Hallo zusammen,
die Kollegen wünschen sich schon länger ein komfortableres WLAN als unseren bisherigen Coova, der auch noch dazu über günstige TP-Link-APs verteilt wird.
Da wir nun Unifi-Hardware bekommen (6 APs haben wir schon) möchte ich umstellen:
WLAN Lehrer -> WPA-PSK nach Grün
WLAN Schüler -> WPA-EAP nach Blau
WLAN Gäste -> Voucher nach ROT (oder Blau, noch nicht sicher…)
Das habe ich ein gutes Stück auch nach der Anleitung ( https://docs.linuxmuster.net/de/v6/systemadministration/network/unifiwifi/index.html ) hinbekommen, aber ich habe noch ein paar Baustellen:
-
GRÜN: Wie bekommt ihr die MAC-Adressen der Kollegen in die Workstations-Datei? Liste zum händisch eintragen aushängen und abtippen - und dazu Anleitungen für Android, IOS, Win, Mac, Linux, … ??? Oder ist der Ansturm i.d.R. gar nicht so groß?
-
Bisher war Blau unser Lehrernetz (Netzbrief!) - 4 lokale Clients und die WLAN-Geräte der Lehrer per Coova. Das würde ich jetzt aufgeben (nur ein lokales Netz für die 4 Rechner, die das neue Lehrernetz ausmachen, wegen Drucker) und das Blaue Netz zum Schülernetz machen.
Problem dabei: Bisher hat Coova die IPs in PINK verwaltet (192.168-er Netz) und der IPFire hatte in unserem 172.16.32.0/24-Netz (BLAU) genau einen Client per DHCP versorgt: Coova.
Jetzt würde ich die virtuellen Netzwerkkabel quasi umstöpseln und die APs (per VLAN) an Blau stecken. Damit wird IPFire zum DHCP.
Dessen Range ist aber aktuell auf 200 Clients begrenzt. Kann ich den gefahrlos erweitern? Der Standard ( https://wiki.linuxmuster.net/archiv/dokumentation:handbuch:preparation:networktopology ) sieht ja vor, dass 172.16.34.0/24 für die VPN-Clients vorgesehen ist.
Mein Plan wäre z.B. VPN auf der .34 zu lassen und dann BLAU z.B. als 172.16.64.0/20 zu setzen. Ich würde dies beim blauen DHCP eintragen und die Firewallregeln für Blau anpassen.
-> Gibt es weitere Seiteneffekte / Stolperfallen auf die ich achten muss? -
Für das Gäste-WLAN frage ich mich, ob ROT überhaupt eine gute Idee ist. Ich dachte halt, Referenten sollen einfach ungefiltert ins Netz und auch nicht mit Schülergeräten in ein Netz. In der Anleitung ist es in Blau. Wie macht ihr das?
-
Und ganz wichtiger Punkt: Wie findet das Logging in Blau bei euch statt? Wenn wir Schülern WLAN (nach Freischaltung in der Schulkonsole) erlauben, müssen wir das doch irgendwie überwachen… bisher würde ich sagen wird nur http-Traffic im IPFire-Proxy geloggt, aber https geht „unbemerkt“ durch oder sehe ich das falsch?
Aktuell ist auch nur der URL-Filter des IPFire als Jugendschutzfilter aktiv… das ist auch ganz schön löcherig… kann man beide Probleme vielleicht mir dem Belwue-Jugendschutzfilter erschlagen?
Hui, das sind viele Fragen geworden, sorry
in jedem Fall danke für jedes Stück Mitdenken!
LG, Felix