüler ist die Sache so halbwegs gelaufen. Die Bandbreite des Internetzugangs wurde bereits auf die oben genannten erhöht. Weiter soll auf einen Netzwerkdrucker (und nur diesen) aus beiden Segmenten, Schüler und Büro, zugegriffen werden können.
Mit Key-Word Sperrung meinte ich ---> Seiten mit bestimmten Stichwörtern oder Domainnamen sperren
Statt Port Sperrung sollte ich besser sagen: Dienste Sperren wie FTP, Telnet usw .
Werde mir jetzt mal die geposten Links und Fachbegriffe anschauen, danke.
Mario
Die Antworten auf die Fragen:
Es handelt sich um eine Schülerherberge ...
WLAN ist bereits vorhanden, wurde von den Schülern vor Monaten mit Linksys WAP54G AP's aufgebaut. 5 Stück verteilt auf das Gebäute.
Diese hängen über einen Switch auf einen Netgear WNR 2000 Router. Neu hinzugekommen sind jetzt das Büro, welches isoliert sein soll, und um einiges mehr Schüler. Vor dem Zuwachs der Schüler ist die Sache so halbwegs gelaufen. Die Bandbreite des Internetzugangs wurde bereits auf die oben genannten erhöht. Weiter soll auf einen Netzwerkdrucker (und nur diesen) aus beiden Segmenten, Schüler und Büro, zugegriffen werden können.
Mit Key-Word Sperrung meinte ich ---> Seiten mit bestimmten Stichwörtern oder Domainnamen sperren
Statt Port Sperrung sollte ich besser sagen: Dienste Sperren wie FTP, Telnet usw .
Werde mir jetzt mal die geposten Links und Fachbegriffe anschauen, danke.
Mario
Nun, dann kann der bintec eigentlich alles was du brauchst - vlans gehen auch problemlos, du kannst sogar falls der Bedarf noch größer wird mehrere Internetverbindungen benutzen.
Und bei Internetpreisen von 180€ ist es auch eine relativ günstige Lösung.
Und bei Internetpreisen von 180€ ist es auch eine relativ günstige Lösung.
@102534
Hab mir mal den RS120 angeschaut.
Gibt es einen Link zu einem Test Web-GUI?
Auf der Amazon Rezensionseite steht:
"Um meine Kinder vor dem 24h surfen zu bewahren wollte ich auch die Funktion des Routers nutzen eine Schnittstelle für einen definierten Zeitraum zu deaktivieren. Das Deaktivieren hat auch hervorragend funktioniert, das Aktivieren leider nicht."
Ist das Problem noch aktuell?
Zur Content Filterung hab ich nur: "Content Filtering ist kostenpflichtig" gefunden.
Gibt es da mehr Informationen dazu?
Mario
Hab mir mal den RS120 angeschaut.
Gibt es einen Link zu einem Test Web-GUI?
Auf der Amazon Rezensionseite steht:
"Um meine Kinder vor dem 24h surfen zu bewahren wollte ich auch die Funktion des Routers nutzen eine Schnittstelle für einen definierten Zeitraum zu deaktivieren. Das Deaktivieren hat auch hervorragend funktioniert, das Aktivieren leider nicht."
Ist das Problem noch aktuell?
Zur Content Filterung hab ich nur: "Content Filtering ist kostenpflichtig" gefunden.
Gibt es da mehr Informationen dazu?
Mario
Hallo,
ja - ist kostenpflichtig. 30 Tage zum testen ist inklusive - mehr gibts mit Lizenz (es gibt auch VPN Lizenzen).
Nein - es funktioniert alles. Es liegt nur daran das die Konfigurationsmöglichkeiten sehr groß sind und das ganze eben nichts für den Heimgebrauch ist. Man kann so ein Gerät halt nicht mit einem Speedport oder so vergleichen.
Schau dir nur mal die Funktionen an:
http://www.funkwerk-ec.com/prod_bintec_rs120_main_de,101819,194.html
Wenn man sich etwas auskennt kann man problemlos alles konfigurieren.
Grüße
Sebastian
P.S.: Den bintec kannst du dir auch bei Amazon direkt kaufen - teste einfach mal ob du damit klar kommst (hast ja 30Tage Rückgaberecht)
ja - ist kostenpflichtig. 30 Tage zum testen ist inklusive - mehr gibts mit Lizenz (es gibt auch VPN Lizenzen).
Nein - es funktioniert alles. Es liegt nur daran das die Konfigurationsmöglichkeiten sehr groß sind und das ganze eben nichts für den Heimgebrauch ist. Man kann so ein Gerät halt nicht mit einem Speedport oder so vergleichen.
Schau dir nur mal die Funktionen an:
http://www.funkwerk-ec.com/prod_bintec_rs120_main_de,101819,194.html
Wenn man sich etwas auskennt kann man problemlos alles konfigurieren.
Grüße
Sebastian
P.S.: Den bintec kannst du dir auch bei Amazon direkt kaufen - teste einfach mal ob du damit klar kommst (hast ja 30Tage Rückgaberecht)
Es handelt sich um eine Schülerherberge ...
Dann wirst du um einen echten Proxy, der für Schulen konzipiert ist nicht herum kommen.
Und da gibt es nur wenige, wie Time for Kids.
@dog
Danke für den Tipp. Ein eigener Proxy kommt aus Kostengründen leider nicht in Frage.
@102534
Hab jetzt mal das Handbuch überflogen. Sieht ganz gut aus. Die Lizenz für den
Content-Filter brauchen wir glaub ich nicht unbedingt. Es geht nur darum Webseiten die viel Traffic
produzieren (z.B.: Youtube, diverse Sexportale) zu blockieren. Das müsste auch ohne Lizenz funktionieren, oder?
