Hauseigene Geräte im päd. Netz (grün) aber incl des ganzen Apple-Gedöhns
Lehrer-BYOD eigenes WLAN (eigens Vlan/blau)
Ich würde gerne den Apple-Geräten ein eigenes Netz geben. (u.a. auch wegen einer klaren Trennung zwischen dem Netzwerkteam und dem Apple-Team)
Unifi kann ja durchaus mehrere WLAN ausstrahlen, aber wie entkopple ich ein weiteres WLAN von dem vorhandenen grünen / blauen Netz?
Lohnt da die Anschaffung eines USG (Gateway von Unifi)
Hi.
Unifi kann doch mit VLANs umgehen. Ich habe 3 WLANs, die alle in unterschiedlichen VLANs stecken. So ist eine Trennung ganz einfach möglich.
Viele Grüße
Michael
es geht auch ohne. Du musst halt verschiedene Netze (VLANs) an den einzelnen Ports der Unifi-Switche trennen oder deine VLAN-Struktur so gestalten das auch dein Router das tagging richtig umsetzt.
vergleichsweise einfach dürfte sein, in der OPNSense ein weiteres Netz
als Kopie des blauen Netzes zu erstellen und das per VLAN zu verteilen.
Das Limit ist eher, dass die Unifi-APs maximal 4 WLANs gleichzeitig
ausstrahlen können. Im Controller kannst Du mehr anlegen, aber einem AP
kannst Du nur 4 zuweisen.
ja, das stimmt zwar, wir haben aber z.B. ein WPA-Enterprise WLAN, wo anhand der Nutzerkennung im Radius-Server automatisch unterschiedliche VLANs zugewiesen werden. So melden sich sowohl Schüler als auch Lehrer an der selben SSID an, sind aber trotzdem in unterschiedlichen VLANs
Genauso müssten sich auch für ein „normales“ WPA-Netz im UniFi-Controller einzelnen Geräten (=MAC-Adressen) unterschiedliche Netze/VLANs zuweisen lassen, dann passiert die Zuordnung auf MAC-Ebene.
d.h. so lassen sich auch mit wenigen SSIDs Geräte in mehrere VLANs unterteilen.
Das klingt nach einer guten Alternative!
Daher die Frage: Wie/wo wird das eingestellt?
Wir haben hier zur Zeit folgendes Problem: ein WLAN für Laptops mit WPA2-PSK steht für alle Geräte in der Schule zur Verfügung. Das wir Ausleihlaptops haben, waren auch diese Geräte in diesem WLAN. Da war es für die Schüler ein leichtes, das Passwort herauszufinden und dieses Netz auch für ihre eigenen Smartphones zu verwenden. Das war so natürlich nicht gedacht, da zB der IP Pool des DHCP Bereichs viel zu klein war. Daher haben wir dieses WLAN jetzt mit einer Whitelist versehen, was aber auch nicht der Weisheit letzter Schluss ist, da sich so natürlich neue Geräte über das MDM nicht automatisch verbinden können…
Von daher ist ein Enterprise WPA2 vielleicht doch die bessere Wahl…?!?
Viele Grüße
Michael
Wir haben bei uns die LMN netzwerktechnisch etwas umgebaut darum weiß ich jetzt nicht, was man da alles ändern müsste. Aber prinzipiell haben wir die Info in der Konfiguration des freeradius-Dienstes eingestellt:
So als Hintergrund: bei uns haben nur freigegebene Schüler Zugang zum WLAN, hierfür dient das Projekt p_wlan, in das die Schüler aufgenommen werden. (Man könnte das auch mit der WLAN-Funktion in der LMN direkt lösen, dort sind aber alle Schüler standardmäßig freigeschaltet.)
Der freeradius-Dienst läuft bei uns auch direkt auf der LMN-VM, nicht auf dem Docker-Host.
Aber mit der oben geschriebenen Konfiguration kommen alle Mitglieder der LDAP-Gruppe „teachers“ in das VLAN 10, alle Mitglieder der LDAP-Gruppe „p_wlan“ (also alle freigegebenen Schüler) in das VLAN 11.
Müsste evtl. nochmal schauen, wie man das in die LMN direkt einbindet, wie gesagt, wir haben da recht viel umgebaut.
darum weiß ich jetzt nicht, was man da alles ändern müsste. Aber prinzipiell haben wir die Info in der Konfiguration des freeradius-Dienstes eingestellt: