Tipp für ein einfaches WLAN in "kleinen" Schulen

Hallo Holger,

in stimme in allen Punkten komplett zu! :wink: … wenn man das WLAN frei zur Verfügung stellt und private Geräte im WLAN gestattet. Das ist hier gar nicht gewollt (in einer Stadt mit super LTE und jeder Menge freier Hotspots). Wenn also das WLAN als kabelloses LAN gesehen wird und es darum geht, durch Linbo gemanagte Notebooks zu betreiben, halte ich den Aufwand für zu hoch.

Viele Grüße
Bertram

Hi,

bin grade dabei die Anleitung zur Coova-Chilli-Lösung auf den neuesten Stand zu bringen:

http://docs.linuxmuster.net/de/latest/addons/coovawifi/index.html - offizielle Doku
https://linuxmuster.net/wiki/anwenderwiki:wlan:coovachilli - weitere Tipps aus der community

und das abgeleitet von:
http://www.linuxmuster.net/wikiarchiv/dokumentation:handbuch:addons:start#hotspot-system_ueber_ein_captive-portal_mit_linuxmuster-chilli - vorherige offizielle Doku

Da die Doku sicher nicht überall korrekt oder aktuell ist, freue ich mich über mithilfe, gerade von denen, die sie gerade nutzen.

VG, Tobias

Hallo Holger,

ich habe eine Frage bezüglich deiner WLAN-Lösung: Im Sommer hast du (laut deinen Einträgen hier) den Controller und APs von Unifi installiert. Hast du dann immer noch parallel den Chilli laufen? Hast du die beiden Sachen irgendwie kombiniert?

VG Daniel

Hi Daniel.
Ich antworte mal kurz, weil es bei uns (glaube ich) genauso ist: Der Chilli regelt, wer in die Gruppe p_wifi kommt und wer nicht. Der stellt also auch die Portalseite zur Verfügung. Die Unifi-APs sind daher “dumm” und verhalten sich wir “reine” APs (ohne Portal und ohne alles weitere - obwohl sie auch das könnten!). Manche sagen auch: Warum kauft ihr so teure APs, wenn die gar nicht ihre ganzen Möglichkeiten ausreizen – doch darauf kann ich nur sagen: Der (kostenlose!!) Controller ist einfach SUPER! Zudem kann man auf dem APs auch gleichzeitig mehrere WLANs abstrahlen lassen. Wenn man dann noch VLAN/Subnetting einsetzt, kann man das elegant kombinieren.
Also unter’m Strich: Ja, die Unifi-APs kosten 'ne Kleinigkeit, aber es lohnt sich! Die Qualität ist super und die Reichweite der WLANs ist ebenfalls überzeugend. Weiterer RIESEN-Vorteil: Kommt ein neuer AP hinzu, sind es nur wenige Klicks und das Gerät ist aufgenommen und startklar.
Du musst natürlich nicht den Chilli einsetzen. Es gibt auch die Portal–Lösung von Netzint! Natürlich bietet auch Unifi selbst ein Portal an, doch da läuft die Zugangskontrolle für die User dann nicht Hand in Hand mit dem linuxmuster-Server …
hth,
Michael

Hallo Daniel,

wenn es schnell gehen soll, dann kann man den Controller in das
WLAN-Netz des Chillispot hängen und für die Accesspoints nur SSID und
WPA2 konfigurieren - das geht wirklich ruck-zuck. Dann ändert sich auch
für die Nutzer erst mal nichts.

Da der Controller von Unifi aber alles kann, was der Chillispot kann
(und noch viel mehr), kann man irgendwann mal auf den Chillispot verzichten.

Viele Grüße

Jörg

Hallo Daniel,

ich habe eine Frage bezüglich deiner WLAN-Lösung: Im Sommer hast du
(laut deinen Einträgen hier) den Controller und APs von Unifi
installiert. Hast du dann immer noch parallel den Chilli laufen? Hast du
die beiden Sachen irgendwie kombiniert?

Nein: Coova ist ausgeschaltet.
Kombiniert habe ich sie nicht, da ich es nicht für notwendig ansehe: ein
Capturing Portal bietet unifi auch: aber die anderen Lösungen von unifi
sind mir lieber: deswegen verwende ich es nicht.
Das wird aber kommen, wenn ich als drittes WLAN das GästeWLAN einschalte.
Da gibt es dann ein capturing Portal mit Vouchern di man im Sekretariat
abholen kann …

Ich sehe keinerlei Probleme darin die beiden parallel zu verwende.
Ich wollte es nur nicht, weil:

  1. unifi ist besser: warum sollte ich coova weiter betreiben?
  2. ich verwende für Blau im unifi Netz das für coova per VLAN in den
    Gebäuden verteilte „violette“ Netz (zwischen Coova und APs).
    Hätte ich die beiden parallel betreiben wollen, hätte ich ein weiteres
    VLAN verteilen müssen … und da hatte ich keinen Bock drauf und keine
    Motivation wegen 1)

:slight_smile:

LG

Holger

Hallo Holger,

deine Antworten helfen mir weiter. Ich war nur wegen deiner ausführlichen Erläuterungen etwas weiter oben zum Chilli verwirrt :).
Wir haben noch den Chilli an, ich will ihn aber in nächster Zeit auch ausschalten und dann nur noch Unifi ;).

Eine Sache ist mir noch nicht ganz klar bzgl. Unifi: Am Chilli kann ich mich mit jedem beliebigen Gerät über meine Anmeldedaten vom LMN-Server anmelden. Egal ob über Kabel oder Funk. Kann ich dies auch weiterhin bei Unifi? Ich will auch weiterhin die Möglichkeit haben, dass ich z.B. meinen eigenen Laptop in der Schule mit Kabel einstecke und Internetverbindung habe, ohne dass ich den Laptop in “/etc/workstations” aufnehmen muss.

LG Daniel

Hallo Daniel,

Eine Sache ist mir noch nicht ganz klar bzgl. Unifi: Am Chilli kann ich
mich mit jedem beliebigen Gerät über meine Anmeldedaten vom LMN-Server
anmelden. Egal ob über Kabel oder Funk. Kann ich dies auch weiterhin bei
Unifi? Ich will auch weiterhin die Möglichkeit haben, dass ich z.B.
meinen eigenen Laptop in der Schule mit Kabel einstecke und
Internetverbindung habe, ohne dass ich den Laptop in “/etc/workstations”
aufnehmen muss.

am Seminar habe ich zwei Netze:
seminar und seminar-intern (versteckt).
seminar läuft mit WPA2 Enterprise.
Da muss man sich pro Gerät einmal einloggen (normale lmn Credentials):
dann wird das Zertifikat lokal gespeichert und man ist immer drin: und
zwar in Blau (wie beim Coova). Kein Capturing Portal.

Beim seminar-intern hab ich nur normales WPA2 und da das nach Grün führt
müssen Geräte in dem Netz aufgenommen werden in der workstations.

Man muss aber dazu sagen, dass es im Seminar natürlich keien WLAN
Steuerung wie in der Schule gibt: jeder „Schüler“ hat immer WLAN (sind
ja keine Kinder mehr).
Da muss ich für die Schule noch Tests machen.
Da läuft es vielleicht so:

schule → Capturing Portal WPA2 und WLAN Freigabe per SchuKo für Schüler
schuele-Lehrer → WPA2 Enterprise für Lehrer
schule-intern für schuleigene Geräte WPA2
schule-gaeste: Capturing Portal mit Voucher und WPA2

Die Hardware für die Schule ist da: 35 APs und 10 Switches… das wird
noch richtig Arbeit …

LG

Holger

Hallo Holger,

Seminar läuft mit WPA2 Enterprise.
Da muss man sich pro Gerät einmal einloggen (normale lmn Credentials):
dann wird das Zertifikat lokal gespeichert und man ist immer drin: und
zwar in Blau (wie beim Coova). Kein Capturing Portal.

