Hilfe: Hotelnetzwerk



  • Hallo,

    Ich versuche schon seit einiger Zeit unser Hotelnetzwerk kostengünstig zu stabilisieren, mit leider mäßigem Erfolg.
    Zum einen haben wir eine wirklich schreckliche Internetanbindung (4Mbit), welche aber in Südtirol leider immer noch in gewissen Gegenden gängig und nicht erweiterbar ist.
    Zum anderen stürzt das Netzwerk alle paar Wochen ab, wo ich aber noch nicht wirklich den Übeltäter gefunden habe. Meistens kann ich es durch Neustarten des Firewalls (momentan M0n0wall), Routers, der Switches oder einzelner AccessPoints die im Haus montiert sind wieder herstellen. Mein Ziel wäre es, unser Netzwerk so zu stabilisieren, dass die Probleme nicht so häufig auftreten wie Momentan, bzw. dass ich nicht von Gästen benachrichtigt werden muss, falls bei ihnen Verbindungsprobleme auftreten.

    Kurz zu mir: Ich  studiere zurzeit noch (Elektrotechnik), bin somit nicht ständig im Haus. Bin kein Fachmann in Netzwerktechnik, aber kenne mich zufriedenstellend mit dieser Thematik aus und mach das auch gerne. Deshalb kommt für mich ein externer IT-techniker in unserem Umfeld nicht in Frage (die kennen sich hier auch nur mäßig aus, wie ich bis jetzt leider feststellen musste).

    Nunmal zur Netzwerkschematik:

    
          WAN / Internet
                :
                : Cable
                :
          .-----+-----.
          |  Router   |  (Telecom 4 Port Router)
          '-----+-----'
                |  192.168.1.1
                | 
            WAN 192.168.1.1/24
                | 
                |  192.168.1.2
          .-----:---------------------------------------------------.
          |                         M0n0wall                                   | 
          |                                                                         |
          '-----:------' --------------------------------------------'  
                |  192.168.0.10                                   |  10.0.0.254
                |                                                        |  
            LAN |192.168.0.1/24                           GästeNetz mit Captive Portal |10.0.0.1/24  
                |                                                        |  
                |                                                        |  
          .-----+--------.                                      .-----+--------.    
          | LAN-Switch |     01.1                           | LAN-Switch |     01.02      | 8 Wlan-AP
          '-----+--------'                                       '-----+--------'
                |                                                        |
        Büro Pcs, Drucker, etc.                            .-----+--------.   
        8 Clients insgesamt, Kein Wlan                          | LAN-Switch |      02.01     |  6 Wlan-AP
                                                                     '-----+--------'
                                                                         |
                                                                      .-----+--------. 
                                                                      | LAN-Switch |     03.01    |   5 Wlan-AP
                                                                      '-----+--------'
    
    

    Die 3 Gästenetzwerkswitches befinden sich in 3 Verschiedenen Racks verteilt im Hotel.

    Die 5 APs im Switch 03.01 werden mit PoE versorgt, die restlichen APs im Haus normal übers Netz.

    Alle APs sind im 192.168.8.1/24 Subnet (Hat damals unser IT eingestellt, Hat dies einen Vorteil? oder sollte ich sie besser ins 10.0.0.1/24 subnet wechseln? Ich würde auch gerne vom LAN Netzwerk auf die APs im Getrennten Gästenetzwerk zugreifen können, welches ich so wie es momentan eingestellt ist, nicht schaffe, da Firewall anderes Subnet als APs besitzt.

    Beide Netzwerke sind voneinander getrennt

    Gäste werden beim Verbinden ins unser Wlan auf die captive Portal Seite via Browser weitergeleitet, wo sie sich anmelden müssen. Man kann Geräte via MAC Adresse direkt freischalten, sodass sie keine Anmeldung mehr benötigen, jedoch muss man dennoch einmal die CaptivePortal seite aufrufen damit man freigeschalten wird und ins netzwerk kann. Ziemlich nervig wenn ich Geräte wie TVs, Konsolen, etc ins wlan Gästenetz reinbringen möchte, da ihr Verbindungstest beim einrichten ständig fehlschlägt und somit nicht ohne tricks (Laptop MAC Adresse auf MAC von Gerät einstellen, dann damit anmelden, Wlan deaktivieren und mit gewünschtem Gerät ins Wlan einloggen und dies hält auch nur so lange wie ich die IdleTimeout bzw leasingzeit eingestellt habe, danach muss ich des wieder so machen…) Gibt es hierzu eine mit pfsense eine einfachere Möglichkeit?

    Da wir momentan (bekommen bald eine 2. Internetanbindung mit bessere Bandbreite) nur sehr wenig Bandbreite zur Verfügung haben, hab ich auch schon mit dem M0n0wall trafficshaper herumgespielt, welches aber dermaßen instabil lief, dass ich es leider wieder deaktivieren musste. Hab lediglich im Captive Portal Menu Clients auf maximal 1200 kbit down und 500 kbit up beschränkt, um nicht einen kompletten Ausfall des Netzes zu haben, wenn 3 Gäste gleichzeitig videos streamen.

    So jetzt zu meinen eigendlichen Fragen: Habt ihr Vorschläge was ich im Netzwerk veränderen könnt um zumindest das Netzwerk flüssiger und stabiler zu gestalten? Bei der Internetbandbreite können wir gerade nicht viel machen und nur abwarten und hoffen, aber auch das Wlan sollte zumindest stabil sein, damit Gäste Whatsapp, emails etc. flüssig verwenden können. Stichwort mehrere Subnets im Gästenetzwerk, um Broadcastings zu vermeiden? wie kann ich das realisieren?
    Würde auch liebend gerne die m0nowall mit einer Pfsense box austauschen, da mir vorkommt dass die m0n0wall etwas langsam ist (hardware älter) und sie an manchen Tagen Wirklich stark ausgelastet ist. Meine Latency ist auch relativ schlecht springt von 60 auf 400 ms und höher. Welche Pfsense box könnt ihr mir empfehlen? Würde eine Rackvariante vorziehen, damit des aufgeräumt im Technikraum montiert werden kann. Dennoch möcht ich nicht mehrere Tausend € dafür ausgeben, da unser Internet eh nie auf Glasphasestandarts wie bei euch in Deutschland rankommen wird. Es sollte flüssig, stabil und mit der Bandbreite welche zur verfügung steht gerecht umgehen können, mindestens die 2 Lan und 1 Wan anschlüsse besitzen wie bereits unsere M0n0, und langlebig sein. Könnte sie auch selber zusammenbauen, jedoch hab ich wenig erfahrung mit Routerhardware, nur mit privatanwender-PC.

    SOOO vielen Dank wenn ihr bis zum Ende des Textes durchgehalten habt, ich hoffe ich hab es nicht zu schlecht formatiert. Falls noch Informationen nötig sind, die schreibe ich euch gerne! Mit freundlichen Grüßen, Felix



  • Hi,

    so wie sich das liest, ist dein Netzwerk nicht sauber aufgebaut!

    Mein Vorschlag: LAN kann so bleiben, wenn die Angabe "01.1" keine Aussage über die IP Adresse ist. Ansonsten sollte die IP des Switches (falls vorhanden) im gleichen Netz wie die anderen Geräte (außer hier wurde mit VLAN gearbeitet, was du aber nicht geschrieben hast).

    Vorraussetzung, managebare Switches. Diese sind kostengünstig und sollten sein.
    Die "Gästeseite" der monowall bekommt 2 VLANe VLAN10 und VLAN20. Auf den APs richtest du je zwei SSIDs ein, eine für die Gäste  mit VLAN20 und eine für dich mit VLAN10 und gleichzeitig Managementzugang für den AP. Pro VLAN ein IP-Bereich zb 10.0.10.0/24 und 10.0.20.0/24. Dein LAN kannst du bei Bedarf in der monowallauf VLAN10 Bridgen, dann muß der IP Adressbereich ebenfalls gleich sein. Ansonsten routed die monowall zwischen LAN und VLAN10, hier mußt du dann entsprechende Rules setzen. Vorsicht bei den DHCP Servern, es darf nur einer pro IP-Subnetz existieren.

    Soweit zum Aufbau, wie er sein könnte. Natürlich kann man hier noch mehr trennen usw., aber das sollte erstmal reichen.

    Viele Howtos gibt es bei administrator.de von aqui. Den rauen Umgangston muß man abkönnen, hier gibt es aber wirklich viel Wissen zu holen!

    Gruß
    pfadmin



  • @pfadmin:

    Hi,

    so wie sich das liest, ist dein Netzwerk nicht sauber aufgebaut!

    Mein Vorschlag: LAN kann so bleiben, wenn die Angabe "01.1" keine Aussage über die IP Adresse ist. Ansonsten sollte die IP des Switches (falls vorhanden) im gleichen Netz wie die anderen Geräte (außer hier wurde mit VLAN gearbeitet, was du aber nicht geschrieben hast).

    ups hab wohl etwas verwirrend beschriftet. Nein die switch bezeichnung ist lediglich dazu da, um ihnen unterschiedliche namen zu geben und sie mit der ersten zahl örtlich zu trennen, da sie sich in unterschiedlichen positionen befinden. Die switches sind nicht managebar. Alle Clients / Geräte die auf  dem Lan-Netz dran hängen sind im 192.168.0.0/24 subnet.

    @pfadmin:

    Vorraussetzung, managebare Switches. Diese sind kostengünstig und sollten sein.
    Die "Gästeseite" der monowall bekommt 2 VLANe VLAN10 und VLAN20. Auf den APs richtest du je zwei SSIDs ein, eine für die Gäste  mit VLAN20 und eine für dich mit VLAN10 und gleichzeitig Managementzugang für den AP. Pro VLAN ein IP-Bereich zb 10.0.10.0/24 und 10.0.20.0/24. Dein LAN kannst du bei Bedarf in der monowallauf VLAN10 Bridgen, dann muß der IP Adressbereich ebenfalls gleich sein. Ansonsten routed die monowall zwischen LAN und VLAN10, hier mußt du dann entsprechende Rules setzen. Vorsicht bei den DHCP Servern, es darf nur einer pro IP-Subnetz existieren.

    Soweit zum Aufbau, wie er sein könnte. Natürlich kann man hier noch mehr trennen usw., aber das sollte erstmal reichen.

    Viele Howtos gibt es bei administrator.de von aqui. Den rauen Umgangston muß man abkönnen, hier gibt es aber wirklich viel Wissen zu holen!

    Gruß
    pfadmin

    ich glaube nicht dass ich auf der monowall die beiden vlans auf einem Interface verwenden kann oder? brauch ich da nicht noch einen Lananschluss, um von den switches die vlan getrennt voneinander auf die monowall zu führen? zudem können nicht alle aps in dem netzwerk vlans für verschiedene ssids erstellen glaub ich. haben noch ein paar ältere level one wap 6002 im haus, welche des net können. die meisten sind jedoch eminent 4543 wireless router 150n welche des im stande sind soweit ich weiss. Wäre auch kein Problem des auszutauschen. Müsste ich alle 4 switches mit managebaren switches austauschen? welche könntest du mir empfehlen in der 19zoll rackmountvariante? vielen dank soweit für deine antwort. hatte schon angst, dass der thread einfach absinkt :)



  • Was sind das für Switche (gemanagt?) und was für APs? Gibt es bei so vielen APs (und somit vermutlich auch Gästen) einen WLAN Controller?
    Wie der Vorposten schon schrieb solltest Du alle Management-Interfaces der Switch und APs in ein separates Management VLAN stecken.

    Ich würde noch versuchen, die Uplinks der Switche separat zu einem Core-Switch zu führen (und diese nicht durchzuschleifen). Wenn sich sonst Dein Switch 01.02 aufhängt, dann funktioniert dahinter gar nichts mehr.



  • Switch-Empfehlung hier im Forum ist eigentlich durchgehend Cisco SG300-er Serie. Die wird jedoch in absehbarer Zeit durch SG-350 abgelöst und momentan sind beide Serien schwer erhältlich, was die Preise in die Höhe treibt.

    Ich kenne Eminent als Hersteller von APs und Routern gar nicht. Kann man die Dinger "blöd" machen, so dass sie nicht als Router sondern nur als AP arbeiten?
    Für Deine Packungsdichte kann ich eigentlich nur AccessPoints von Ruckus Wireless empfehlen, dazu einen von deren WLAN Controllern.



  • Lies mal nach, was VLAN bedeutet: https://de.wikipedia.org/wiki/Virtual_Local_Area_Network
    Im Grunde trennst du die Netze nicht durch separate Kabel, sondern durch IDs, die die Ethernetpakete unterscheidbar machen.

    Tippfehler

    Alle APs sind im 192.168.8.1/24 Subnet (Hat damals

    ?



  • Ich kann die Ruckus auch empfehlen, bei dir dürfte die Variante "Unleashed" reichen. Da ist der Controller in abgespeckter Form im Master AP drin. Mesh geht auch, also ohne Draht zwischen den APs was allerdings zu Lasten des Durchsatzes geht. Bei deinen 4MBit/s sollte das allerdings unkritisch sein. Hier sparst du dir dann die Switche. Kosten allerdings auch mehrere 100euronen….

    Falls das Geld nicht so locker sitzt, es gibt auch preiswerte managebare switches...

    Hast du ein Budget, oder eher lieber nicht :-)



  • @sh0wBIZZ:

    ich glaube nicht dass ich auf der monowall die beiden vlans auf einem Interface verwenden kann oder? brauch ich da nicht noch einen Lananschluss, um von den switches die vlan getrennt voneinander auf die monowall zu führen?

    Genau dafür hat man sich VLANs ausgedacht. Das geht.

    Aber ganz ehrlich, ich würde die m0n0wall durch eine aktuelle pfSense Installation auf zeitgemäßer Hardware ersetzen.
    Zusammen mit neuen Switchen und vernünftigen APs wäre das schon eine komplette Neuinstallation. Dafür gibt's bestimmt Ärger…

    Also am sinnvollsten ist es, die Switche durch gemanagte Typen zu ersetzen und das Management aller Komponenten strikt vom Gast-Traffic zu trennen. Sonst bekommst Du da nie Ruhe rein bzw. kannst nie ausschließen, dass da ein Gast etwas "neugierig" war oder einfach nur Spaß hatte.
    (ich war's nicht, war schon länger nicht mehr in AT in einem Hotel ;-)



  • @pfadmin:

    … Mesh geht auch, also ohne Draht zwischen den APs ...

    Um Gottes Willen, lass das bloß! Bei 18 APs ist schon so viel Matsch in der Luft, dass das nie sauber funktionieren wird. Zumal zu den APs (oder wie immer man die Dinger bezeichnen kann) sowieso schon Kabel liegen. Da wäre Vermaschen eine Todsünde!



  • Im Grunde gebe ich dir Recht, dass man das Mesh lassen sollte, wenn man kann. Die 18AP habe ich gar nicht gelesen, da ist ein separater Controler und Kabel zu den APs auf jeden Fall richtiger.



  • puh auf einmal geht da voll die party ab  ;D

    @jahonix:

    Switch-Empfehlung hier im Forum ist eigentlich durchgehend Cisco SG300-er Serie. Die wird jedoch in absehbarer Zeit durch SG-350 abgelöst und momentan sind beide Serien schwer erhältlich, was die Preise in die Höhe treibt.

    Ich kenne Eminent als Hersteller von APs und Routern gar nicht. Kann man die Dinger "blöd" machen, so dass sie nicht als Router sondern nur als AP arbeiten?
    Für Deine Packungsdichte kann ich eigentlich nur AccessPoints von Ruckus Wireless empfehlen, dazu einen von deren WLAN Controllern.

    ich kannte sie auch net, hat unser ITler eingebaut da er auch eminent partner ist nehm ich an, sind aber nicht so schlechte geräte wie mir vorkommt. ja die kann man so einstellen dass sie nur als ap arbeiten. darf man hier links einfügen im forum sonst ist auch egal, google kann ja jeder selber benutzen^^
    bei 4 accesspoints auswechseln wär des schon um die 1000€ wenn ich auf cisco umsteige?

    @jahonix:

    Was sind das für Switche (gemanagt?) und was für APs? Gibt es bei so vielen APs (und somit vermutlich auch Gästen) einen WLAN Controller?
    Wie der Vorposten schon schrieb solltest Du alle Management-Interfaces der Switch und APs in ein separates Management VLAN stecken.

    Ich würde noch versuchen, die Uplinks der Switche separat zu einem Core-Switch zu führen (und diese nicht durchzuschleifen). Wenn sich sonst Dein Switch 01.02 aufhängt, dann funktioniert dahinter gar nichts mehr.

    die switches sind wie folgt 01.01, 02.01 und 03.01 sind eminent 16 port switch em4416 r2
    01.02 ist ein tp link sg1016d, alle 4 sind ungemanaget. APs sind meistens eminent 4543 wireless router 150n und noch 4 level one wap 6002 reliquien vom anfang^^
    wir haben so viele aps, da der empfang net so weit reicht und des unser ITler vorzu installiert und erweitert hat. teilweise deckt ein AP nur ein Zimmer ab, da Stahlwolleisolierung in den Wänden zum stiegenhaus, Glas mit Metall (kein plan ob des stimmt, wurde mir nur so gesagt und ich sags weiter), Metall in den Zimmertüren usw. des signal ziemlich gut abschirmt. Haben nur um die 40 Zimmer und so ca. 100 active dhcp leases im schnitt (personal, gäste und privat, jeder mit 1-2 geräten, was aber nicht unbedingt bedeutet dass 100 gleichzeitig surfen, sondern sich innerhalb der letzten paar tage angemeldet haben, gleichzeitig würd ich so um die 40 clients schätzen maximal)

    @pfadmin:

    Lies mal nach, was VLAN bedeutet: https://de.wikipedia.org/wiki/Virtual_Local_Area_Network
    Im Grunde trennst du die Netze nicht durch separate Kabel, sondern durch IDs, die die Ethernetpakete unterscheidbar machen.

    Tippfehler

    Alle APs sind im 192.168.8.1/24 Subnet (Hat damals

    ?

