WLAN mit Unifi statt Coova (LMN 6.2)

Infrastruktur WLAN
#1

Hallo zusammen,

die Kollegen wünschen sich schon länger ein komfortableres WLAN als unseren bisherigen Coova, der auch noch dazu über günstige TP-Link-APs verteilt wird.
Da wir nun Unifi-Hardware bekommen (6 APs haben wir schon) möchte ich umstellen:

WLAN Lehrer -> WPA-PSK nach Grün
WLAN Schüler -> WPA-EAP nach Blau
WLAN Gäste -> Voucher nach ROT (oder Blau, noch nicht sicher…)

Das habe ich ein gutes Stück auch nach der Anleitung ( https://docs.linuxmuster.net/de/v6/systemadministration/network/unifiwifi/index.html ) hinbekommen, aber ich habe noch ein paar Baustellen:

  • GRÜN: Wie bekommt ihr die MAC-Adressen der Kollegen in die Workstations-Datei? Liste zum händisch eintragen aushängen und abtippen - und dazu Anleitungen für Android, IOS, Win, Mac, Linux, … ??? Oder ist der Ansturm i.d.R. gar nicht so groß?

  • Bisher war Blau unser Lehrernetz (Netzbrief!) - 4 lokale Clients und die WLAN-Geräte der Lehrer per Coova. Das würde ich jetzt aufgeben (nur ein lokales Netz für die 4 Rechner, die das neue Lehrernetz ausmachen, wegen Drucker) und das Blaue Netz zum Schülernetz machen.
    Problem dabei: Bisher hat Coova die IPs in PINK verwaltet (192.168-er Netz) und der IPFire hatte in unserem 172.16.32.0/24-Netz (BLAU) genau einen Client per DHCP versorgt: Coova.
    Jetzt würde ich die virtuellen Netzwerkkabel quasi umstöpseln und die APs (per VLAN) an Blau stecken. Damit wird IPFire zum DHCP.
    Dessen Range ist aber aktuell auf 200 Clients begrenzt. Kann ich den gefahrlos erweitern? Der Standard ( https://wiki.linuxmuster.net/archiv/dokumentation:handbuch:preparation:networktopology ) sieht ja vor, dass 172.16.34.0/24 für die VPN-Clients vorgesehen ist.
    Mein Plan wäre z.B. VPN auf der .34 zu lassen und dann BLAU z.B. als 172.16.64.0/20 zu setzen. Ich würde dies beim blauen DHCP eintragen und die Firewallregeln für Blau anpassen.
    -> Gibt es weitere Seiteneffekte / Stolperfallen auf die ich achten muss?

  • Für das Gäste-WLAN frage ich mich, ob ROT überhaupt eine gute Idee ist. Ich dachte halt, Referenten sollen einfach ungefiltert ins Netz und auch nicht mit Schülergeräten in ein Netz. In der Anleitung ist es in Blau. Wie macht ihr das?

  • Und ganz wichtiger Punkt: Wie findet das Logging in Blau bei euch statt? Wenn wir Schülern WLAN (nach Freischaltung in der Schulkonsole) erlauben, müssen wir das doch irgendwie überwachen… bisher würde ich sagen wird nur http-Traffic im IPFire-Proxy geloggt, aber https geht „unbemerkt“ durch oder sehe ich das falsch?
    Aktuell ist auch nur der URL-Filter des IPFire als Jugendschutzfilter aktiv… das ist auch ganz schön löcherig… kann man beide Probleme vielleicht mir dem Belwue-Jugendschutzfilter erschlagen?

