es kommt drauf an was du machen willst. Nicht alles was aus Sicht der Netzwerksicherheit möglich ist und geboten erscheint, erweißt sich als schulalltagstauglich. Ich würde z.B. in keiner Weise zwischen unverwalteten Lehrerendgeräten und BYOD-Lehrer/Schüler-Endgeräten unterscheiden. In all diesen Fällen kann ich mir nicht sicher sein, dass die nicht in irgendeiner Weise „verseucht“ sind (erinnert sei an die berühmten Lehrer-USB-Sticks, die von Gerät zu Gerät wandern. Niemand soll behaupten an seiner Schule gäbe es das nicht. Sperrt einfach mal die USB-Ports am Kopierer, dann wisst ihr wieviele USB-Sticks im Umlauf sind). An sich gehören alle diese Geräte in ein abgeschottetes Gast-Netz mit Portisolation bzw. dem WIFI-Pendent. Mach das in der Praxis, aber geh am besten sofort auf ein Sabbatical irgendwohin weit weg…den Aufschrei wirst du selbst in Feuerland noch hören können.
VG
Thomas
PS. In einem Unternehmen kann ich sagen: Das machen wir so, weil isso! An einer Schule undenkbar.
Sicher alles richtig
Ich denke über diese Dinge aber gar nicht so sehr aus sicherheitstechnischer Sicht als vielmehr aus Sicht der Performance des WLANs nach.
Das Problem bei zu vielen unterschiedlichen SSIDs über die UniFi APs ist ja, dass das Netz dadurch (massiv??) an Performance verliert, weil man viel Overhead erzeugt. Ich habe mal gehört, dass daher 3 SSIDs schon als „absolute Obergrenze“ angesehen werden sollte
richtig…wenn Performance das Problem ist, stell ich mir die Frage, ob man dass nicht über etwas anderes regulieren sollte, z.B. Zugriffe auf z.B. Instagram auf 16,5KB/s begrenzen. Die Zuordnung der Benutzer in unterschiedliche VLANs bringt Performancetechnisch wenig bis gar nichts.
das mag alles sein…ich habe 4 SSID (AllgemeinWlan, LehrerWlan, UnterrichtsWlan, AdminWlan) und in den ersten drei SSID sind insgesamt jeden Tag zwischen 350 und 700 Nutzer unterwegs. Dabei wird auch wirklich viel Traffic, v.a. im UnterrichtsWlan durch den Klassroommanager, AppleTV und die permanente Einbidung unserer Cloud in die IPads erzeugt. Zudem wird auch viel von unserer Cloud über die IPads gestreamt. Bei Veranstaltungen sind auch mal > 1000 User im allgemeinen Wlan gewesen. Ich habe noch keine Performanceprobleme feststellen können oder gemeldet bekommen. Ich frage mich, ab welcher Auslastung die Probleme sichtbar werden?
Vom Prinzip her hört sich der neue Ansatz klasse an, die Frage ist, ob, bzw. ab welcher Auslastung sich der Aufwand lohnt.
Bin mal gespannt, falls du das Umsetzt wie das funktioniert!
VG Dominik
Ne, das alleine nicht, aber ich zitiere mal aus einer Nachricht, in der ich das neulich gelesen habe:
Deshalb würde ich gerne die Anzahl der SSIDs auf das nötigste reduzieren…
Deine andere Idee (Reduzierung der Bandbreite für gewisse Dienste) habe ich schon länger auf meiner To-Do-Liste stehen. Im Moment haben wir uns einfach so geholfen, dass alle User in dem BYOD-WLAN im Up-/Downstream auf eine gerade noch hinnehmbare Bandbreite begrenzt werden. Das ist nicht sehr elegant aber verhindert immerhin, dass BYOD-User auf die Idee kommen, in der Schule Netflix & Co schauen zu wollen. Viel besser wäre natürlich echtes Traffic-Shaping, was mit der OPNSense ja auch kein Problem ist, wie man hier sieht: Setup Traffic Shaping — OPNsense documentation
Dazu fehlte mir bisher aber die Zeit und vor allem die Ruhe, das in unserer Testumgebung einzustellen.
