Neues WLAN mit Gastnetzwerk / Hotspot

Es gibt 4 Antworten in diesem Thema, welches 387 mal aufgerufen wurde. Der letzte Beitrag () ist von Networker.

    Hallo ihr Lieben,


    wir möchten bei uns in der Firma das WLAN neu gestalten. Ich bin intern für die IT und Digitalisierung zuständig. Leider ist Netzwerktechnik nicht meine Stärke.


    Nun zu meiner Problematik: Aktuell nutzen wir eine Fritzbox, welche als Access Point dient. Darüber kann man leider kein Gastnetzwerk im IP-Client-Modus machen.


    Unser Router ist ein Lancom 1790EF. DHCP wurde von unserem externen Serveradministrator eingerichtet, läuft meines Wissens aber über unseren Windows Server.


    Ich möchte das neue WLAN mit U6 Pro's aufbauen und darüber auch das Gastnetzwerk / Hotspot einrichten. Hierzu benötige ich meines Wissens nach einen Cloudkey+.

    Um das ganze etwas sicherer zu gestalten, habe ich auch bereits des Öfteren gelesen, das Gastnetzwerk sollte per VLAN getrennt sein, damit man hier keinen Unfug treiben kann.


    Der Kontakt und die Kommunikation mit unserem externen Serveradministrator ist manchmal aber etwas umständlich.


    Wie kann ich daher ein internes WLAN mit einem sicheren Gastwlan am einfachsten einrichten? Ich habe leider keinen direkten Zugriff auf den Lancom Router und den Windows Server.


    Meine Idee war: Cloudkey + und einige U6 Pro und darüber das Gastwlan erstellen. Ist das sicher genug oder sollten wir hier wirklich noch eine Trennung des Gastwlans via VLAN durchführen. Falls ja, wie kann ich hier vorgehen, ohne in die vorhandene Infrastruktur eingreifen zu müssen?


    Ich danke euch vielmals für eure Hilfe ! :smiling_face:

    Hallo TreueTomate und willkommen hier!


    Wir helfen Dir gerne weiter, allerdings solltest Du Dir bewusst machen, dass Du für alles, was Du in der Firma tust, haftbar gemacht werden könntest.

    Außerdem:


    Zitat von TreueTomate

    Ich bin intern für die IT und Digitalisierung zuständig.

    in Verbindung mit

    Zitat von TreueTomate

    Leider ist Netzwerktechnik nicht meine Stärke.

    und

    Zitat von TreueTomate

    Ich habe leider keinen direkten Zugriff auf den Lancom Router und den Windows Server.

    sind denkbar schlechte Voraussetzungen. Bist Du sicher, dass Du diese Verantwortung wirklich tragen willst?



    Zum Thema: Die U6-Pro sind prima AccessPoints, kann man machen. Bedenke, dass sie ausschließlich über PoE mit Strom versorgt werden.

    Bei Unifi braucht es immer einen Controller, dieser wird auch oft als "Network App" bezeichnet. Ein "Cloud Key" ist so ein Controller als eigenständige Hardware. Diesen brauchst Du aus meiner Sicht aber nicht, denn Du kannst Dir die Network App auch als Windows- oder Linux-Anwendung installieren.


    In der Network App oder alternativ im Cloud Key richtest Du alle benötigten SSIDs ein, unterstützt werden acht. Du brauchst vermutlich nur "internes Netz" und "Gastnetz".

    Wie genau dies nun eingestellt wird, dazu findest Du hier haufenweise Anleitungen. Du solltest allerdings mit Sicherheit sagen können, welches System bei Euch im Netzwerk DHCP-Server ist.

    Netzwerktechnisch wirklich sauber wäre das Ganze, wenn Du im Lancom all die Netze definierst, die dann auch durch die APs verwendet werden - aber an den kommst Du ja offenbar nicht dran.


    Es wäre vermutlich sinnvoll, wenn Du weitere, möglichst konkrete Fragen stellst, dann können wir sicherlich noch einige Tipps geben.


    Randnotiz: Von einem IT-Dienstleister, der mir nicht sämtliche Zugangsdaten für Geräte in meiner Firma zur Verfügung stellt, würde ich mich umgehend trennen.

    wenn Du keinen Zugriff auf den DHCP und DNS hast und gar keine VLAN etc. anlegen kannst haste eh verloren.

    Insbesondere eine GAST LAN bzw. GAST VLAN so abzusichern kannste vergessen.

    Insbesondere die Portalseite eines Gastnetzwerkes benötigt ,das sie ordentlich startet Zugriff auf den Host-Controller (wo die Controller Software läuft) und auf den DNS damit die Clients, die sich nicht angemeldet haben zu zwingen sich über die Portalseite anzumelden.

    Okay, habe ich verstanden.