Hui, das sind viele Fragen geworden, sorry :blush:
in jedem Fall danke für jedes Stück Mitdenken! :wink:
LG, Felix

#2

Hallo Felix,

GRÜN: Wie bekommt ihr die MAC-Adressen der Kollegen in die
Workstations-Datei? Liste zum händisch eintragen aushängen und
abtippen - und dazu Anleitungen für Android, IOS, Win, Mac, Linux, …
??? Oder ist der Ansturm i.d.R. gar nicht so groß?

so gut wie kein KollegenWLAN ist bei mir in der workstation: die nutzen
alle Blau und sind glücklich darüber …

  • Bisher war Blau unser Lehrernetz (Netzbrief!) - 4 lokale Clients und
    die WLAN-Geräte der Lehrer per Coova. Das würde ich jetzt aufgeben
    (nur ein lokales Netz für die 4 Rechner, die das neue Lehrernetz
    ausmachen, wegen Drucker) und das Blaue Netz zum Schülernetz machen.
    Problem dabei: Bisher hat Coova die IPs in PINK verwaltet
    (192.168-er Netz) und der IPFire hatte in unserem
    172.16.32.0/24-Netz (BLAU) genau einen Client per DHCP versorgt: Coova.
    Jetzt würde ich die virtuellen Netzwerkkabel quasi umstöpseln und
    die APs (per VLAN) an Blau stecken. Damit wird IPFire zum DHCP.
    Dessen Range ist aber aktuell auf 200 Clients begrenzt. Kann ich den
    gefahrlos erweitern? Der Standard (
    https://wiki.linuxmuster.net/archiv/dokumentation:handbuch:preparation:networktopology
    ) sieht ja vor, dass 172.16.34.0/24 für die VPN-Clients vorgesehen ist.
    Mein Plan wäre z.B. VPN auf der .34 zu lassen und dann BLAU z.B. als
    172.16.64.0/20 zu setzen. Ich würde dies beim blauen DHCP eintragen
    und die Firewallregeln für Blau anpassen.
    -> Gibt es weitere Seiteneffekte / Stolperfallen auf die ich achten
    muss?

ich habe coova sogar noch weiterhin neben unifi aktiv: das stört nicht.
Der Coova nimmt ja nur eine 172er IP weg …

  • Für das Gäste-WLAN frage ich mich, ob ROT überhaupt eine gute Idee
    ist. Ich dachte halt, Referenten sollen einfach ungefiltert ins Netz
    und auch nicht mit Schülergeräten in ein Netz. In der Anleitung ist
    es in Blau. Wie macht ihr das?

Gästenetz von unifi mit Vouchern.

  • Und ganz wichtiger Punkt: Wie findet das Logging in Blau bei euch
    statt? Wenn wir Schülern WLAN (nach Freischaltung in der
    Schulkonsole) erlauben, müssen wir das doch irgendwie überwachen…
    bisher würde ich sagen wird nur http-Traffic im IPFire-Proxy
    geloggt, aber https geht „unbemerkt“ durch oder sehe ich das falsch?
    Aktuell ist auch nur der URL-Filter des IPFire als
    Jugendschutzfilter aktiv… das ist auch ganz schön löcherig… kann man
    beide Probleme vielleicht mir dem Belwue-Jugendschutzfilter erschlagen?

ob du das Blau über den Proxy jagst oder nciht ist ja deine Sache.
Ich mach es nciht: Schüler haben immer kein Zugriff auf WLAN: erst wenn
ein Lehrer sie freischaltet können sie es nutzen.
Deswegen wird da auch nicht gefiltert (bei mir).

LG

Holger

#3

Hallo Holger,

so gut wie kein KollegenWLAN ist bei mir in der workstation: die nutzen
alle Blau und sind glücklich darüber …

Okay - damit hätte ich auch insgeheim gerechnet :wink:
Bisher sind aber einige schon ganz angetan davon über ihr eigenes Notebook drucken zu können… werde mich wohl überraschen lassen :slight_smile:

ich habe coova sogar noch weiterhin neben unifi aktiv: das stört nicht.
Der Coova nimmt ja nur eine 172er IP weg …

Klar, hätte ihn auch erstmal nur „abgestöpselt“, aber kann ich das mit den IP-Ranges so einfach verschieben oder hängt da irgenendwo noch was dran, was ich nicht bedenke?

Gästenetz von unifi mit Vouchern.

Kannst du mir das etwas genauer erläutern? Genau das habe ich ja vor - aber ich frage mich wie das am besten gelöst ist. Blau? Rot? Oder meinst du etwas Unifi-spezifisches?

ob du das Blau über den Proxy jagst oder nciht ist ja deine Sache.
Ich mach es nciht: Schüler haben immer kein Zugriff auf WLAN: erst wenn
ein Lehrer sie freischaltet können sie es nutzen.
Deswegen wird da auch nicht gefiltert (bei mir).

Das mit dem Zugriff würde ich auch so handhaben - mir geht es aber weniger um die Filterung (das ist eine andere Baustelle und meiner Ansicht nach auch pädagogisch handhabbar) sondern um das Logging, also für den Fall, dass jemand wirklich mal Bullshit gebaut hat auch das Ganze belegen zu können…

Danke und LG, Felix

#4

Hallo Felix,

Gästenetz von unifi mit Vouchern.

Kannst du mir das etwas genauer erläutern? Genau das habe ich ja vor -
aber ich frage mich wie das am besten gelöst ist. Blau? Rot? Oder meinst
du etwas Unifi-spezifisches?

ich verwende das Gästenetz des unifi Controllers und route das nach Rot
direkt raus.
Die Voucher werden auf dem unifi Controller über das WebFrontend erstellt.
Ich leg bei den Sekretärinnen einen Staple 12 Stunden Voucher hin mit
einem Stapel Anleitungen: da geben die dann je ein Blatt raus.
LG

Holger

#5

Hallo Felix!

Da gibt es schon einige Lösungsansätze. Suche mal nach „drucken von blau aus“ hier im Forum.

Beste Grüße

Thorsten

#6

Hallo Thorsten,

danke - bisher drucken die Kollegen erfolgreich aus blau, aber das möchte ich ja gerade umbiegen, so dass aus blau (-> nun für Schüler) nicht mehr gedruckt werden kann, sondern nur noch aus grün…

LG, Felix

#7

Ich antworte hier mir mal noch selbst: Es gibt doch etwas zu beachten, wenn man das Blaue Netz umzieht. Der hilfreiche Thread:

Was mir aber immer noch nicht klar ist, sind die Firewalleregeln aus BLAU. Da es das Schülernetz wird, habe ich nur die gängigen Ports geöffnet ( 443 53, 993,995, 465, 587 und 242 auf dem Schulserver ) und z.B. SSH, ICMP etc. nicht eingerichtet.

Die Regeln greifen auch, d.h. ich kann z.B. testweise mit der 443-Regel Webseitenzugriffe erlauben und verbieten und auch die Ping-Regel greift, aber SSH bleibt möglich, d.h. ich komme mit meinem Laptop in Blau per SSH auf den Schulsever in Grün. Auch auf das Webinterface des IPFire komme ich aus Blau, obwohl das ja auf 444 liegt.

Hat hier jemand noch eine Idee, wo ich schauen kann?

Vielen Dank!!!

#8

Hallo Felix,

Was mir aber immer noch nicht klar ist, sind die Firewalleregeln aus
BLAU. Da es das Schülernetz wird, habe ich nur die gängigen Ports
geöffnet ( 443 53, 993,995, 465, 587 und 242 auf dem Schulserver ) und
z.B. SSH, ICMP etc. nicht eingerichtet.

Die Regeln greifen auch, d.h. ich kann z.B. testweise mit der 443-Regel
Webseitenzugriffe erlauben und verbieten und auch die Ping-Regel greift,
aber SSH bleibt möglich, d.h. ich komme mit meinem Laptop in Blau per
SSH auf den Schulsever in Grün. Auch auf das Webinterface des IPFire
komme ich aus Blau, obwohl das ja auf 444 liegt.

Hat hier jemand noch eine Idee, wo ich schauen kann?

deine Angaben sind nicht ausreichend.
Du schreibst von freigegebenen Ports „aus Blau“: aber nicht, wohin du
sie freigegeben hast.