Und um auch Dominik (@foer) zu antworten: Ab wie vielen Usern man die Effekte merkt, kann ich nicht genau sagen. Fest steht aber, dass wir täglich ein paar Probleme mit Tablets im iPad-WLAN haben, die ich mir nicht erklären kann. Ich habe schon so ziemlich jede Einstellung bzgl der WLAN-Optimierung ausprobiert und kann es nicht genauer eingrenzen. Leider habe ich aber mehr und mehr den Eindruck, dass die Unifi-APs nicht wirklich für mehr als 20 User pro AP gemacht sind — hier würde ich mich aber sehr gerne eines besseren belehren lassen, da die Dinger nunmal überall bei uns in der Schule herumhängen
wir hatten ebenfalls diese undefinierbaren Probleme mit IPads. Seit etwa einem halben Jahr überwiegend nicht mehr. Gebracht haben es folgende Dinge:
6er Firmware
BandSteering auf den AP`s mit 5GhZ Bevorzugung
Fast Roaming im IPadWlan
Erzwingung, dass high performance Geräte ausschließlich mit 5GhZ verbunden werden (im IpadWlan)
Automatische Kanalwahl im Topo, so das die Frequenzverteilung nach Scan optimiert wird
Sendeleistung auf gering
Wahrscheinlich hast du das auch schon alles ausprobiert…bei uns hat das eine wesenentliche Verbesserung gebracht und es gibt eigentlich keine Klagen mehr aus den IPadKlassen.
Kann ich so nicht bestätigen. Bei uns hängen in den IPadKlassen machmal > 30 Geräte dran und trotzdem scheint es zu funktionieren?
Viel mehr Probleme als die IPads machen mir diese drecks AppleTV, die sich alle paar Tage verschlucken, nicht aufwachen, ihre Konfiguration vergessen…
Hi.
Ja. Genau das sind die Settings, die wir rauf- und runter ausprobiert haben. Wir haben die APs (alles UAP-AC-PRO) im Gebäude so verteilt, dass in jedem Klassenraum einer hängt. Daher sollte es theoretisch so sein, dass max. 30 Geräte/User pro AP verbunden sind. In der Praxis sind’s auch schon mal ein paar mehr, da z.B. in einer Etage auch noch ein Wagen mit Tablets herumsteht.
Bei uns ist es genau umgekehrt und die AppleTV machen überhaupt keine Probleme. Das liegt bei uns aber ziemlich sicher daran, dass sie über einen Schlüsselschalter am Ende der Stunde stromlos gemacht werden und zu Beginn der nächsten Stunde neu hochfahren
Hallo Thomas (@tjordan ).
Mittlerweile habe ich mir packefence mal angesehen und dann festgestellt, dass es für das was wir benötigen echt zu komplex ist. Es gibt zwar eine sehr ausführliche Doku aber die Einstellungsmöglichkeiten übersteigen dann doch sehr deutlich das, was hier sinnvoll ist. Mir würde es reichen, wenn der freeRADIUS-Server zwischen Gruppen unterscheiden kann. Ich habe mich daher gerade an diesen Parallelthread drangehängt. Mal sehen, wohin die Reise geht…
Mit der Kombination Freeradius und Daloradius bist du doch auf dem richtigen Wege. Damit ist die dynamische VLAN Zuweisung über ein entsprechends Profil doch mit ein paar Mausklicks erledigt und ist universell für alle WPA-Enterprise installationen.
Unter dem folgenden Link findest du genauere Infos dazu:
Hallo zusammen,
hat jemand sachon den daloradius zum laufen gebracht? Ich hab’s nicht hinbekommen. Weder im Docker-Container noch in einer VM. Ich hätte zu gern mal reingeschaut.
Gruß,
Mathias
Hallo Mathias,
ja – wie im Parallelthread erwähnt, funktioniert das zwar – aber inwiefern es sinnvoll ist bzw. zusammen mit dem Management von LDAP-Gruppen weiterhilft, steht auf einem anderen Blatt.
Ich hatte zunächst bei der Installation von daloRADIUS einfach das ‚latest release‘ gewählt. Da sich dort aber die Verzeichnisstruktur ziemlich geändert hat, kam ich damit nicht richtig weiter. Ich habe dann eine ältere Version genommen und damit ging es dann:
Am Ende habe ich die ältere Version 1.3 genommen, damit ich die oben verlinkte Anleitung verwenden konnte. Damit ging es dann ootb.
Viele Grüße,
Michael
Hallo Michael,
vielen Dank für deine schnelle Rückmeldung.
Inwiefern die Sache sinvoll ist, weiß ich auch noch nicht. Toll wäre es, wenn man es so konfigurieren könnte, dass die Geräte von Usern aus der Gruppe teachers mit dem VLAN 01, user die nur in der Gruppe wifi sind mit dem VLAN 02 und alle anderen mit dem VLAN 03 verbunden werden.
