Wlan-Infrastruktur schaffen



  • Wir bekommen in den nächsten Wochen (sofern es der Winter zulässt) eine schnelle Internetleitung ins Gemeindehaus gelegt. Diese Aussicht motiviert uns gerade, unsere Netzwerk-Struktur in ein neues, hoffentlich "ordentliches" Level zu befördern.
    Momentan haben wir eine FritzBox, die ein "internes" Netz und das Gäste-WLan anbietet. Aus Mangel an feinerer Abschottungsmöglichkeit betreiben wir die Ton-Technik, das Gemeindebüro, die Heizungsautomation, usw. im "internen Netz" und jeder andere, der mal ins Internet muss, bekommt den Gäste-Wlan-Schlüssel.
    Für die Zukunft möchten wir gerne mehrere (WLan-)Netze aufspannen, am liebsten den Zugang dazu (auch) über ldap -> ChurchTools regeln und dachten uns, dass es doch bestimmt schon Gemeinden gibt, die damit Erfahrung haben.

    Wonach sollten wir als erstes googeln, wenn wir uns nach entsprechender Hardware umschauen wollen? Worüber könnten wir die Authentifizierung laufen lassen - gerade wenn das Fernziel tatsächlich RADIUS heißen soll? Auf was ist zu achten, wenn man nicht einfach von allem das Teuerste kaufen will?
    Wie sieht bei euch das Setup aus?



  • Da das Thema mal ziemlich weit gefasst ist, will ich nur ein paar Kommentare einwerfen:

    • mehrer Netze heißt zwangsläufig auch die Frage zu stellen, wie man diese Abschottung administriert. Hier müsst ihr also auch an eine Firewall denken. Je nach Größe des abzudeckenden Areals sind evtl. dann auch mehrer Access Points notwendig. Sollte das der Fall sein, muss euer Switch sehr wahrscheinlich VLAN fähig sein.
    • RADIUS mit Nutzername und Passwort hat aus Sicherheitssicht seinen Beigeschmack. Wer hier nicht 100% weiß was er macht, hat evtl. im Netzwerkverkehr leicht zu knackende Verschlüsselungen. Gerade wenn das dann über WLAN läuft, bekommt man doch mehr Reichweite als man möchte.

    Abgesehen von diesen Punkten noch ein paar Tips:

    • Wenn ihr das ganze mit Radius als Fernziel machen wollt, heißt das Stichwort "WPA2 Enterprise".
    • Accesspoints auf OpenWRT Basis können evtl. auch die Funktion des Radius Servers übernehmen.
    • Evtl. wäre es auch eine Option das WLAN zu öffnen und an der Firewall mit einem Captive Portal abzufangen (und das verwendet dann einen LDAP Login)

    Wir haben das seit ein paar Monaten so gelöst, das (Medien-)Technik über ein Passwort abgesichert ist. Gemeindebüro hat ein zweites WLAN mit eigenem Passwort. Der Gastzugang ist über Freifunk gelöst und offen. Interne Geräte (Vergleichbar mit eurer Heizungssteuerung) sind aus dem (Medien-)Technik Netz erreichbar, nachdem man sich an der Firewall angemeldet hat.



  • Wir haben bei uns inzwischen sehr zufrieden die Ubiquiti Networks Geräte Unifi im Einsatz. Als notwendig definiert wurde bei uns: das Unifi Gateway (einfacher Router zum managen der VLANs und VPN-Zugänge), der Unifi Controller (zur allgemeinen Administration; läuft bei uns am Gemeinde-NAS) und die Unifi Access-Points (hängen überall dort im Gemeindehaus wo man ein gutes Netzwerk braucht).

    Zusätzlich haben wir uns noch einen Unifi-Switch gegönnt, der dann die AccessPoints auch gleich mit PoE versorgt und wir uns die Netzteile an den AccessPoints sparen können. Alle anderen LAN-Dosen hängen aber an einem normalen Netgear-Switch.

    Das schöne an der Geschichte ist die Einfachheit der Administration und das wirklich sehr professionelle Hotspot-Interface. Hier mal ein Youtube-Link zum reinschnubbern in den mächtigen Controller:
    https://www.youtube.com/watch?v=2Mo4FjQAEuk



  • Ganz lieben Dank für die Rückmeldungen!!!
    Mit Uniquiti und OpenWRT habe ich zwei super Schlagwörter, mit denen wir uns weiter beschräftigen können, um mal genau zu überlegen, was wir wollen, brauchen und dann evtl. auch können.
    Danke dafür!



  • Mit Uniquiti ist man schon ganz gut unterwegs. Alternativ dazu kann ich noch Mikrotik empfehlen. Die sind vom Preis-Leistungs-Verhältnis unschlagbar. Damit kann man so ziemlich alles machen was man sich in der Netzwerkwelt vorstellen kann. Von kleinen bis zu ganz große netzen. Man hat keine Weboberfläche und am Anfang ist es ein wenig Gewöhnung bedürftig. Gibt aber inzwischen viele Tutorials auf YouTube.


Log in to reply