Poste doch mal die Regeln aus dem IPFire.Und schreib dazu, was du
willst, was geht und was nicht geht.

LG

Holger

#9

Hallo Holger,

ich hab mal den relevanten Teil der Regeln in einen Screenshot gepackt:

Unbenannt
Unbenannt921×311 29.2 KB

Wenn ich z.B. das Häkchen bei 443 rausnehme, kann man nicht mehr surfen. Mit dem Häkchen, so wie abgebildet, kommt man raus.

Die Regeln für SSH und z.B. CUPS sind deaktiviert, da Blau ja vorher unser Lehrer-WLAN war, und da wollte ich auch SSH haben… die Schüler hätte ich aber gerne jetzt draußen. Häkchen wegnehmen reicht hier aber nicht.

Was auch seltsam ist, ich kann zwar den Server (10.32.1.1) aus Blau (172.16.64.0/18) jetzt nicht mehr anpingen, aber ich kann die 10.32.1.254 anpingen (die IP des IPFire in Grün). Das sollte meiner Meinung nach auch nicht gehen…

Danke und LG, Felix

#10

Hallo zusammen,
ich frage nochmal nach, ob jemand eine Idee für mein Problem hat:

Screenshot im Post darunter. Da gerade die gesamte Kursstufe momentan Wifi-Zugang von der Schulleitung bekommt (Arbeitsräume+Freistunden…), wäre ich froh, wenn ich diese Sicherheitslücken (SSH auf Server in grün möglich + Webinterface IPFire aus Blau erreichbar ) stopfen könnte…

Vielen Dank für’s Mitdenken!
LG, Felix

#11

Hallo Felix,

Die Regeln greifen auch, d.h. ich kann z.B. testweise mit der
443-Regel Webseitenzugriffe erlauben und verbieten und auch die
Ping-Regel greift, aber SSH bleibt möglich, d.h. ich komme mit
meinem Laptop in Blau per SSH auf den Schulsever in Grün. Auch auf
das Webinterface des IPFire komme ich aus Blau, obwohl das ja auf
444 liegt.

das ist schon sehr seltsam, da der Zugriff auf die Firewall ja eine
extra Regel ist.
Machst du 444 von Blau nach Rot auf, dann solltest du trotzdem nicht auf
die Weboberfläche der Firewall kommen, da die Regel dann Blau ->
Firewall lauten müßte…

Screenshot im Post darunter. Da gerade die gesamte Kursstufe momentan
Wifi-Zugang von der Schulleitung bekommt (Arbeitsräume+Freistunden…),
wäre ich froh, wenn ich diese Sicherheitslücken (SSH auf Server in grün
möglich + Webinterface IPFire aus Blau erreichbar ) stopfen könnte…

zu deinem Sicherheitsloch:
der Zugriff auf das ssh vom Server wird bei mir nie per Firewall
geregelt, sondern mit einem ssh key: ZUgriff nur mit ssh key: da darf
gerne jeder Bruteforceatacken auf das ssh am Server machen: der
ignoriert alles, was mit Passwort und ohne key passiert.
Das will ich dir auch wärmstens ans Herz legen: ssh am Server -> Nur mit
ssh key.

Bleibt also der Zugriff auf die Firewall.
Mach doch eine Blau-> Firewall Port 444 tcp Regel die Blockt und leg sie
in der Reihenfolge der Regeln über die Blau erlaubt Regeln.

Immer „Änderungen übernhmen“ nach Änderungen machen.
Beim IPFire hab ich da auch schon Verwirrungen beim Einrichten von
Firewallregeln bemerkt: vor allem sollte man den „zurück“ Knopf des
Browsers nicht bemühen!
Manchmal half ein reboot der Firewall, manchmal mußten aber
problematischen Regeln gelöscht, übernommen und neu angelegt werden, bis
sie richtig angenommen wurden (so als Hinweis für dich)

VIele Grüße

Holger