So hätte ich das dann auch gerne für die privaten Geräte der Lehrer bei mir. :slight_smile:

Kann ich im blauen Netz des IPFires parallel Unifi und Coova laufen lassen? Oder stören die sich gegenseitig? Dass ich dann ein weiteres VLAN für Unifi benötige ist mir klar, müsste dafür zunächst auch nur zwei Switche umprogrammieren.

Ich möchte gerne zunächst die Funktionalität des Unifis testen, ohne dass ich dafür gleich alles andere abschalten muss. Dafür möchte auch zunächst nur einen AP von Unifi im Lehrerzimmer anschließen.

LG Daniel

Hallo Daniel,

Kann ich im blauen Netz des IPFires parallel Unifi und Coova laufen
lassen? Oder stören die sich gegenseitig? Dass ich dann ein weiteres
VLAN für Unifi benötige ist mir klar, müsste dafür zunächst auch nur
zwei Switche umprogrammieren.

das sollte gehen.
Bei mir hat der Coova z.B. die 172.16.16.3
Du könntest dem unifi in Blau ja 172.16.16.4 geben: dann sollte das gehen.
Ich müßte aber zusätzlich Blau aus dem Server herausführen, da es das
noch intern (nur virtuell) gibt: es existiert ja nur zwischen IPFire und
Coova, die beide virtuell laufen.

LG

Holger

Hallo Holger,

Ich müßte aber zusätzlich Blau aus dem Server herausführen, da es das
noch intern (nur virtuell) gibt: es existiert ja nur zwischen IPFire und
Coova, die beide virtuell laufen.

Bei mir nicht. Mein IPfire ist (noch) eine „echte“ Maschine. Habe drei Netzwerkkarten, eine für grün, eine für rot und eine für blau. Am blauen Anschluss hängt momentan nur der Chilli. Der Chilli (als virtuelle Maschine) verbindet dann „blau“ nach „violett“.

Ich müsste dann meinem Unifi-AP eine IP in blau geben, in IPFire, korrekt?

LG Daniel

Hallo Daniel,

Ich müsste dann meinem Unifi-AP eine IP in blau geben, in IPFire, korrekt?

ja: und den unifi Controller auch: er hängt in Blau und Grün.

LG

Holger

Sehe ich das richtig: wenn man den Chilli raus wirft und vollständig das Portal von unifi nutzt, kann man dennoch weiterhin per Schulkonsole auch die Funktionen nutzen (Mitgliedschaft p_wifi)??

Hallo Michael,

Sehe ich das richtig: wenn man den Chilli raus wirft und vollständig das
Portal von unifi nutzt, kann man dennoch weiterhin per Schulkonsole auch
die Funktionen nutzen (Mitgliedschaft p_wifi)??

das muss ich erst testen.

LG

Holger

Hallo Holger,

Ich habe die Anmeldung am AP via WPA Enterprise und freeradius funktioniert, bekomme aber keine Internetverbindung. An welcher Stelle muss ich noch bohren?

Danke!

VG Daniel

Hallo Daniel,

du mußt schon genauer sein: wo hängt den dein WPA2 Enterprise Netz? In
Blau oder in Grün?
Wo hängt das „normale“ WPA2 Netz?

Schau mal in diesen Tread:

LG

Holger

Hallo Holger,

deinen Thread kenne ich. Da habe ich auch schon geschaut gehabt.

Ich hätte gerne, so wie du weiter oben beschrieben hast, dass man sich als User im blauen Netz anmeldet. Im grünen Netz will ich dann später nur die schuleigenen Geräte drin haben, z.B. Tablets oder Laptops.
Am Port des Switchs, an dem der AP hängt, habe ich grün untagged, blau getagged, wie in der Anleitung beschrieben.

Zugriff auf den Controller (in grün) funktioniert, der AP wurde auch sofort erkannt.
Den Controller und den AP habe ich auch beide im blauen Netz des IPfires eingetragen, sie wurden aber nicht von alleine erkannt. Beide haben auch in grün eine andere IP. Muss das die gleiche sein? (Der virtuellen Maschine mit Controller habe ich eine Netzwerkkarte in blau und eine in grün zugewiesen.)