    Ein Gastnetzwerk im gleichen Netz wäre aber ohne Probleme möglich ? Also einfach cloudkey und AP's ans Netzwerk anschließen und einrichten?

    Ist das Sicherheitsrisiko hier wirklich so groß ? Welche Möglichkeiten hätte hier ein potenzieller Angreifer im Vergleich zum sauber getrennten Ganznetzwerk?


    Ich habe nun nochmal geprüft. Sowohl DNS und DHCP laufen über unseren Windows Server. Sollte ich davon die Finger lassen, oder gibt es hier gute Tutorials und ist die Umsetzung schaffbar als "Netzwerk Anfänger". Ich habe Zugriff auf den Server.


    Insofern ich unseren externen IT-Admin einschalten muss: Die Hardware würde ich gerne schon einkaufen, da wir uns gerade im Umbau befinden und die Installation momentan ideal ist. Brauche ich ausser der Cloudkey und den AP's noch weitere Hardware ?


    Ich bitte die vielen Fragen zu entschuldigen. Als ich mit dem Thema begonnen habe, dachte ich nicht, dass es so schwer wird ein vernünftiges WLAN Setup hinzubekommen. Da ich mir das meiste autodidaktisch beibringe, bin ich für alles offen, was ich selbst machen kann solange es die Sicherheit und Funktionsfähigkeit des vorhandenen Netzes nicht beeinträchtigt.

    2 Mal editiert, zuletzt von TreueTomate () aus folgendem Grund: Ergänzung

    Zitat von TreueTomate

    Ich bitte die vielen Fragen zu entschuldigen.

    Das ist gar nicht schlimm, dazu ist eine Community da.



    Zitat von TreueTomate

    Da ich mir das meiste autodidaktisch beibringe, bin ich für alles offen, was ich selbst machen kann solange es die Sicherheit und Funktionsfähigkeit des vorhandenen Netzes nicht beeinträchtigt.

    Dieser Aspekt ist äußerst schwierig, denn Netzwerke sind zwar keine Raketentechnik, aber schon ein vermeintlich kleiner Fehler kann genau das, Sicherheit und/oder Funktionsfähigkeit massiv gefährden.

    Gerade wenn man am Anfang steht, sollte man nicht am Produktiv-Netz eines Unternehmen basteln. Jeder fängt mal an klar, aber dann lieber am Heimnetzwerk oder an einem expliziten Testnetz in der Firma, an dem keine Produktivsysteme hängen.


    Zitat von TreueTomate

    Brauche ich ausser der Cloudkey und den AP's noch weitere Hardware ?

    Die APs werden ausschließlich über PoE versorgt, das sollte natürlich sichergestellt sein. Dass Du eigentlich keinen CloudKey brauchst, habe ich ja oben schon geschrieben.


    Zitat von TreueTomate

    Sowohl DNS und DHCP laufen über unseren Windows Server. Sollte ich davon die Finger lassen

    JA! DNS ist der wichtigste Baustein eines Active Directory, welches sicherlich bei Euch betrieben wird. Baust Du hier einen Fehler ein, war es das mit Euren Clients.


    Zitat von TreueTomate

    Ist das Sicherheitsrisiko hier wirklich so groß ? Welche Möglichkeiten hätte hier ein potenzieller Angreifer im Vergleich zum sauber getrennten Ganznetzwerk?

    Das Risiko lässt sich von außen nicht bewerten, da ja niemand weiß, was Du mit dem Gästenetz konkret vorhast und was die sonstigen Rahmenbedingungen sind.

    Unterschiede zu einem eigenen Subnetz (also zur sauberen Konfiguration):


    - Das Gastnetz ist ausschließlich wireless, keine Einbindung von kabelgebundenen Geräten möglich

    - Eingeloggte Gäste kennen den IP-Adressbereich des Firmennetzes

    - Du musst Dich darauf verlassen, dass Ubiquiti die Trennung zuverlässig in Software durchführt - andernfalls wäre die Trennung viel "grundsätzlicher" und auch explizit über Firewallregeln zu konfigurieren

    - Ein Logging ist meines Wissens nach nicht möglich

    - IPv4-Adressen werden schneller knapp

    - Das Client-Management im Windows Server wird unübersichtlicher

    - Evtl. wird IPv6 zur Sicherheitslücke oder funktioniert pauschal gar nicht im Gastnetz


    Darüber hinaus hast Du, wenn Du keinen Zugriff auf den Router hast, keine Möglichkeit, das Netzwerk bei Bedarf zu erweitern oder auch an dieser Stelle mal in Logs zu schauen, Debugging zu betreiben.

    Daher möchte ich noch einmal explizit Deinen Enthusiasmus, Dein Engagement und Deine Lernbereitschaft loben, aber Dich trotzdem davor warnen, hier ohne professionelle Unterstützung fortzufahren.

    Einmal editiert, zuletzt von Networker ()