    Tippfehler: hat damals unser IT-guy eingestellt. nicht ich, weiss auch net ob des richtig ist, aber es funktioniert.^^

    hab ich durchgelesen und immer noch nicht ganz klar was ein vlan ausmacht. wenn ich zb auf nen switch einen pc mit ip adresse 192.168.0.50 und nen anderen mit 192.168.1.50 anstecke, hab ich dann schon 2 vlans erzeugt oder braucht es dafür mehr? geht das nur mit managebare switches? unsere APs sind zurzeit im 192.168.8.0/24 subnet eingestellt und gäste bekommen von dem m0n0 dhcp 10.0.0.0/24 zugewiesen, also sind das schon 2 vlans aufm selben switch oder nicht? und mein bedenken war jenes, dass ich bei der m0n0 beim wifi interface nur eine ip zuweisen kann, welche sich auch im 10.0.0.0./24 befindet. die m0n0 kann die accesspoints nicht pingen. wenn ich jedoch mit nem lankabel direkt auf die switches fahr und mir ne ip im 192.168.8.0/24 gebe, kann ich darauf zugreifen. ich würde nur gern ohne dafür ständig zum rackkasten mit laptop und lankabel darauf zugreifen können, aber dafür muss die m0n0wall wissen dass sich auf dem interface noch ein 2. subnet befindet. hab die option noch nicht im menu gefunden und deshalb angenommen dass man dafür vielleicht dennoch ein weiteres interface benötig sprich weiteren port?

    @pfadmin:

    Ich kann die Ruckus auch empfehlen, bei dir dürfte die Variante "Unleashed" reichen. Da ist der Controller in abgespeckter Form im Master AP drin. Mesh geht auch, also ohne Draht zwischen den APs was allerdings zu Lasten des Durchsatzes geht. Bei deinen 4MBit/s sollte das allerdings unkritisch sein. Hier sparst du dir dann die Switche. Kosten allerdings auch mehrere 100euronen….

    Falls das Geld nicht so locker sitzt, es gibt auch preiswerte managebare switches...

    Hast du ein Budget, oder eher lieber nicht :-)

    das geld würd zwar auch locker sitzen, denoch find ich für ungefähr 4mbit dsl brauch ich kein uninetzwerk im hotel aufbauen. cool wärs auf jeden fall :D aber die leitung ist und wird unser bottleneck bleiben und damit hab ich mich schon abgefunden. ich möcht nur, dass des netzwerk dennoch net alle paar wochen ausfällt und ich keinen plan habe warum das so ist. ich hätte des einfach gerne etwas stabiler. die eminent aps würde ich ungern alle austauschen, da die gerade erst ein jahr alt sind und auch was gekostet haben. für alles inklusive neuer pfsense box würde ich auch gerne unter 3000 euro bleiben, wenn nicht noch weiter drunter, da wie gesagt, ich find es übertrieben zu viel dafür auszugeben wenn man nicht mal 5 youtube videos simultan flüssig streamen kann damit. oder lieg ich da falsch?

    @jahonix:

    Genau dafür hat man sich VLANs ausgedacht. Das geht.

    Aber ganz ehrlich, ich würde die m0n0wall durch eine aktuelle pfSense Installation auf zeitgemäßer Hardware ersetzen.
    Zusammen mit neuen Switchen und vernünftigen APs wäre das schon eine komplette Neuinstallation. Dafür gibt's bestimmt Ärger…

    Also am sinnvollsten ist es, die Switche durch gemanagte Typen zu ersetzen und das Management aller Komponenten strikt vom Gast-Traffic zu trennen. Sonst bekommst Du da nie Ruhe rein bzw. kannst nie ausschließen, dass da ein Gast etwas "neugierig" war oder einfach nur Spaß hatte.
    (ich war's nicht, war schon länger nicht mehr in AT in einem Hotel ;-)

    jo deshalb hab ich auch hier gefragt. würd mir gern ne pfsense box zulegen, bin ein fan von opensource. welche würdest du mir in meinem fall empfehlen? wie gesagt, unsere internetanbindung ist bottleneck, brauchen somit keine highend box außer du findest dass des sonst nie was wird mit dem netzwerk. da hab ich nicht soo viel erfahrung. man kann eh nicht auf die AP zugreifen, da sie sich in nem ganz anderen subnet befinden oder etwa doch? nicht mal die m0n0wall kann des (?)
    und südtirol ist nicht in AT auch wenn des der name vermuten lassen würde :D wir sind im schönen italien ganz oben, also bist du es schonmal nicht, der mir immer mein netzwerk abstürzen lässt :D hihi



  • Nur kurz zu den vlans:

    Grob gesagt teilen die vlans die Kabel virtuell auf , indem die Daten mit IDs versehen werden, welchem VLAN (Virtuellem LAN) sie angehören. Das passiert im sogenannten Layer 2. Die IP Adressen liegen im Layer 3 und sind für den Layer 2 nur teil der Nutzdaten und interessieren ihn nicht. Die Switche müssen managebar sein, sonst könnte man die VLAN-IDs nicht eintragen. Du mußt jedem Port sagen, welchem VLAN er angehört und ob er die ausgehenden Daten "taggen" also mit der VLAN-ID versehen soll, damit der Empfänger die VLAN auch auseinanderhalten kann. Die AP müssen das auch unterstützen, sonst könnten sie das Gäste-WLAN nicht vom Management-LAN unterscheiden.

    Im Grunde sparst du dir mit den Virtuellen LANs halt die realen Ports ein auf Kosten der Bandbreite aber mit dem Gewinn einer Struktur im Netzwerk, mehr Sicherheit usw. ohne zusätzliche Kabel zu verlegen.

    Guckst du unbedingt mal hier rein, alles was du brauchst ist hier beieinander. Inkl Captive-Portal. Als pfsense Hardware sehe ich ein APU1d mit SSD für unter 200euronen.

    Aber ganz ehrlich sehe ich diese Aufgabe nicht so ganz bei dir. Du hast hier ein produktives Netz und nicht mal Ahnung, was VLANe sind. Das ist nicht schlimm und man kann das sicher lernen, aber dann solltest du davon ausgehen, das oft und länger dein Netz nicht gehen wird, weil irgendwas nicht so funktioniert wie es da steht! Bedenke das bitte.

    Grüße
    pfadmin



  • @pfadmin:

    …Als pfsense Hardware sehe ich ein APU1d mit SSD für unter 200euronen...

    Würde ich inkl. CaptivePortal nicht (mehr) machen. Mindestens eine APU2, die langweilt sich dann aber auch nicht.
    Ich würde eher zu einer SG-2440 greifen, das macht hier mehr Sinn.

    Und dann wären die Switche an der Reihe.

    Die WLAN-Geräte kenne ich wie gesagt nicht, wenn sie sich in einen AccessPoint Mode schalten lassen, dann könnte das ja erst einmal funktionieren.
    Gibt es denn Probleme mit der Ausleuchtung oder ist das zufriedenstellend?
    Wie viele unterschiedliche SSIDs sollen die eigentlich abstrahlen? Bei den z.T. begrenzten Radien ist das doch sicherlich nur eine "Hotel-Gäste" oder?



  • @pfadmin:

    Nur kurz zu den vlans:
    Grob gesagt teilen die vlans die Kabel virtuell auf , indem die Daten mit IDs versehen werden, welchem VLAN (Virtuellem LAN) sie angehören. Das passiert im sogenannten Layer 2. Die IP Adressen liegen im Layer 3 und sind für den Layer 2 nur teil der Nutzdaten und interessieren ihn nicht. Die Switche müssen managebar sein, sonst könnte man die VLAN-IDs nicht eintragen. Du mußt jedem Port sagen, welchem VLAN er angehört und ob er die ausgehenden Daten "taggen" also mit der VLAN-ID versehen soll, damit der Empfänger die VLAN auch auseinanderhalten kann. Die AP müssen das auch unterstützen, sonst könnten sie das Gäste-WLAN nicht vom Management-LAN unterscheiden.
    Im Grunde sparst du dir mit den Virtuellen LANs halt die realen Ports ein auf Kosten der Bandbreite aber mit dem Gewinn einer Struktur im Netzwerk, mehr Sicherheit usw. ohne zusätzliche Kabel zu verlegen.
    Guckst du unbedingt mal hier rein, alles was du brauchst ist hier beieinander. Inkl Captive-Portal. Als pfsense Hardware sehe ich ein APU1d mit SSD für unter 200euronen.
    Aber ganz ehrlich sehe ich diese Aufgabe nicht so ganz bei dir. Du hast hier ein produktives Netz und nicht mal Ahnung, was VLANe sind. Das ist nicht schlimm und man kann das sicher lernen, aber dann solltest du davon ausgehen, das oft und länger dein Netz nicht gehen wird, weil irgendwas nicht so funktioniert wie es da steht! Bedenke das bitte.
    Grüße
    pfadmin

    Danke für die Auskunft und geduld, verstehe dein bedenken. Aber es geht net darum dass ich knauserig wäre und sparen möchte und ich des selber deswegen ohne dem vorhandenen fachwissen machen will, sondern mich interessiert des wirklich. ich möchte des selber aufbauen (mit bissl hilfe von außen  ::) ). nur so hat man schlussendlich den besten durchblick. und ja womöglich geht mal was nicht, das ist mir schon klar, aber mir gefällts ja auch, dann lernt man auch was dabei :) und es ist jetzt auch lange zeit nicht gut gegangen, das sind die gäste schon gewohnt >:D
    @jahonix:

    Würde ich inkl. CaptivePortal nicht (mehr) machen. Mindestens eine APU2, die langweilt sich dann aber auch nicht.
    Ich würde eher zu einer SG-2440 greifen, das macht hier mehr Sinn.

    Und dann wären die Switche an der Reihe.

    Die WLAN-Geräte kenne ich wie gesagt nicht, wenn sie sich in einen AccessPoint Mode schalten lassen, dann könnte das ja erst einmal funktionieren.
    Gibt es denn Probleme mit der Ausleuchtung oder ist das zufriedenstellend?
    Wie viele unterschiedliche SSIDs sollen die eigentlich abstrahlen? Bei den z.T. begrenzten Radien ist das doch sicherlich nur eine "Hotel-Gäste" oder?

    Gibt es denn auch einen europäischen pfsense shop eigendlich? ich weiss dass man via dem shop des projekt unterstütz, will ich auch gern, nur wärs praktischer wenns auch irgendwo in der EU machbar wäre.

    bräuchte ich bei den switches wieder 4? oder würden 3 auch funktionieren, da ja mit vlans auch Gast und Büro-lan trennbar ist? oder eher nicht empfehlenswert auf die selbe hardware wegen sicherheit? bleib ich bei den Cisco SG300? bezüglich dem Cisco SG350, wann kommen die ungefähr, sollte ich noch warten?

    die Wlan ausleuchtung ist zufriedenstellend (-60 bis -70db), ist es aber normal, dass man nur in wirklich unmittelbarer nähe zum ap (<1m ohne hindernisse) auf die -40 db kommt? Channels hab ich einigermaßen gut aufgeteilt, ist aber nicht perfekt bei den ganzen APs im Haus verteilt. Ist es eigendlich besser Channel auf automatisch lassen oder sie selber einstellen?
    was wären sonst empfehlenswerte Accesspoints die auch vlan imstande sind? Ruckus wurde vorher von pfadmin genannt, welches modell?



  • @sh0wBIZZ:

    Gibt es denn auch einen europäischen pfsense shop eigentlich?

    https://www.pfsense.org/partners/locator.html 
    rechts EUROPE wählen und im Browser nach GERMANY suchen, dann kommen mehrere :-P
    Ein Select und mehrere Authorized Partner

    @sh0wBIZZ:

    bräuchte ich bei den switches wieder 4? oder würden 3 auch funktionieren

    Wenn 01.1 und 01.02 nicht räumlich getrennt sind, dann kann man das auch mit nur einem Switch machen, klar.

    @sh0wBIZZ:

    bleib ich bei den Cisco SG300? bezüglich dem Cisco SG350, wann kommen die ungefähr, sollte ich noch warten?

    Du kannst bei den SG-300 bleiben, an denen ist nichts verkehrt.
    Die zusätzlichen Features werde auch ich sicherlich selten dringend benötigen (sFlow etc.)
    Wann SG-350 in Stückzahlen bei den Distributoren erscheinen entzieht sich mir, hat mir auch keiner verraten.

    @sh0wBIZZ:

    die Wlan ausleuchtung ist zufriedenstellend (-60 bis -70db), ist es aber normal, dass man nur in wirklich unmittelbarer nähe zum ap (<1m ohne hindernisse) auf die -40 db kommt?

    Nein, ist es nicht!
    Ich sitze gerade 5m von einem meiner Ruckus 7372 APs entfernt und habe -38dB im 2.4GHz Band. Bei 5GHz immerhin noch -45dB.
    Alles unter -70dB erachte ich als Rauschen, damit arbeitet keine Verbindung mehr störungsfrei und sicher.
    Das sind eher Signalstärken wie ich sie von meinen Nachbarn sehe, und die sind bei mir etwas weiter weg.

    @sh0wBIZZ:

    Ist es eigendlich besser Channel auf automatisch lassen oder sie selber einstellen?
    was wären sonst empfehlenswerte Accesspoints die auch vlan imstande sind?
    Ruckus wurde vorher genannt, welches modell?

    WLAN Kanäle immer selbst einstellen. Einzige Ausnahme: Du hast einen Controller, der das für Dich managed. Der schiebt dann aber auch selbsttätig die Clients von AP zu AP und sogar von 2.4 nach 5GHz bei Bedarf. Das kann aber nur ein lokaler Controller, keines der Cloud-Dienste macht das (Ruckus Unleashed, XClaim, ….)

    Bei APs würde ich persönlich nur noch Ruckus verwenden. Für privat und zum Rumspielen greife ich die bei eBay ab, für Installationen bei meinem Distri (Allnet).
    Da Du eher stabile Verbindungen als massig Durchsatz brauchst, sind 802.11n Geräte vollkommen ausreichend. Für AC fehlt Dir die Bandbreite in der Luft bei so vielen APs und das Internet wird auch nicht schneller.
    Lieber n-Standard richtig als AC schlecht!
    Von Ruckus gibts bei eBay noch 7363 APs (7343 nur 2,4GHz). Aktuell sind 7372 Dual-Band (oder 7352 single band).
    Geräte wie 7982 können zwar hohe Kapazitäten, die hast Du nach eigenen Angaben wegen räumlicher Einschränkungen aber gar nicht. Wäre also rausgeschmissen...
    Die R-Serien sind aktueller, jedoch immer noch teurer.
    https://www.ruckuswireless.com/products/access-points/zoneflex-indoor

    edit: reseller...



  • @jahonix:

    https://www.pfsense.org/partners/locator.html  (rechts EUROPE aussuchen)

    Vielen Dank! Hab vorhin den menüpunkt für die vlans im m0n0wall webgui entdeckt, sehr peinlich  :-X Aber die pfsense box kauf ich mir dennoch.

    @jahonix:

    Wenn 01.1 und 01.02 nicht räumlich getrennt sind, dann kann man das auch mit nur einem Switch machen, klar.
    Du kannst bei den SG-300 bleiben, an denen ist nichts verkehrt.
    Die zusätzlichen Features werde auch ich sicherlich selten dringend benötigen (sFlow etc.)
    Wann SG-350 in Stückzahlen bei den Distributoren erscheinen entzieht sich mir, hat mir auch keiner verraten.

    Ja sind im selben rack. also passts :)
    @jahonix:

    Nein, ist es nicht!
    Ich sitze gerade 5m von einem meiner Ruckus 7372 APs entfernt und habe -38dB im 2.4GHz Band. Bei 5GHz immerhin noch -45dB.
    Alles unter -70dB erachte ich als Rauschen, damit arbeitet keine Verbindung mehr störungsfrei und sicher.
    Das sind eher Signalstärken wie ich sie von meinen Nachbarn sehe, und die sind bei mir etwas weiter weg.

    Dacht ich mir… liegt warscheinlich daran dass wir zu viel schwache aps verteilt haben, die mehr noise als signal erzeugen.

    @jahonix:

    WLAN Kanäle immer selbst einstellen. Einzige Ausnahme: Du hast einen Controller, der das für Dich managed. Der schiebt dann aber auch selbsttätig die Clients von AP zu AP und sogar von 2.4 nach 5GHz bei Bedarf. Das kann aber nur ein lokaler Controller, keines der Cloud-Dienste macht das (Ruckus Unleashed, XClaim, ….)

    Bei APs würde ich persönlich nur noch Ruckus verwenden. Für privat und zum Rumspielen greife ich die bei eBay ab, für Installationen bei meinem Distri (Allnet).
    Da Du eher stabile Verbindungen als massig Durchsatz brauchst, sind 802.11n Geräte vollkommen ausreichend. Für AC fehlt Dir die Bandbreite in der Luft bei so vielen APs und das Internet wird auch nicht schneller.
    Lieber n-Standard richtig als AC schlecht!
    Von Ruckus gibts bei eBay noch 7363 APs (7343 nur 2,4GHz). Aktuell sind 7372 Dual-Band (oder 7352 single band).
    Geräte wie 7982 können zwar hohe Kapazitäten, die hast Du nach eigenen Angaben wegen räumlicher Einschränkungen aber gar nicht. Wäre also rausgeschmissen...
    Die R-Serien sind aktueller, jedoch immer noch teurer.
    https://www.ruckuswireless.com/products/access-points/zoneflex-indoor

    ein controller dafür scheint mir jetzt doch zu highend, benötige ich mal nicht aber danke.
    die ruckus schauen super aus, nur auch ziemlich schwer zu bestellen. gibts die nur bei partnern bzw. über der ruckus homepage via formular? ich würde mir erst mal gerne einen bestellen und austesten welche bereiche ich damit abdecken kann.



  • Moin,

    ein controller dafür scheint mir jetzt doch zu highend, benötige ich mal nicht aber danke.

    ich ärgere mich ein wenig das ich auf der Arbeit keine Lösung mit Kontroller genommen habe :'(
    Auf der Arbeit habe ich einige APs über die ganze Liegenschaft verteilt für Fehlersuche & Wartungsarbeiten, überwiegend nur 2 Clients. Da ich meine Kisten aktuell halte ist es halt ein wenig Aufwand, danke OpentWRT aber wenigstens einheitliche Bedienung der APs.

    Habe dann privat die günstige Lösung mit Controller kennengelernt: http://geizhals.de/ubiquiti-unifi-ap-ac-pro-uap-ac-pro-a1325749.html abgesehen davon das ich mit dem Teil hochzufrieden bin brauche ich jetzt nur noch einen AP für die ganze Wohnung inkl. Garage & Garten. Damit lohnt sich eigentlich keine kontrollerbasierende Lösung mehr, gebe das Teil aber nicht mehr her. Und da mein Server eh läuft stört die Software auch kein bisschen. Nimm doch einfach mal Kontakt zu einem Händler auf und lass Dir ein Muster zukommen. 8) als Kontroller reicht notfalls ein RaspberryPi.

    -teddy


  • LAYER 8 Moderator

    @Jahonix/Sh0wbizz: pfSense Hardware gibts auch in Deutschland und Europa von diversen Partnern als Reseller, korrekt. Allerdings sollte man an der Stelle fairerweise sagen, auch wenn Voleatech sicher mit der größte Partner ist, dass es durchaus noch andere gibt, die das ebenso anbieten :) Ich mache für unser Haus ja auch keine direkte Werbung und Sven (von Voleatech) hat das hier jetzt bislang auch nicht so extrem betrieben, deshalb ist der Verweis auf die Partner Seite denke ich sehr OK, aber einen spezifischen rauszupicken dann doch unfair für alle anderen, die sich ebenfalls die Mühe machen um den Partner Status auch fürs Reselling zu bekommen. Da gibt es ja durchaus einige und vielleicht auch den ein oder anderen, der näher an Sh0wbizz dran sitzt sofern das interessant ist. :)
    Und so sehr ich die kleinen SG-Serien mag, gibts da auch preislich noch andere schöne Alternativen, wie man bei MagicTeddy bspw. sieht.

    Grüße



  • Ich habe nur den obersten mit "Tschörmänny" herausgepickt, da ich die Auflistung extrem unübersichtlich finde. Wären die alle nach Ländern gruppiert, wäre es kein Problem. So musst Du alle Einträge nach dem Land durchsuchen und das nervt mich kolossal.
    Steht ihr da eigentlich auch drin? (NO pun intended!)


  • LAYER 8 Moderator

    Wie gesagt war kein "Meckern" in Bezug auf "uns" oder meine Firma - da versuche ich hier im Forum immer neutral zu bleiben - sondern einfach generell gemeint, da Voleatech mit der größte Partner ist und dadurch ja eh ein wenig raussticht ;) Natürlich aber Dank an die Jungs, dass sie das Meeting/Schulung in FfM organisiert haben!

    Jep, mein Haupt-Brötchengeber steht da auch drin. Und ich stimme dir zu, dass ich die Selektion "Europa" auch viel zu grob finde: Da alles was DE ist rauszufinden, ist schon etwas nervig. Leider habe/hatte ich bislang auch den Eindruck, dass da einige mit drin stehen, die sich aber mit dem Thema pfSense gar nicht groß auseinander setzen. Ich hoffe allerdings, dass das nur ein subjektiver Eindruck ist. Wir wurden aber auch schonmal angesprochen, dass wir mit Voleatech und noch einem Kollegen so mit die Einzigen sind, die überhaupt was zum Thema pfSense auf der Webseite haben oder beschreiben. Aber den Flux an Partnern sieht man ja auch durchaus an der Tatsache, dass Varia zu Beginn auch gleich Reseller Partner war und inzwischen genauso schnell wieder den Status zurückgegeben hat und keine offiziellen pfSense Produkte mehr vertreibt.



  • @sh0wBIZZ:

    ein controller dafür scheint mir jetzt doch zu highend, benötige ich mal nicht aber danke.

    Genau das ist der Trugschluss, dem zu viele größere Installationen immer wieder unterliegen.
    Gerade mit Deiner räumlich hohen Packungsdichten machen die mehr als Sinn. Sie bringen Stabilität durch Bandbreiten-Management, Roaming/Handover zwischen den APs, Kanal-Management, und nicht zuletzt eine zentrale Verwaltungsschnittstelle mit Statistiken.

    @sh0wBIZZ:

    … ruckus ... super ... schwer zu bestellen ... Partnern ...

    Von Ruckus direkt bekommst Du nix, das geht tatsächlich nur über Distributoren. Ist halt keine Consumerware, die alle an jeder Ecke bekommen können.
    Dafür gibt es deren Consumer-Tochter Xclaim wireless. Davon habe ich 2 APs daheim, die nur noch deshalb in Betrieb sind, weil ich die 7372-er noch nicht fertig konfiguriert habe und dann keine Zeit hätte, sie auch an den entsprechenden Stelle zu installieren (in 5m Höhe und in einer Zwischendecke). Die sind wirklich kein Vergleich zu den großen Geräten von Ruckus!

    @sh0wBIZZ:

    ich würde mir erst mal gerne einen bestellen und austesten welche bereiche ich damit abdecken kann.

    eBay ist Dein Freund.
    http://www.ebay.de/sch/i.html?_from=R40&_sacat=0&_nkw=ruckus+7363&LH_PrefLoc=2&_sop=15
    http://www.ebay.de/sch/i.html?_from=R40&_sacat=0&_nkw=ruckus+7372&LH_PrefLoc=2&_sop=15

    Und wenn es Dir so geht wie mir, dann wirst Du das Testgerät von Zuhause nicht mehr abgeben…



  • @JeGr:

    Aber den Flux sieht man ja auch durchaus an der Tatsache, dass Varia zu Beginn auch gleich Reseller Partner war und inzwischen genauso schnell wieder den Status zurückgegeben hat und keine offiziellen pfSense Produkte mehr vertreibt.

    DAS Beispiel hätte ich jetzt nicht genommen, wenn ich davon ausgehe, dass Du wie auch ich mehr Hintergründe dazu kennst…
    (siehe auch mein Post zum Weggang von cmb).


  • LAYER 8 Moderator

    wenn ich davon ausgehe, dass Du wie auch ich mehr Hintergründe dazu kennst…

    Könnte mein Sommergebrutzeltes Hirn sein, aber momentan fallen mir keine ein - zumal Varia schon sehr lange kein Partner mehr ist. Und wir ja hier im Forum auch die ein oder andere kuriose Story zu den pfSense Bundles von Varia hatten (Stichwort: Die APUs dürften mit SD Karte nicht live upgedated werden sondern müssten neu installiert werden bei einem Update?!)
    Aber können wir auch gern per PN weiter drüber diskutieren, ich mag den Thread nicht aus der Spur bringen :)



  • @magicteddy:

    Moin,

    ein controller dafür scheint mir jetzt doch zu highend, benötige ich mal nicht aber danke.

    ich ärgere mich ein wenig das ich auf der Arbeit keine Lösung mit Kontroller genommen habe :'(
    Auf der Arbeit habe ich einige APs über die ganze Liegenschaft verteilt für Fehlersuche & Wartungsarbeiten, überwiegend nur 2 Clients. Da ich meine Kisten aktuell halte ist es halt ein wenig Aufwand, danke OpentWRT aber wenigstens einheitliche Bedienung der APs.