Den Zugriff auf das blaue Netz habe ich eingerichtet wie in der Anleitung beschrieben:
http://docs.linuxmuster.net/de/latest/addons/unifiwlan/unifischuelernetz.html
(In dieser Anleitung steht nicht drin, dass der Controller in blau eingetragen sein muss??)

Den AP habe ich als user in freeradius eingetragen. Freeradius habe ich nur auf dem LMN-Server installiert. Muss das auch noch auf die virtuelle Maschine des Controllers? (Ich habe bisher noch nicht mit freeradius gearbeitet.)

Ich konnte mich mit meinem Handy und meinen Daten über WPA Enterprise anmelden (ich musste dazu vom IPFire/Controller auf einen getaggedten Port im Hauptswitch (warum?) und von da aus dann getagged weiter zum Zielswitch), in der Liste der Geräte in blau im IPfire ist mein Gerät aufgetaucht, hat eine IP vom IPfire zugewiesen bekommen.
Ich bin dann aber nicht ins Internet mit meinem Gerät gekommen. (Im Ipfire habe ich eine Regel, dass ich von blau aus Zugriff ins Internet habe.)

Ich hoffe, dass ich nichts Relevantes vergessen habe :slight_smile:.

An irgendeiner Stelle habe ich bestimmt einen Denkfehler drin, ich weiß nur nicht wo. Kannst du mir nen Tipp geben?

LG Daniel

Hallo Daniel,

Zugriff auf den Controller (in grün) funktioniert, der AP wurde auch
sofort erkannt.
Den Controller und den AP habe ich auch beide im blauen Netz des IPfires
eingetragen, sie wurden aber nicht von alleine erkannt.

in Blau am IPFire tauchen meine APs auch nicht auf.

Beide haben auch
in grün eine andere IP. Muss das die gleiche sein? (Der virtuellen
Maschine mit Controller habe ich eine Netzwerkkarte in blau und eine in
grün zugewiesen.)

meine Aps haben in Blau glaube ich gar keien IP… wenn, dann ist es eine
frei vom DHCP in Blau (IPFire) vergebene…
Ich hab jetzt aber auch nicht alle MAC EInträge im IPFire DHCP
durchsucht nach meinen APs …

Den Zugriff auf das blaue Netz habe ich eingerichtet wie in der
Anleitung beschrieben:
http://docs.linuxmuster.net/de/latest/addons/unifiwlan/unifischuelernetz.html
(In dieser Anleitung steht nicht drin, dass der Controller in blau
eingetragen sein muss??)

müssen sie auch nicht.

Ich hab dir mal einen Screenshot meines Eintrags im IPFire für den
INternetzugriff aus Blau angehängt.

Ich konnte mich mit meinem Handy und meinen Daten über WPA Enterprise
anmelden (ich musste dazu vom IPFire/Controller auf einen getaggedten
Port im Hauptswitch (warum?) und von da aus dann getagged weiter zum
Zielswitch), in der Liste der Geräte in blau im IPfire ist mein Gerät
aufgetaucht, hat eine IP vom IPfire zugewiesen bekommen.
Ich bin dann aber nicht ins Internet mit meinem Gerät gekommen. (Im
Ipfire habe ich eine Regel, dass ich von blau aus Zugriff ins Internet
habe.)

ich denke es ist nur noch ein Problem im IPFire.

Schau mal diesen Tread an:

LG

Holger

Hallo Daniel,

Bild fehlte: jetzt dran.

LG

Holger

Hallo Holger,

Ich hab dir mal einen Screenshot meines Eintrags im IPFire für den
INternetzugriff aus Blau angehängt.

der scheint zu fehlen.

Kann es sein, dass man sich dafür an Discourse anmelden muss und das
nicht per E-Mail geht?

Viele Grüße
Steffen