freakazoid 10 Geschrieben 23. Februar 2006 Melden Teilen Geschrieben 23. Februar 2006 Hallo! Wir würden gerne bei uns in der Firma ein Wlan für Besucher einrichten. Firewall ist vorhanden. Welche Lösungsansätze habt ihr da? Wer hat sowas schon in seiner Firma realisiert? Die Besucher sollen ohne viel Aufwand und unabhängig vom Betriebssystem den Internetzugang ohne Einschränkungen benutzen können. Ein Port der beiden Netzwerkkarten der Firewall wurde schon entsprechend konfiguriert. Ich bin mir nur noch nicht schlüssig wie ich einen komfortablen Zugang ermögliche. Immer wieder sind nämlich Besucher genervt, weil sie einen Key eingeben müssen und die Mac-Adresse im Router eingepflegt werden muss. Ich will aber auch nicht, dass jeder Außenstehende über unsere Internetverbindung nach draußen kann. Zitieren Link zu diesem Kommentar
bergesel 10 Geschrieben 23. Februar 2006 Melden Teilen Geschrieben 23. Februar 2006 hallo ich denke, dass mit den key ist nicht unumgänglich. oder du erstellst nur die mac-adressen im ap ohne verschlüsselung. so können "nur" bekannte surfen. gruss Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 23. Februar 2006 Melden Teilen Geschrieben 23. Februar 2006 Ob die MAC-Filterung wirklich sinnvoll ist, sei mal dahin gestellt. WEP ist in wenigen Minuten geknackt und sollte nicht mehr verwendet werden. Ansonsten gibt es auch Password/Zertifikat-basierende Lösungen, die dann aber auch wieder spezille Software auf dem Laptop erfordern. Einige der Lösungen funktionieren wohl mit dem WPA2-Patch zum SP2 von XP . -Zahni Zitieren Link zu diesem Kommentar
MacBoon 10 Geschrieben 23. Februar 2006 Melden Teilen Geschrieben 23. Februar 2006 Hallo, das klingt wieder nach einer Mischung von maximal/minimal-Prinzip. Hab mal in BWL gelernt, das währe unmöglich. Irdenwo muß man sich schon entscheiden maximale Sicherheit oder minimaler Aufwand. Das Thema klint aber interresant. Wäre schön wenn du deine Lösung posten würdest. (wir haben ein komplett offenes Wlan ohne Verbindung zur Außenwelt, bei Bedarf kann jedoch ein VPN-Zugang beantragt werden: nur zum Internet=Externe Intranet+Internet= Mitarbeiter aber ohne administratvive Aufwand stelle ich mir Sicherheit schwierig vor) Gruß MacBoon Zitieren Link zu diesem Kommentar
CoolAce 17 Geschrieben 23. Februar 2006 Melden Teilen Geschrieben 23. Februar 2006 Hy ich würde einfach (falls du managed Switches mit VLAN Unterstützung hast) 2 VLANs machen eins fürs normale User Netz und eins entsprechend für die Gäst ohne Authentifizierung und der gleichen. Der Zugang der gäste wird ja eh ins Gebäude gewissermassen kontrollieren, ansonten würd ich halt den Access Point so positionieren das er nur kontrolliert erreichbar ist Gruß CoolAce Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 23. Februar 2006 Melden Teilen Geschrieben 23. Februar 2006 Schau mal beim Cable Guy vorbei: http://www.microsoft.com/windowsserver2003/technologies/networking/wifi/default.mspx -Zahni Zitieren Link zu diesem Kommentar
s.k. 11 Geschrieben 23. Februar 2006 Melden Teilen Geschrieben 23. Februar 2006 Hallo freakazoid, ...ein Wlan für Besucher... Die Besucher sollen ohne viel Aufwand und unabhängig vom Betriebssystem den Internetzugang ohne Einschränkungen benutzen können. ...Immer wieder sind nämlich Besucher genervt, weil sie einen Key eingeben müssen und die Mac-Adresse im Router eingepflegt werden muss. Ich will aber auch nicht, dass jeder Außenstehende über unsere Internetverbindung nach draußen kann.Dann lass das WLAN komplett ungeschützt und sorge nur dafür, dass sich der User vor dem ersten Zugriff auf das Internet per Webformular authentifizieren muss. Dies kann man mit einem sog. Captive Portal realisieren. Der User kann sich dann mangels diesbezüglicher Sicherheitsvorkehrungen zwar frei mit dem WLAN verbinden, kann aber zunächst nicht ins Internet (mit keinem Protokoll - nicht nur http/s). Beim ersten Zugriff per Browser bekommt er statt der Zielseite eine selbst gefertigte Anmeldeseite zu Gesicht, auf der er erstmal einen von Dir mitgeteilten Benutzernamen und Passwort angeben muss (diese Seite sollte natürlich ssl-verschlüsselt sein). Sind diese Angaben korrekt, wird er automatisch auf die eigentliche