Hardware Suche und evt. Anmerkungen bzgl Sicherheit/Funktionen



  • Hallo,

    wir betreiben insgesamt 140 Appartements an 4 Standorten.
    Bisher ist überall ein Alix 2D13 verbaut, das hatte bisher gelangt (nur LAN, DSL von der Telekom). Nun rüsten wir jedoch um und bieten überall auch WLAN an. Dadurch entsteht eine Art Clientflut. (Im größten Haus mit ca 60 Leuten geht unser ALIX Board den Bach runter…)

    Der Router/Das Netz ist nur für den Internetverkehr gedacht, die neuen Leitungen haben 100 bzw 64 Mbit (unitymedia).

    Nun meine Frage bzgl der Hardware:
    60 Zimmer, sagen wir mal Abends max 50 Leute online + 30 WLAN Clients = 80 Leute, Internetleitung aktuell 2x16 Mbit Telekom, soll auf 150Mbit Unitymedia abgelöst werden (Gbit Netzwerk ist also Pflicht).

    Bisher läuft auf der Firewall ansonsten nur das Captive Portal (Volumenbegrenzung, Login mitschnitt und Logout an Radius Server -> Rechtliche Absicherung). Sowie eben das Handling zwischen den zwei Inet Leitungen über eine Gatewaygroup.

    Daher meine zweite Frage zu den Funktionen: Wäre es sinnvoll hier weiteres zu aktivieren (Wobei man natürlich innerhalb des Deutschen Datenschutzes bleiben muss... -.- ) und einzurichten?

    PS: wo ich gerade schon nachfrage:
    Zur Zeit haben wir leider unmanaged switche, so ist ein zugriff Client - Client möglich. Das möchte Ich unterbinden. Meine Idee sind 5 Stück HP Switch 1810-24G v2 (Für jedes Stockwerk einer) und dann für jeden Port ein VLAN Router<->Client. Gibt es hier einfachere Möglichkeiten? ist der Switch i.O.?

    Vielen Dank für eure Hilfe!

    Liebe Grüße



  • Als Hardware kannst du dir ja mal die 1HE Server bei Thomas Krenn ansehen.

    Daher meine zweite Frage zu den Funktionen: Wäre es sinnvoll hier weiteres zu aktivieren

    Ein zweites? CP?

    Zur Zeit haben wir leider unmanaged switche, so ist ein zugriff Client - Client möglich.

    Du weißt schon, dass das eine größere Konfiguration wird, die auch nicht so richtig Sinn macht? Du willst ja Client Isolation?

    Gucke dir mal die Ubiquity Access Point samt Management an. Das könnte was für dich sein.



  • Hi,

    danke für den Hinweis zu den Thomas Krenn Servern.

    Bzgl weiteren Funktionen meine ich weitere Funktionen des PfSense Systems (keine Ahnung was es noch so gibt Frage ich).

    Bzgl der Switche: AP (WLAN) Client Isolation ist schon vorhanden. Mir geht es um die LAN Client Isolation.


  • Moderator

    @lugaru: Die HP 1810 sind nett, aber das was du hier möchtest sprengt deren Rahmen. Natürlich kannst du jeden Port in ein eigenes VLAN stecken, Sinn macht es aber keinen. Wenn du LAN Client Isolation machen willst, bräuchtest du (theoretisch um es gut zu machen) 802.1X PAE Security. Aber mal ganz ehrlich, für ein Gäste LAN ist das ein ziemlicher Hammer den man da schwingen möchte. Und wozu überhaupt? Dass sich Gästerechner untereinander nicht sehen? Rein hypothetisch gesprochen: wenn ich in einem Ferien Appartment nicht nur (gutes) WLAN hätte (TOLL!), sondern auch noch LAN Dosen, dann würde ich erwarten, dass ich 2 Geräte da reinstecken kann und die miteinander reden können. Oder ich selbst nen kleinen Switch dabei habe und den einstecken kann. Warum an der Stelle gleich mit der Isolationskeule kommen?

    Die HPs werden aber wohl nicht funktionieren, da die max. 64 VLANs können. Wenn du aber jeden Port ein eigenes VLAN stecken willst, ist beim 3. Switch schluß.



  • Hmm wieso ergibt das keinen Sinn? Ich dachte mir es folgendermaßen (und versuche gerade ein Setup mit zwei Geräten)
    Jeden Port in ein einzelnes VLAN (Funktioniert soweit - wir haben auch nur genau 60 Zimmer im größten Haus). Router -> 1810 8G -> 1810 24G

    Mein Problem besteht gerade darin, dem 8G zu sagen, dass er alle VLANs einfach weiterleiten soll (eigentlich will ich hier nicht alle 60 Vlans eintragen… (Trunking ist auf diesem eingeschaltet trotzdem funktioniert es nicht -.- ) Jemand eine Idee?

    Wenn jemand an seine LAN Steckdose einen kleinen Switch anschließt, ist er doch automatisch im gleichen VLAN und könnte auch mehrere Geräte benutzen oder?

    Mit dem VLAN lösen wir auch ein anderes Problem -> Sollte Jemand einen Router anhängen und seinen DHCP Server aktivieren und einige Einstellungen vornehmen, ist es schon vorgekommen, dass mehrere Leute kein Internet haben. Dies wäre dadurch auch gelöst.

    Unser Router schafft bis zu 4093 VLAN's, wir sind jetzt wie oben empfohlen auf PfSense 2.0.3 auf einem ThomasKrenn Server mit Atom, 1.8 Ghz, 4 Gig Ram also da sollte genügend Power vorhanden sein.



  • Die Diskussion ruht zwar schon einige Zeit aber ich versuche das mal ein bisschen in eine andere Richtung zu lenken!
    Die Vlan Lösung ist einfach zu massiv zum Administrieren! Jetzt stell dir vor du mußt in diesem Netz einen Fehler suchen?
    Mein Lösung wäre eine Subnetierung zu machen! Somit kannst du die Gäste trennen. Ubiquiti oder auch Lancom können eine Client Komunikation im Wlan verhindern (sofern du größere Subnetierung machst)! Die Administrierung von deinem Netz wäre dann ein Kinderspiel!

    lg Franz


  • Moderator

    @Franz: WLAN ist glaube ich an der Stelle das geringste Übel, denn jeder Einsteiger WLAN AP kennt inzwischen das Häkchen, ob WLAN Geräte miteinander reden dürfen oder nicht. Etwas teurere APs können da sogar VLAN und Multi-SSID. Aber ich bin nach wie vor kein Freund - da stimme ich dir zu - von dieser GIGA VLAN Lösung, nur um jeden einzelnen Anschluß in ein VLAN zu quetschen. Zum Einen ist Wachstum somit ein Gräuel, Problemsuche und -lösung übel und der Overhead an Routing massiv. Je nachdem was vornedran für eine pfSense steht, muss diese JEDES VLAN routen. Damit holt man sich lustige andere Probleme mit ans Bein. (Intra-VLAN Traffic bspw. könne die Backplane oder CPU so stark auslasten, dass kaum mehr anderer Traffic ins Internet funktioniert)

    Das halte ich persönlich für "ein bisschen Internet" einfach für etwas übertrieben. Zumal der Zugriff aufs Web dann ja noch - so ich es richtig verstanden habe - über das CP abgeprüft wird. Wenn ihr das als "Business Internet" anbietet, kann ich den Aufriß an Security etc. ja noch nachvollziehen (dann würde ichs aber anders aufbauen via Port Security u.ä.). Aber für etwas off time internet access wäre mir der Management Aufwand zu hoch.

    Grüßend