Hallo Leute,

ich habe einen Lancom L-305agn Access Point und foldendes Problem:

In einem Firmennetzwerk soll ein Access Point implementiert werden, der per WLAN erreichbar sein soll.

Dabei soll es der Fall sein, dass es zwei Gruppen mit verschiedenen Rechten gibt. Ein Netz soll für die internen Mitarbeiter sein, welche sich mit ihrem Domänen-Account anmelden sollen und eine für Kunden, welche schnellstmöglich einen Internetzugang brauchen.

Wisst ihr zufällig, wie man das realisieren kann? Eine Möglichkeit wäre es, mit Multi-SSIDs zu hantieren. Außerdem kann man es mit VLANs lösen.

Habt ihr eine Idee?

Danke im Voraus!

Da würde mir spontan ersteinmal nur einfallen, zwei unterschiedliche (Sub)Netze zu verwenden und den Gastrechnern ihre IP-Adresse per DHCP verteilen zu lassen.

Was hast du denn für Geräte zur Verfügung? Nur mit dem AP wirst du da was vlans angeht wohl absolut nichts machen können, da er, wenn ich das richtig gesehen habe, kein 802.1q unterstützt. Wenn du vlans nutzen willst, dann müssen die Geräte das unterstützen...

Multi-SSID... hmmm... kann das der AP überhaupt? Habe ich nichts zu gefunden.

Hallo Crash2001,

Da würde mir spontan ersteinmal nur einfallen, zwei unterschiedliche (Sub)Netze zu verwenden und den Gastrechnern ihre IP-Adresse per DHCP verteilen zu lassen.

Was hast du denn für Geräte zur Verfügung? Nur mit dem AP wirst du da was vlans angeht wohl absolut nichts machen können, da er, wenn ich das richtig gesehen habe, kein 802.1q unterstützt. Wenn du vlans nutzen willst, dann müssen die Geräte das unterstützen...

Multi-SSID... hmmm... kann das der AP überhaupt? Habe ich nichts zu gefunden.

anfänglich möchte ich mich erstmal für deinen Tipp bedanken.

Die Trennung der beiden Gruppen durch verschiedene Subnetze ist eine gute Alternative, aber mit Sicherheit nicht die beste Lösung.

Ich habe als weitere Alternativen noch folgendende anzubieten:

- Erstellung mehrerer SSIDs (durch Multi-SSID)

- Regelung mit Protokollfiltern zu VLANs, wobei die restliche Infrastruktur eine Rolle dabei spielt

Ich habe dir anhänglich einen Link zur Seite des Produkt geschickt, damit Du dich davon überzeugen kannst, dass das Gerät die Funktionen unterstützt.

http://www.lancom-systems.de/LANCOM-L-305agn-Wireless.876+M5f1f56d8d1d.0.html

Liebe Grüße

Bearbeitet 6. März 200917 j von Kochi007

Oooh - na gut, wenn er vlan kann, dann sollte das ja kein Problem sein, das zu trennen. Kann den Link leider nicht aufrufen von hier, da sie anscheinend im Proxy gesperrt ist.

Dann kannst du ja die beiden WLANs je in ein vlan stecken, auf einen L3-Switch oder Router gehen und dort dann abhängig vom vlan entsprechend routen und Access-Listen setzen.

Alle zum Surfen ins selbe Netz, und von dort die Mitarbeiter via VPN ins Firmennetz?

tsg

Hallo Crash2001,

Oooh - na gut, wenn er vlan kann, dann sollte das ja kein Problem sein, das zu trennen. Kann den Link leider nicht aufrufen von hier, da sie anscheinend im Proxy gesperrt ist.

Dann kannst du ja die beiden WLANs je in ein vlan stecken, auf einen L3-Switch oder Router gehen und dort dann abhängig vom vlan entsprechend routen und Access-Listen setzen.

danke für den guten Tipp!

Ich werde mal schauen, wie ich es am besten realisieren kann.

Liebe Grüße

Hallo truebsalgeblaese,

Alle zum Surfen ins selbe Netz, und von dort die Mitarbeiter via VPN ins Firmennetz?

tsg

so war das nicht gedacht, und deswegen werde ich das auch nicht so realisieren.

Trotzdem danke für deinen Tipp!

Liebe Grüße

Also ich hab hier mit einem D-Link DAP-1353 ein Multi-SSID AP im VLAN-Betrieb.

Eine SSID für Gäste, eine SSID für Mitarbeiter via VLAN.

Am Switch an dem der AP hängt ist ein Port im VLAN der Gäste-SSID, an dem dann eine Monowall mit seiner "Intern" Schnittstelle hängt. In das VLAN macht er DHCP und stellt den Zugriff ins Internet bereit (in meinem Fall mit Authentifizierung über ein Captive Portal gegen einen Microsoft Radius Server [iAS]). Die "Extern"-Schnittstelle der Monowall führt zurück ins normale Netzwerk, wo auch der Radiusserver und die Firewall, samt Webfilter, stehen und den eigentlichen Internetzugang bereit stellen.

Die Mitarbeiter-SSID hat direkt Standard-VLAN-Tag und führt stumpf ins normale Netzwerk. Probleme treten relativ selten auf. Wenn dann höchstens das ein Notebook die W-LAN-Schnittstelle nicht rechtzeitig verbunden hat, bevor der User an der Domäne anmelden will. (wenn ich recht überlege tritt das relativ häufig auf...)

Hallo bjoeki,

Also ich hab hier mit einem D-Link DAP-1353 ein Multi-SSID AP im VLAN-Betrieb.

Eine SSID für Gäste, eine SSID für Mitarbeiter via VLAN.

Am Switch an dem der AP hängt ist ein Port im VLAN der Gäste-SSID, an dem dann eine Monowall mit seiner "Intern" Schnittstelle hängt. In das VLAN macht er DHCP und stellt den Zugriff ins Internet bereit (in meinem Fall mit Authentifizierung über ein Captive Portal gegen einen Microsoft Radius Server [iAS]). Die "Extern"-Schnittstelle der Monowall führt zurück ins normale Netzwerk, wo auch der Radiusserver und die Firewall, samt Webfilter, stehen und den eigentlichen Internetzugang bereit stellen.

Die Mitarbeiter-SSID hat direkt Standard-VLAN-Tag und führt stumpf ins normale Netzwerk. Probleme treten relativ selten auf. Wenn dann höchstens das ein Notebook die W-LAN-Schnittstelle nicht rechtzeitig verbunden hat, bevor der User an der Domäne anmelden will. (wenn ich recht überlege tritt das relativ häufig auf...)

danke für deinen Vorschlag. Ich werde mir die Sache mal genauer überlegen und einen Entschluss fassen.

Liebe Grüße

Laut Herstellerseite unterstützt der AP Multi-SSID´s und VLAN´s (wahrscheinlich 802.1q). Dh. du trennst auf Layer1 anhand der SSID und auf Layer2 anhand der VLAN´s.

Bsp.:

SSID1 VLAN-Tag 10

SSID2 VLAN-Tag 20

Auf Layer3 anhand von Subnetting und ACL´s. Solltest du getrennte Routingtabellen für die beiden Netze benötigen muss dein Router VRF´s unterstützen.

PS: Bitte nicht das Native-VLAN (in der Regel als VLAN1 oder Default-VLAN bekannt) für eines der Subnetze benutzen