Optimierung des WLANs und Sicherheitsvorkehrungen: Hilfe benötigt!

Es gibt 13 Antworten in diesem Thema, welches 394 mal aufgerufen wurde. Der letzte Beitrag () ist von Josef95.

    Hallo zusammen,


    ich bin relativ neu hier und weiß nicht, ob ich diesen Beitrag richtig eingeordnet habe, aber vielleicht könnt ihr mir helfen.


    Ich habe zwei Anliegen. Erstens verwenden wir in unserem Haus Unifi AC-AP-Pro-Geräte. Allerdings stellen wir fest, dass die Performance zu wünschen übrig lässt. Wir nutzen den Cloud-Key 2 zur Verwaltung und sind mit 10 Gbit/s ans Internet angebunden. Daher meine Frage: Gibt es Optimierungseinstellungen, die wir vornehmen können, um das WLAN stabiler zu machen und die Geschwindigkeit für die Geräte zu optimieren? Zu Stoßzeiten dauert der Seitenaufbau teilweise sehr lange.


    Mein zweites Anliegen betrifft den Zugang zum WLAN. Leider kommt es immer wieder vor, dass das Passwort ohne unsere Zustimmung weitergegeben wird. Meine Idee war, ob man nicht bestimmte Einstellungen vornehmen kann, sodass nur ausgewählte Endgeräte mit einem bestimmten Zertifikat Zugang zum Internet erhalten bzw. sich mit dem WLAN verbinden können.


    Ich bin in dem Thema relativ neu, aber danke für eure Hilfe.


    Viele Grüße

  • Josef95

    Hat den Titel des Themas von „Optimierung des Unifi WLANs und Zertifikate“ zu „Optimierung des WLANs und Sicherheitsvorkehrungen: Hilfe benötigt!“ geändert.

    Zum ersten Thema - hier brauchen wir mehr Infos. was Genau sind die Probleme? Auf dem Cloudkey kannst du ja nachsehen welcher Client wie gut verbunden ist. 10GBit Internet ist pervers, der AC-Pro ist halt auch schon was Älter. Schau das die Geräte mit 5GHz angebunden sind und ggf. die Kanalbreite erweitern. Ist aber Abhängig von den Endgeräten wie gut das funktioniert.

    Wie viele Geräte sind denn zu Stoßzeiten verbunden? Was ist als Gateway / Firewall vorhanden?


    zum 2. Thema - man kann es über 2 Wege regeln, Authentifizierung oder MAC Adressen Filter. Das Thema Authentifizierung geht über User & PW oder auch mit Zertifikaten, klar. Brauchst halt einen Radius Server im Hintergrund dazu. Das Ganze nennt sich WPA2 Enterprise.

    Natürlich, hier ist eine etwas elegantere Formulierung:


    Hallo,


    vielen Dank für deine Rückmeldung.


    Hinter unserem Netzwerk steht eine Sophos Firewall, während die Switche untereinander leider nur mit 1 Gbit/s verbunden sind. Ein DHCP-Server im selben Netz verteilt die Adressen. Zu Stoßzeiten verbinden sich etwa 30-40 Clients mit einem Access Point, vorwiegend über das 2,4-GHz-Band.


    In Anbetracht dieser Situation stellt sich die Frage, ob gezielte Optimierungen und Einstellungen vorgenommen werden können, um die Leistung zu steigern. Insbesondere der Download von App-Aktualisierungen sowie das normale Streamen und Surfen gestalten sich zu Stoßzeiten langsam. Ich habe bereits Bandbreitenbeschränkungen eingerichtet, um sicherzustellen, dass einzelne Clients nicht die gesamte Leistung beanspruchen.


    Es ist bedauerlich zu hören, dass meine Hoffnung, dass ein Radius-Server nicht erforderlich wäre und der Cloud-Key möglicherweise als Radius dienen könnte, nicht erfüllt wurde.


    Vielen Dank für deine Hilfe.

    Sophos SG haben wir akuell, diese sollte auch bald aus ausgetauscht werden.


    Ja würde über Mac-Adressen Filter gehen, leider ist das doch sehr Aufwändig bei der Anzahl an Geräten ca. 800.

    Daher war meine Überlegung über das Profil ein Zertifikat auszurollen was die Berechtigung erteilt, um sich mit dem Netzwerk zu verbinden.

    Zitat von Josef95

    2,4-GHz-Band

    Die AC Pro können max 450mbit auf 2,45 GHZ. dazu noch viele Clients,... das kann dann schon mal dauern.

