Hallo,
wir haben aktuell ziemliche Probleme mit unserem WLAN (diese hier zu beschreiben ist mir leider nicht möglich, da wir das konkrete Problem noch nicht lokalisiert haben).
Ausgangslage: Wir haben einen Haufen Netgear APs mit dem zugehörigen Netgear WLAN Controller, also eigentlich ganz schick (zentral administrierbar).
Fragen an Euch:
habt ihr die Schulgeräte (also z.B. Schul-Notebooks) am Schulserver mit fester IP eingetragen?
sind die WLAN-Geräte auch im 10er Netz?
werden die WLAN-APS (als Router oder Switch) ebenfalls am Schulerver eingetragen?
bekommen (diese Frage geht an die unter Euch, die auch einen WLAN Controller haben) die APs ihre IP-Adressen vom Schulserver oder vom Controller?
Weiterführende Frage: Für BYOD wäre statt der ganzen Eintragerei natürlich ein Radius besser. Hat da in Zusammenarbeit mit der V7 schon jemand eine Lösung am laufen? Wenn ja: Habt ihr da dann noch zusätzlich die Proxy-Authentifizierung, oder lasst ihr die Geräte, die sich per Radius anmelden, direkt auf der Firewall ins Internet? (Also ähnliches Verhalten wie bei der noProxy Liste)?
Sorry, dass meine Fragen etwas unspezifisch sind, ich bin (angesichts der jetzt länger bestehenden und ungelösten Probleme in diesem Bereich) gerade dabei, mich einzuarbeiten.
wir haben aktuell ziemliche Probleme mit unserem WLAN (diese hier zu
beschreiben ist mir leider nicht möglich, da wir das konkrete Problem
noch nicht lokalisiert haben).
Ausgangslage: Wir haben einen Haufen Netgear APs mit dem zugehörigen
Netgear WLAN Controller,
… na da haben wir das Problem doch schon
… Scherz beiseite: ich mag netgear nicht …
also eigentlich ganz schick (zentral
administrierbar).
… naja… netgear.
Fragen an Euch:
habt ihr die Schulgeräte (also z.B. Schul-Notebooks) am Schulserver
mit fester IP eingetragen?
ja.
sind die WLAN-Geräte auch im 10er Netz?
kommt darauf an: ich habe welche in „Grün“.
werden die WLAN-APS (als Router oder Switch) ebenfalls am Schulerver
eingetragen?
ja: sowohl die APs als auch die WLAN Switches.
bekommen (diese Frage geht an die unter Euch, die auch einen WLAN
Controller haben) die APs ihre IP-Adressen vom Schulserver oder vom
Controller?
vom Schulserver.
Ich verwende unifi und bin sehr zufrieden damit.
Weiterführende Frage: Für BYOD wäre statt der ganzen Eintragerei
natürlich ein Radius besser. Hat da in Zusammenarbeit mit der V7 schon
jemand eine Lösung am laufen?
ja ich
Schüler und lehrer befinden sich in Blau (extra Netzwerkkarte in der
opnsense 172.16.x.y Netz): dort erwarten die APs WPA2 Enterprise.
Jeder muß sich einmal pro Gerät authentifizieren.
Zusätzlich spannen die APs noch ein Netz in Grün auf, in dem Schuleigene
Tablets und Laptops sind.
Und dann gibt es noch ein WLAN in Rot für die Vouchergäste.
Wenn ja: Habt ihr da dann noch zusätzlich
die Proxy-Authentifizierung, oder lasst ihr die Geräte, die sich per
Radius anmelden, direkt auf der Firewall ins Internet? (Also ähnliches
Verhalten wie bei der noProxy Liste)?
Moin Holger,
vielen Dank, das klingt ja hervorragend, wie Du das gelöst hast.
Tja, die Netgears wurden uns seinerzeit empfohlen, da kämen wir jetzt nur noch mit großem finanziellem Verlust wieder weg.
Detailfragen:
a) Welchen Radius nehmt ihr da? Ist das ein Addon für Linuxmuster, oder ist der bei Unify dabei?
b) Da die WLAN APs in drei Netzen sind, löst ihr das über VLAN?
Detailfragen:
a) Welchen Radius nehmt ihr da? Ist das ein Addon für Linuxmuster, oder
ist der bei Unify dabei?
ich habe auf dem Server (lmn7) nach Anleitung von Dominik freeradius
installiert und eingerichtet.
b) Da die WLAN APs in drei Netzen sind, löst ihr das über VLAN?
ja: anders kann ich mir das auch nicht vorstellen, wie das gehen soll.
Eigentlich habe ich das, wie es in der 6.2 war, unter der lmn7
nachgebildet: tatsächlich hab ich am unifi Controller beim Umstieg von
6.2 auf 7 auch nichts geändert.
Die Radiusauth sollte gerätebasiert installiert werden.
magst du uns den Grund verraten, weswegen du das anders machen willst,
als alle anderen?
Einrichtungseigene Geräte kann man ja in ein anderes WLAN aufnehmen und
dort mit WPA2 statt WPA2 Enterprise arbeiten: mehr oder weniger gibt es
dann eine Gerätebasierte auth, weil die bei mir in Grün sind und dafür
müssen sie in die devices.csv
magst du uns den Grund verraten, weswegen du das anders machen willst,
als alle anderen?
Mir leuchtet ein, dass die Nutzerauthentifizierung gegen den Radius für BYOD-Geräte gut ist. Jedoch möchten wir im Moment noch kein BYOD für unsere Schülerinnen und Schüler anbieten. Das macht auch unsere Bandbreite (noch) nicht mit.
Die Authentifizierung der einrichtungseigenen Geräte mit Preshared haben wir übergangsweise so gemacht. Jedoch ist das für uns zu unsicher. Findige Schülerinnen und Schüler lesen die Keys aus.
Natürlich gehört zu einem w-LAN-Konzept auch die Erziehung der Schülerinnen und Schüler zur mündigen Nutzung des w-LAN. Wir haben dies probiert und sind gescheitert. So werden bei unseren Laptops Tasten ausgebrochen und Audiostecker an Audiobuchsen mutwillig abgebrochen, so dass Laptops nicht mehr nutzbar sind.
Ich habe immer den Weg eingeschlagen, Schülerinnen und Schüler in die Medienmündigkeit erziehen zu wollen, sehe mich nun jedoch an einem Scheideweg. So dass ich nicht verantworten will, was die Schülerinnen und Schüler mit einem ausgelesenen Preshared oder einer erlaubten Radiusauth anstellen möchten.
Ich habe sogar findige Schülerinnen und Schüler die auf Moodle „witzige Programme“ ausprobieren und versuchen bei anderen Moodlemitgliedern Daten auszulesen.
Daher muss ich leider nun auch einsehen, dass Restriktion die einzige Möglichkeit ist.
Außerdem konnte ja auch in 6.2 eine gerätebasierte Radius-Auth eingerichtet werden.