Eine MAC-filerung möchte ich eigentlich nicht, da ich die Liste pflegen müsste. Und das habe ich schon gemacht. Da hat man ruckzuck MAC-Adressen, die es garicht mehr gibt…
Hallo. Ganz genau – das war auch mein ursprünglicher Gedanke: Es wäre einfach gut, wenn man eine detailliertere Unterscheidung hätte als nur „WiFi: oder “.
Wenn man hier nach den sowieso schon vorhandenen Gruppen „teachers“, „students“ und von mir aus auch noch „extrastudents“ unterscheiden und sie dementsprechend gleich in ihr passendes VLAN packen könnte, wäre viel gewonnen, meine ich!?
Wenn Du aber daloRADIUS nach der verlinkten Anleitung installierst, wirst Du feststellen, dass dort zunächst mal gar keine User vorhanden sind, da dort „nur“ in der mySQL-Datenbank nach den Usern geschaut wird aber nicht auf dem LDAP-Server. Wenn Du hier etwas neues oder anderes herausfindest, lass es uns wissen
Viele Grüße,
Michael
Hi.
Ich pushe diesen Thread nochmal nach oben, weil er wieder an Brisanz gewonnen hat … wir haben ein WLAN, dessen PSK wir ausschließlich per relution-Richtlinie auf iPads verteilen. Dennoch ist das Passwort wieder auf irgendeinem nicht nachvollziehbaren Weg in Schülerhände gelangt – weiß der Geier, wie es dieses Mal gelungen ist
Nun sind jedenfalls wieder alle möglichen BYOD-Schülersmartphones in diesem WLAN, die da nicht hingehören.
Erste Idee war:
alles im Unifi-Controller blockieren, was man nicht haben will. Leider wurden aber in Version 8.0.x des Controllers ein paar Optionen derartig verändert oder aus unerfindlichen Gründen herausgenommen (??), dass man nicht mehr gezielt nach blockierten Geräten suchen/filtern kann. Das wäre also bei über 1000 Geräten viel Handarbeit
zweite Idee: MAC-Filterung auch für dieses WLAN einführen (wohl wissend, dass es MAC-Spoofing gibt – aber besser als nichts). Konsequenz: Der Unifi-Controller kann (zumindest nach den Infos, die ich gefunden habe) „nur“ mit 512 MAC-Adressen im Filter umgehen. Mehr ist nicht (und ist vermutlich auch nicht sinnvoll).
dritte Idee: Nochmal zurück auf LOS … keine DM 4000,- ziehen und von vorne überlegen: Vielleicht doch ein WAP3-Enterprise-WLAN für die iPads?!? Vorteil: Jeder Benutzer müsste sich persönlich anmelden und man hätte keinen PSK mehr. Nachteil: Mit welchem Gerät das gemacht wird und von wie vielen Geräten aus, hätte man zunächst nicht im Griff. Und dann fiel mir dieser Ansatz wieder ein (der schon wieder ein ganzes Jahr alt ist).
also vielleicht doch auf diese Weise?? Macht das jemand so? Mir wäre ja eine Lösung wie Packetfence, die Thomas (@tjordan) oben erwähnt hat, am liebsten. Allerdings war das schon ziemlich komplex und ich habe beim letzten Versuch keine guten Infos oder gar ein How-To gefunden, wie man damit schnell ans Ziel kommt.
Unter’m Strich: Es klingt so einfach: Ein WLAN soll nur für Schülergeräte zur Verfügung stehen aber es soll gewährleistet sein, dass die Schüler nur mit ihrem Tablet in dieses WLAN gelangen können. Zudem sollen andere, private Geräte der Schüler nicht über dieses WLAN ins Internet gelangen können. Dahinter steckt nur, dass ein Gerät und Login pro User genügen sollte, damit das schulweite WLAN nicht so belastet wird. Da das aber ~1000 Geräte sind, muss es auch in Sachen Verwaltung machbar bleiben … sieht da jemand Licht am Ende des Tunnels??
Eine künstliche Einschränkung auf 1 Gerät pro Nutzer im WLAN würde ich nicht empfehlen. Das macht zulässige Gerätewechsel nur unnötig schwierig und bindet unnötig Personal um Support zu leisten, weil dann händischer Eingriff notwendig ist. Die reine (große) Anzahl eingebuchter Geräte ist kein Problem, entscheidend ist die Anzahl der gleichzeitig aktiven Geräte, die tatsächlich Datenverkehr verursachen.
Für Endgeräte der Schule: Egal ob man WPA2/3-Enterprise mit Clientzertifikat im Gerät oder einem gespeicherter PSK verwendet, der normale Benutzer (ohne Adminrechte) darf keinen Zugriff auf Datei/Datenbank/wasauchimmer haben, wo die Zertifikatsdatei oder der PSK gespeichert sind.
Hallo Buster,
ok – die Sache mit WPA3-OWE wäre denkbar aber löst das Problem nur so halb.
Die „künstliche Einschränkung“ ist vielleicht nicht so künstlich wie Du meinst, denn der Kauf der Geräte wird eh über die Schule abgewickelt und somit sind alle gekauften Geräte mit dem ersten Einschalten direkt über das Apple-DEP in unserem MDM erfasst. Auf diese Weise wird der Administrationsaufwand natürlich ganz erheblich reduziert. Aus dem Grund sollen in diesem WLAN auch keine anderen Geräte sein, denn das Stichwort „Airtime“ ist wahrscheinlich auch nicht zu verachten, wenn da Schüler u.U. mit irgendwelchen Uralt-Smartphones um die Ecke kommen.
Wenn ein Schüler ein neues Gerät verwenden muss (meistens im Fall von Glasbruch), werden wir das daher sowieso erfahren „müssen“, da es erneut ins MDM gelangen muss.
Um zurück auf das Thema freeRADIUS zu kommen. Das gleiche Thema hatten wir vor etwas mehr als einem Jahr hier:
Ich bin in dieser Sache leider nicht wirklich weitergekommen. Dass es aber stellenweise Probleme im WLAN bei so vielen Geräten gibt, ist leider nicht von der Hand zu weisen .
Wenn man da ganz anders rangehen sollte, wäre ich für jeden Hinweis dankbar.
Ja, das ist klar – der PSK wurde (wie oben erwähnt) NUR über eine relution-Richtlinie verteilt. Er war zu keiner Zeit irgendwo „direkt verfügbar“. Uns ist daher auch nicht klar, wie der PSK in Umlauf kam, aber ich kann mir vorstellen, dass Apple-Geräte manchmal zu großzügig sind, wenn es um die Weitergabe der WLAN-Verbindungen geht. Manchmal erhält man auf privaten Geräten solche Meldungen wie „Wollen Sie das WLAN-Passwort mit XYZ teilen?“ — also: wer weiß?! Vielleicht ist es auf diesem Weg irgendwie weitergetragen worden, auch wenn das so natürlich nicht sein dürfte
Nun, wenn das so ist, kannst du ja für dieses WLAN Zertifikats-Basierte RADIUS Authentisierung (EAP-TLS) machen. Wenn ich dich richtig verstanden habe, sind diese Geräte ja über Relution verwaltet. So kannst du das Gerätezertifikat und die Konfiguration auf die Tablets pushen. Dann braucht man keine persönliche Benutzerauthentisierung oder PSK mehr. Wenn der für dieses Funknetz zuständige RADIUS entsprechend konfiguriert ist, kommt da ohne entsprechendes Gerätezertifikat kein anderer rein.
Hallo Thomas,
das klingt genau nach der Lösung, die optimal wäre. Dann muss ich mich wohl oder übel mal wieder mit Zertifikaten herumschlagen. Das Thema hatten wir ja hier auch schon mal und ich erinnere mich, dass Du meintest, dass man zu diesem Zweck nicht einfach ein LE-Cert nehmen sollte … die Frage ist nur: Was nimmt man stattdessen? Irgendein selbstsigniertes Zertifikat? Mit anderen Worten: bei der praktischen Umsetzung sind noch ein paar Lücken vorhanden … in etwa so wie hier:
die brauchst eine eigene Zertifizierungsstelle mit der du das Serverzertifikat und die Clientzertifikate erstellt. Kann man z.B. auf der opnSense machen oder freeradius bringt für diesen Zweck eigene Templates mit, die man entsprechend ausfüllen muss und dann wird CA, Server-Zertifikat und Client-Zertifikat per Skript generiert.
… jetzt, wo Du’s sagst … stimmt! Soweit war ich irgendwann sogar schon mal und hatte das auf der OPNSense eingetragen. Muss ich nochmal rauskramen.
Aber danke für’s Erinnern!
oder 
“.