    Ich würde ein getrenntes Wlan für 5 GHZ aufmachen, und die Arbeitsgeräte dahin verbinden. hier hast du schon mal Grundlegend deutlich mehr Bandbreite zur Verfügung.

    Natürlich wären auch weitere Einstellungen (Kanalbreite,...) hilfreich zu wissen, da es hier auch stark limitieren kann

    40 Geräte ... und 1 AP? Das wird nix, gerade mit 2,4 GHz ist das völlig verständlich. Da kann der "alte" AC-Pro eh nicht viel und Bandbreite kommt erst mit 5GHz.

    Die SG könnte eine zusätzliche Bremse sein aber kommt natürlich auch auf das genaue Modell an. Aber selbst unabhängig davon, die SG ist so alt ... die neuen haben um Welten mehr Durchsatz.

    Einmal editiert, zuletzt von noobatpc ()

    Zu den Passwörtern: Wer gibt denn die PW weiter, Kinder oder Gäste? Falls Gäste dann würde ich eh auf ein Gast-WLAN setzen. Falls Kinder oder Familienmitglieder, dann auf separate WLAN und darunterliegend separate VLAN setzen, dann kann man wenigstens zonieren und die Berechtigungen einschränken, dass sie nicht überall drauf kommen.


    Auch mit den max 450mbit lässt sich ordentlich streamen, arbeiten oder surfen. Schalte bei deinem AP einfach mal 5GHz ein mit aktivierter Band Steering, dann sollte es zumindest etwas schneller werden.

    Natürlich, hier ist eine überarbeitete Version:


    Hallo, zunächst einmal vielen Dank für eure zahlreichen Antworten.


    Ich bin relativ neu in der IT-Abteilung gelandet und musste feststellen, dass in den letzten Jahren wenig investiert und verändert wurde. Zudem ist unser Budget immer noch begrenzt, was bedeutet, dass ich nicht einfach alles neu kaufen kann. Wir konnten bereits einige Verbesserungen vornehmen, wie zum Beispiel alle Switche durch managebare Modelle desselben Herstellers zu ersetzen.


    Die Umstellung auf WPA-Enterprise wäre eine gute Alternative, jedoch fehlen uns momentan die Kapazitäten, um dies sofort umzusetzen. Ich habe euch im Anhang die Konfiguration eines WLAN-Netzes beigefügt und würde mich über einige Ratschläge freuen.


    Leider wurden WLAN-Passwörter bisher manuell auf jedem Gerät eingerichtet, was natürlich zu Sicherheitsproblemen geführt hat. Ich habe bereits begonnen, das neue Netzwerk über eine MDM-Lösung auszurollen, und versuche jetzt nach und nach alles zu optimieren.


    Vielen Dank für eure Unterstützung.

    Ohje, wo fänget man da an...


    Zunächst mal: Dein Screenshot zeigt zwar WLAN-Einstellungen, aber die für die Geschwindigkeit relevanten Einstellungen sind das nicht. Einige Anmerkungen dazu:


    - Band Steering kann bei manchen Geräten (insbesondere Apple) Probleme verursachen

    - Fast Roaming würde ich aktivieren, wenn ich relativ aktuelle WLAN-Clients habe

    - Die SSID zu verstecken ist ein Pseudo-Sicherheitsfeature, welches niemanden davon abhalten wird, Euer Netz anzugreifen

    - Ihr habt eine WLAN-Begrenzung aktiviert, hast Du Dir das schon mal genauer angesehen?



    Die relevanten Einstellungen für WLAN-Geschwindigkeit und Reichweite sind z.B. Channel Width (Kanalbandbreite), Transmit Power und im 5 Ghz-Band auch der gewählte Kanal, Kanal 100+ erlaubt etwas höhere Sendeleistung.

    Diese Einstellen werden bei Unifi in den APs selber gesetzt, man kann diese natürlich auch als Gruppe konfigurieren.


    Du solltest eine grundsätzliche Analyse Eures WLANs durchführen, angefangen mit einer Messung der Ausleuchtung an allen relevanten Stellen im Gebäude. Als nächstes schaut man sich die Endgeräte bzw. deren Verbindungen genauer an, dabei können auch Daten aus dem Unifi Network-Controller helfen.


    40 Clients auf einem AP können diesen schon sehr fordern, wenn alle Clients aktiv sind. Dazu auch ein kleines Rechenbeispiel: Der AP ist nur mit 1000 Mbit/s angebunden, bleibt für jeden Client gerade mal 25 Mbit/s Datenrate brutto, was nach Abzug von Overhead vielleicht noch 10 Mbit/s netto sind. Dieser Wert wird auch dadurch beeinflusst, wie oft ein AP Pakete mehrfach senden muss, weil manche Clients in seinem "Versorgungsbereich" mit ihrer Konnektivität hart auf der Kippe stehen.