    Habe dann privat die günstige Lösung mit Controller kennengelernt: http://geizhals.de/ubiquiti-unifi-ap-ac-pro-uap-ac-pro-a1325749.html abgesehen davon das ich mit dem Teil hochzufrieden bin brauche ich jetzt nur noch einen AP für die ganze Wohnung inkl. Garage & Garten. Damit lohnt sich eigentlich keine kontrollerbasierende Lösung mehr, gebe das Teil aber nicht mehr her. Und da mein Server eh läuft stört die Software auch kein bisschen. Nimm doch einfach mal Kontakt zu einem Händler auf und lass Dir ein Muster zukommen. 8) als Kontroller reicht notfalls ein RaspberryPi.

    -teddy

    stellt ein kontroller nur einheitlich auf allen geräten die konfigurationen automatisch um, wenn ich bei ihm des umstelle? also benötigt man nur einen kontroller der am switch hängt, oder ist des eher sowas wie ein zweites wireless gerät, welches das funksignal ebenfall an dem ort wo es aufgestellt ist überwacht und vorzuanpasst oder etwa ein eigener switch wo alle aps dranhängen müssen? bei unsrem haus würde ich da unmengen an neuen geräten brauchen und deshalb dacht ich mir dass des mal zu viel wäre. wie gesagt, wir haben nur eine 4mbit anbindung vom internet vertreiber^^
    wenns mit nem raspberry funktionieren würde, hätte ich endlich ne gescheide verwendung für die x) zurzeit verstaubt neben dem fernseher^^

    @jahonix:

    Genau das ist der Trugschluss, dem zu viele größere Installationen immer wieder unterliegen.
    Gerade mit Deiner räumlich hohen Packungsdichten machen die mehr als Sinn. Sie bringen Stabilität durch Bandbreiten-Management, Roaming/Handover zwischen den APs, Kanal-Management, und nicht zuletzt eine zentrale Verwaltungsschnittstelle mit Statistiken.

    ok, aber könnte des unterumständen, dann nicht mein budget etwas sprengen? pfsense box, 3-4 ciscos sg300, ein paar ruckus (die sind echt teuer, aber wenn zb mit 4 von denen alle 16 zurzeit installierten aps ersetzen könnte würde ich des auf jeden fall machen.  meine 16 aps gegen 16 ruckus tauschen ganz ganz vielleicht nach einer guten saison im hotel :D ist schon alles etwas geld überhaupt weil der laie keinen stark spürbaren unterschied merkt bei der 4mbit linie

    @jahonix:

    Von Ruckus direkt bekommst Du nix, das geht tatsächlich nur über Distributoren. Ist halt keine Consumerware, die alle an jeder Ecke bekommen können.
    Dafür gibt es deren Consumer-Tochter Xclaim wireless. Davon habe ich 2 APs daheim, die nur noch deshalb in Betrieb sind, weil ich die 7372-er noch nicht fertig konfiguriert habe und dann keine Zeit hätte, sie auch an den entsprechenden Stelle zu installieren (in 5m Höhe und in einer Zwischendecke). Die sind wirklich kein Vergleich zu den großen Geräten von Ruckus!

    schau ich mir an danke

    @jahonix:

    ich würde mir erst mal gerne einen bestellen und austesten welche bereiche ich damit abdecken kann.
    eBay ist Dein Freund.
    http://www.ebay.de/sch/i.html?_from=R40&_sacat=0&_nkw=ruckus+7363&LH_PrefLoc=2&_sop=15
    http://www.ebay.de/sch/i.html?_from=R40&_sacat=0&_nkw=ruckus+7372&LH_PrefLoc=2&_sop=15

    Und wenn es Dir so geht wie mir, dann wirst Du das Testgerät von Zuhause nicht mehr abgeben…

    jo hab mir gestern schon ein refurbisheds model bestellt ums mal auszutesten :) wenn ich damit wirklich viel mehr abdecken kann als mit meinen billig aps, dann würde ich des auf jeden fall zulegen.



  • @sh0wBIZZ:

    stellt ein kontroller nur einheitlich auf allen geräten die konfigurationen automatisch um, …

    Les mal ein wenig:
    https://www.ruckuswireless.com/products/system-management-control

    @sh0wBIZZ:

    ok, aber könnte des unterumständen, dann nicht mein budget etwas sprengen?

    Deutlich!
    Daher mache erstmal die Switche und die pfSense, dazu das Management auf ein separates VLAN. Damit hast Du schon genug zu tun.
    Lass' die APs vorerst wo sie sind. Wenn Du einen ersetzen musst, dann gleich mit was Ordentlichem.

    @sh0wBIZZ:

    … ruckus ... mit 4 von denen alle 16 zurzeit installierten aps ersetzen könnte ...

    Gab es nicht bauliche Einschränkungen wie Stahlbeton, Stahlwolle in Türen, …
    Da kann selbst der beste AP nicht hindurch.

    Du bekommst ja gerade ein Gerät zum Testen, danach weißt Du mehr.
    Besorg' Dir auch was Vernünftiges zum WLAN messen, mindestens inSSIDer von Metageek.
    http://www.metageek.com/products/inssider/

    Und für die tägliche Weiterbildung: http://www.metageek.com/training/



  • Moin,

    der "Controller" https://www.ubnt.com/enterprise/software/ ist erst mal eine kostenlose Software die auf einem Rechner im Netz läuft. Die Unifi APs habe kein Webinterface für die Einstellungen, das machst du über den Controller. Zusätzlich bietet der Controller noch einige Funktionen wie Monitoring, Roaming, Gastportal. Solltest Du keinen Rechner dafür haben gibt es noch https://www.ubnt.com/unifi/unifi-cloud-key/. Aber Du hast einen Raspi …

    -teddy


Log in to reply