Zielseite weitergeleitet oder - je nach gewünschter Konfig - auch erst mal auf eine Intranetseite (z.B. mit rechlichen Hinweisen/Nutzungsbedingungen). Hat sich der User erstmal authentifiziert, ist seine Kombination aus IP-Adresse und MAC-Adresse solange freigeschaltet, bis entweder ein (konfigurierbares) Idle-Timeout oder ein anderer Trennungsgrund auftritt. So ist es selbstverständlich möglich, die Gültigkeit von Accounts zeitlich zu begrenzen (z.B. Tagesauccounts?). Professionelle Lösungen sollten auch die Vergabe von Zeit- oder Volumenlimits erlauben. Schau Dich diesbezüglich mal bei spezieller Hotspot-Hardware um! Wenn das Budget knapp ist, tut es aber auch ein normaler SOHO-AP an einer M0n0wall. Die Authentifizierung erfolgt entweder gegenüber der "lokalen" Benutzerdatenbank der M0n0wall oder aber gegenüber einem Radius-Server. Dies könnte z.B. der IAS von Microsoft sein, welcher dann aufs AD zugreift. Das ganze Konstrukt in einer DMZ der Unternehmens-Firewall platziert und sauber beregelt, ergibt hoffentlich genau das, was Du gesucht hast... ;) Gruß Steffen Zitieren Link zu diesem Kommentar
sisifus 10 Geschrieben 23. Februar 2006 Melden Teilen Geschrieben 23. Februar 2006 eine sehr einfache Lösung wäre ein Router, der das Internetsignal Y-förmig aufteilt: eins zum Firmennetz, eins zum AP. Kannst sogar in beiden Netzen wenn Du willst die gleichen IP-Adressen nehmen, stört sich nicht - absolut unmöglich von einem in das andere netz zu kommen. Theoretisch brauchst Du dann noch nicht mal eine weitere Absicherung mit WEP, WPA oder Mac-Adresse. Zitieren Link zu diesem Kommentar
Tobikom 10 Geschrieben 23. Februar 2006 Melden Teilen Geschrieben 23. Februar 2006 Hallo, wie s.k. bereits geschrieben hab würde ich auch mit einem Captive Portal arbeiten. So machen das auch fast alle professionalen Hotspot-Betreiber. Über einen seperaten Port an der Firewall kannst du den Zugang zum Internet entsprechend konfigurieren. Evtl ein transparenten Proxy zur Webseiten Filterung. Für Mitarbeiter wäre dann ein Zugang über VPN zum Firmennet konfigurierbar. Ich würde sagen die beste und sicherste Lösung. Grüße Tobias Zitieren Link zu diesem Kommentar
maxfrankfurt 10 Geschrieben 5. April 2006 Melden Teilen Geschrieben 5. April 2006 Hallo, also habe einige Zeit in Hotels WLAN implementiert und kenne das Problem. Also die wirklich einfachste aber nicht eleganteste Lösung ist ein zweiter DSL Anschluss. Dort einfach einen Hotspot Router aufstellen und fertig. Wenn es denn etwas eleganter sein soll wäre folgendes von Interesse WLAN-Hotspot Router eine Option wäre die auf SourceForge mit einem Liksys: http://sourceforge.net/projects/hotspot-zone Wegen der Sicherheit beim Router folgende Einstellungen vornehmen: - Client to Client Verbindungen übers WLAN aus - Man kann bei einigen Linksys auch ein VPN einrichten. Für eure Gäste erstellt ihr dann VPN Nutzer auf dem Router. Die "on air" Verbindung zwischen Laptop und AP / Router ist somit verschlüsselt. oder einen WLAN Gateway einsetzen: http://sourceforge.net/projects/wlan-gateway noch etwas zur Sicherheit jenachdem wieviele Nutzer (Gäste) ihr habt und wenn es über mehrere Standorte hinweg geht ist ein Radius Server eventuell hier auch von Interesse aber er muss gewartet werden und die Einrichtung ist nicht ganz ohne. Alles in allem kommt es auf folgende Merkmale an: a) welche Fläche soll ausgeleuchtet werden b) besteht ein WLAN c) bisherige Server / Firewalls d) Anzahl der WLAN Nutzer e) Billing ja / nein f) nicht vpn fähige Endgeräte im WLAN ? Zitieren Link zu diesem Kommentar
goscho 11 Geschrieben 5. April 2006 Melden Teilen Geschrieben 5. April 2006 Hallo auch, ich habe eine sehr einfache Lösung für das Problem. AVM bietet Stick&Surf zu seinen (besseren) FritzBoxen mit WLAN an. Hier richtest du einfach, z.B. eine FritzBox3070 mit Fritz WLAN USB Sticks ein. Diese müssen nur in die Box gesteckt werden und können dann vom Benutzer zum Surfen genutzt werden. Die Sticks speichern alle nötigen Einstellungen, wie SSID und WPA-Schlüssel. Ob du jetzt diese Box als Router oder nur als WLAN-AP laufen lässt, ist ja deine Sache. Infos hier: http://www.avm.de Gruß Goscho Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.