    Du kannst Dir durchaus mal Videos von Crosstalk Solutions ansehen, hier gibt es mehrere zur Optimierung von Unifi WiFi. Gehe aber unbedingt davon aus, dass Du das Problem ohne (deutliche) Erweiterung Eurer Hardware nicht entscheidend wirst verbessern können.


    Zum Schluss noch ein genereller Tipp: Anhand der Anzahl der betreuten Geräten kann man wohl fest davon ausgehen, dass Ihr ein Unternehmen mit Mitarbeitern in der Größenordnung 500-1000 seid. Wenn bei so einer Größe kein Geld für die IT und entsprechende Moderniesierungen da ist, wäre ich an Deiner Stelle sehr vorsichtig bei allem. Oftmals hat man es bei solchen Rahmenbedingungen mit einer eher verantwortungslosen Geschäftsführung zu tun, die den Wert Ihrer IT nicht kennt und schon gar nicht wertschätzt. In so einer Konstellation kannst Du fast nur verlieren, denn offenbar bist Du neu, noch relativ unerfahren und wirst vermutlich im Zweifel schnell für alles verantwortlich gemacht, was nicht funktioniert.

    Ich schreibe dies, weil es leider nicht wenige Firmen gibt, wo es genau so läuft. #Neuland


    IT kann extrem wertvoll und produktivitätssteigernd für Firmen sein, aber es braucht Budget für Hard- und Software sowie -ganz wichtig- fähiges und motiviertes Personal. All dies auch nicht einmalig, sondern als dauerhaften "Posten".

    Wenn Du eine GL hast, die dies ganz anders sieht, würde ich mich an Deiner Stelle schon mal nach anderen Stellen umschauen.

    Switche untereinander mit 1Gbit. Ein Accesspoint mit vielen Clients, der auch nur eine 1GBit Schnittstelle hat. 10Gbit Internet ... das passt hinten und vorne nicht zusammen. Da gibt es mit Sicherheit mehr als einen Flaschenhals. Zur Sophos geht auch nur 1Gbit Link?


    Das wird nicht mit mit Einstellungsoptimierungen zu beheben sein. Da muss kräftig aufgebohrt werden. kann mich eigentlich nur Networker anschliessen. Für 10Gbit Internet alleine kann man sich nichts kaufen - auch nicht wenn ggf. die GL das so sieht.

    Hallo,



    vielen Dank für deine ausführliche Antwort, das bedeutet mir wirklich viel. Ich werde deine ersten beiden Ratschläge direkt umsetzen - schlimmer kann es nicht werden :winking_face: Ich habe euch zusätzlich noch die restlichen Screenshots zu diesem Thema geschickt. Leider habe ich im Bereich WLAN nur wenig Erfahrung, da ich bisher hauptsächlich in der Windows-Welt und mit Cisco-Switches gearbeitet habe, jedoch weniger mit den WLAN-Einstellungen und der Kanalbreite.



    Leider können die Switche nur 1Gbit SFP-Module unterstützen und keine 10 Gbit. Dies war ein Fehlkauf , der bereits vor meiner Zeit getätigt wurde.



    Leider kann ich jetzt nicht einfach vorschlagen, neue Switche zu kaufen, obwohl erst kürzlich alle ausgetauscht wurden. Aktuell versuche ich, die Switche über ein Trunk auf 4 Gbit zu bringen, um zumindest etwas mehr Leistung herauszuholen. Leider ist das Budget begrenzt, besonders im öffentlichen Dienst. Da kann ich nicht viel machen. Ich bin zwar motiviert und versuche viele Ideen umzusetzen, aber leider klappt das alles nicht so, wie ich es mir vorgestellt habe.



    Ich hatte bereits vorgeschlagen, eine WLAN-Ausmessung durchzuführen, jedoch liegt dieses Vorhaben momentan auf Eis, da ich aktuell keine Kapazitäten dafür habe und die finanziellen Möglichkeiten begrenzt sind.



    Trotzdem möchte ich euch allen sehr danken für eure Worte und eure Unterstützung.



    Viele Grüße

    Zudem diente das Verstecken der SSID nicht als Sicherheitsfeature, sondern eher dem Zweck, dass das WLAN-Netz nicht öffentlich sichtbar ist. Es gab immer wieder Fragen danach, ob man das Passwort haben dürfe :winking_face: