WLAN / LAN mit VLAN

[Moschi76 11]

Hallo werte Forengemeinde, ich steht hier von einer grundsätzlichen Frage, wie ich ein Szenario wie folgt, am besten löse.

 

Firewall --> Sophos XG

LAN1 Verwaltung: 10.0.0.1/24

LAN2 Produktion: 10.10.0.1/24

 

Nun sollen mehrere WLANs erstellt werden und zwar.

 

WLAN Verwaltung
WLAN Produktion

WLAN Gast

 

Nun könnte ich das gesamte WLAN über DHCP über die Sophos einrichten und halt ein paar Firewallregeln mehr pflegen, oder über VLANs einrichten.

 

In der Produktion steht auch das Verwaltungs WLAN zur Verfügung und umgekehrt.

 

Nun, wenn ich alles über die Sophos regle, müsste ich ein paar Firewallregeln mehr bauen. Wenn ich es mit VLANs mache, müsste ich halt für die Produktion ein VLAN Tag z.B. 100 nehmen und dem AP und der Sophos am Port auch die 100 geben. DHCP könnte ich dann von der Sophos an den DC vom Produktionsnetz durchreichen und bekomme so eine IP aus dem Produktionsnetz ohne das ich eine zusätzliche FW Regel bräuchte um den Datenverkehr von WLAN nach LAN Produktion zu regeln, oder?

 

Was wäre sinniger oder gibts noch eine andere Idee?

 

Grüße Martin

[monstermania 53]

Tja,

diese Frage kannst wohl nur Du beantworten, da keiner von uns Eure Anforderungen kennt.

Das ist grundsätzlich immer eine Entscheidung zwischen 'Einfacher' und 'Sicherer'. Wenn Du das jeweilige WLAN direkt in das Netz schaltest ist es halt einfacher zu konfigurieren. Aber, wenn dann Jemand das WLAN hackt, hängt er dann auch komplett im jeweiligen Netz und alle alles Zugriffsmöglichkeiten. Wenn Du die WLAN über die FW in die jewiligen Netze hängst hast Du halt über die FW noch Möglichkeiten die Zugriffe auf bestimmte Ressourcen zu beschränken. Mehr Aufwand, aber eben auch mehr Sicherheit.

 

Gruß

Dirk

 

[Squire 261]

ich würde auf alle Fälle das Gast Wifi komplett über die Sophos machen. Erstens brauchst Du Dich nicht um irgendwelche CALs kümmern (brauchst Du, wenn Gäste auf den Windows DHCP/WINS/DNS zugreifen)

2. Haben Gäste in den internen Netzen nix verloren

3. Produktionsnetz (LAN&Wifi) würde ich mir auch Gedanken machen, welche Clients auf Resourcen im Verwaltungsnetz zugreifen müssen (normalerweise keine) ... also über die Sophos regeln. Auch hier bist Du dann bzgl. CALs sauber

 

Hinweis: Jedes Gerät, welches irgendwelche Windows Serverdienste nutzt braucht eine CAL - es sei denn, es ist fest einem User zugeordnet und Du hast User CALs. Wenn Du Abteilungs MFPs z.B. im Einsatz hast, dann brauchst Du für solche Geräte eine Device CAL 

[Dukel 454]

4 minutes ago, Squire said:

Hinweis: Jedes Gerät, welches irgendwelche Windows Serverdienste nutzt braucht eine CAL - es sei denn, es ist fest einem User zugeordnet und Du hast User CALs. Wenn Du Abteilungs MFPs z.B. im Einsatz hast, dann brauchst Du für solche Geräte eine Device CAL 

So stimmt das nicht ganz.

Wenn jeder, der das Gerät nutzt eine User CAL zugewiesen hat, braucht es nicht extra einen Geräte CAL.

[lefg 276]

Moin

 

Vll. sollte man sich das Zeug von HPE (Aruba) mal anschauen.

 

https://www.hpe.com/de/de/networking/access-points-controllers.html

 

Bei uns hatten auch die WLAN-Geräte der Verwaltung nichts mit DHCP von MS-Servern zu tun. Mit einemm Centre WLAN-Controller sind beliebige WLANS definierbar, auch auf welche AP diese wirken, und welche Benutzer/Gruppen Zugriff auf welches WLAN. Die Positionen der APs wurden vorher ausgeleuchtet. Ausgeführt wurde die Montage der der AP und Verlegung der Kabel von einer Fachfirma. Die hat auch das Konzept erarbeitet und vorgeschlagen. Das ist nun einige Jahre her, ich bin inzwischen in Rente und habe die Bezeichnungen der Geräte nicht mehr present.

 

Der Centre Controlle war auch ein Router und eine Bridge, erlaubte VLANs, soll der letzte seiner Art vom Lager gewesen, danach ein neuer Typ.

 

Nochmals, die AP waren Layer 2, wurden nicht konfiguriert, keine IP-Verwaltung drauf, kein DHCP und was sonst die APs fü SoHo und Home haben.

bearbeitet 2. September 2020 von lefg