Was mir etwas sorgen bereitet ist der Netzwerkdrucker der aus allen Netzen erreichbar sein soll?
Geht das mit dem Teil?
Mario
Danke für den Tipp. Ein eigener Proxy kommt aus Kostengründen leider nicht in Frage.
@102534
Hab jetzt mal das Handbuch überflogen. Sieht ganz gut aus. Die Lizenz für den
Content-Filter brauchen wir glaub ich nicht unbedingt. Es geht nur darum Webseiten die viel Traffic
produzieren (z.B.: Youtube, diverse Sexportale) zu blockieren. Das müsste auch ohne Lizenz funktionieren, oder?
Was mir etwas sorgen bereitet ist der Netzwerkdrucker der aus allen Netzen erreichbar sein soll?
Geht das mit dem Teil?
Mario
Es geht nur darum Webseiten die viel Traffic produzieren (z.B.: Youtube, diverse Sexportale) zu blockieren.
Willst du die Adressen dann immer manuell eintragen?Was mir etwas sorgen bereitet ist der Netzwerkdrucker der aus allen Netzen erreichbar sein soll.
Das geht mit jedem router mit vollwertiger firewall und routing funktion. Dem drucker musst nur eine fixe IP zuordnen und den Zugriff auf diese IP für die Clients aus dem anderen Netz erlauben.Schlag min ein Gerät Leistungstechnisch 1-2 stufen höher vor - wenn sie es runter setzen hast zumindest die mindestanforderungen erfüllt und ”Geld gespart” - wenn sie das bessere genehmigen - müsst ihr in einem Jahr kein neues kaufen...
z.B.: Inetpreise fallen und ihr habt dann 100Mbit symmetrisch.
@aqui - wusst ich gar nicht, muss ich mir mal ansehen.
Sg Dirm
Die kleine Lösung um das zu integrieren und schon vorhandene Komponenten sinnvoll weiter zu nutzen ohne teure Neuanschaffung ist dann z.B. sowas hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Da hast du aber erstmal nur das Netzwerk getrennt und kannst wasserdicht das Büro absichern gegen das Schülernetz.
Nebenbei fällt dann nochwas wie ein Hotsport für das Schüler WLAN ab um kein Scheunentor WLAN betreiben zu müssen ala:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
und ebenso ein VPN Zugang fürs Büro bzw. remote Büro Mitarbeiter und Fernwartung.
Über das CP bzw. Schülernetz kannst du auch den Zugriff auf bestimmte Dienste und Ziele beschränken und zudem mitprotokollieren wer was macht um strafrechtlich abgesichert zu sein.
Eine kompletten URL Schutz und Filter wirst du bei der Größe aber nur sinnvoll mit einer externen Proxy Appliance hinbekommen wie dog richtig bemerkt.
Einen vollständigen Proxy im Router gibt es nirgendwo, denn dafür ist erheblich Rechenpower und Speicher (Cache) notwendig.
Alles andere was embedded in Routern usw. ala "Fritzbox Kindersicherung" ist skaliert nicht bei deiner Anzahl der Benutzer und lässt sich zudem noch im Handumdrehen aushebeln.
Du musst also irgendwie den Mittelweg gehen....
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Da hast du aber erstmal nur das Netzwerk getrennt und kannst wasserdicht das Büro absichern gegen das Schülernetz.
Nebenbei fällt dann nochwas wie ein Hotsport für das Schüler WLAN ab um kein Scheunentor WLAN betreiben zu müssen ala:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
und ebenso ein VPN Zugang fürs Büro bzw. remote Büro Mitarbeiter und Fernwartung.
Über das CP bzw. Schülernetz kannst du auch den Zugriff auf bestimmte Dienste und Ziele beschränken und zudem mitprotokollieren wer was macht um strafrechtlich abgesichert zu sein.
Eine kompletten URL Schutz und Filter wirst du bei der Größe aber nur sinnvoll mit einer externen Proxy Appliance hinbekommen wie dog richtig bemerkt.
Einen vollständigen Proxy im Router gibt es nirgendwo, denn dafür ist erheblich Rechenpower und Speicher (Cache) notwendig.
Alles andere was embedded in Routern usw. ala "Fritzbox Kindersicherung" ist skaliert nicht bei deiner Anzahl der Benutzer und lässt sich zudem noch im Handumdrehen aushebeln.
Du musst also irgendwie den Mittelweg gehen....
@zesniper
Wenns das war oder kein weiteres Interesse mehr besteht dann bitte auch
How can I mark a post as solved?
nicht vergessen !
Wenns das war oder kein weiteres Interesse mehr besteht dann bitte auch
How can I mark a post as solved?
nicht vergessen !
bin noch dabei, wird aber dann erledigt ...
Mario
Mario
ich hab mir jetzt mal die M0n0wall auf einen alten P4 mit 3 Netzwerkkarten und USB Stick installiert ... mal testen ...
Mario
Mario
wie kann ich denn in der M0n0wall bestimmte Ziel wie youtube.de usw. im CP sperren?
Habe gerade gelesen ist gibt eine eine neue Version von pfSense, die 2.0er, ist Diese für mich die bessere Wahl?
Mario
Habe gerade gelesen ist gibt eine eine neue Version von pfSense, die 2.0er, ist Diese für mich die bessere Wahl?
Mario
... so ich hab mir jetzt mal pfSense installiert und als Package squid ... und weiter testen ...
Mario
Mario
