Richtige HW und Software für meine Problemstellung



  • Guten Morgen,
    ich bin der Neue und komme wohl nun öfter  ;D

    Ich bin absoluter pfSense Newbie. Und eigentlich mehr durch Zufall überhaupt drauf gestoßen.

    Ich habe da ein etwas kniffliges Anliegen.

    Ich arbeite in einem Unternehmen was deutschlandweit aktiv ist. Wir fahren irgendwo hin, dann gibts da nen "Container-Dorf" für ein paar Monate und dann gehts wo anders hin.^^

    Nun wie man sich denken kann ist es in den Containern, echt nunja abends nicht wirklich so super spannend.

    Auf Anfrage hin hat mein Chef uns erlaubt eine Art Betreuungsnetzwerk  (zu Deutsch WLAN in den Container-Buden) aufzustellen.
    Selbst die Kosten dafür würden übernommen. Nur Vertragsnehmer will er oder die Firma nicht sein, ist ihm zu heikel.

    Daher suche ich nun die Möglichkeit das möglichst sicher zu realisieren.

    Zum Technischen:

    Zugang zum Internet erfolgt über einen LTE von Vodafone 50 Mbit.
    Hotspot nur einen in der Lounge (ja auch sowas gibts im Container)
    Registrierte Geräte max. 120
    Nutzer Gesamt: bis 100, gleichzeitig Online in der Regel 30-40

    Bisherige Überlegung:
    1. Mitarbeiter müssen eine AGB und Nutzungsbestimmungen (hier werde ich nen Anwalt hinzuziehen) unterschreiben

    2. pfSense, soll eingesetzt werden um das Netz einigermaßen sauber zu halten. Auch sollen einige Ports gesperrt werden.

    3. Captive Portal (mit Wochen Tickets)
    um den Zugang eben nur Mitarbeitern zu gewähren die die AGBs und Nutzungsbedingungen anerkannt haben.

    4. RADIUS (FreeRadius) mit Zertifikaten, um die Ticketweitergabe an 3te zu unterbinden

    5. Squid um eben die Tätigkeiten der Nutzer zu Loggen
    5.1. ggf. auch Squid Guard

    Jetzt meine Fragen:
    1. welche HW brauche ich um das alles zu realisieren? bisher dachte ich an nen
    http://varia-store.com/Systeme-mit-Software/pfSense/pfSense-Komplettsystem-mit-ALIX-2D13-WLAN-und-Zubehoer::887.html?XTCsid=d7tgbobueii7ve5kj9ts3fm2p3
    Damit könnte ich pfsense, das Captive Portal abdecken.
    Allerdings sollte ja der Lehre nach eigentlich die FW allein stehen und die Restlichen Dienste auf einem oder mehreren anderen Geräten sein.

    2. Gibt es eine Möglichkeit auch das Downloadvolumen der Nutzer zu begrenzen? oder nach Volumen X seine Bandbreite zu reduzieren?
    Dann könnte ich mir das mit den gesperrten Ports sparen.

    3. Macht die Softwareauswahl bisher Sinn oder gibt es da besseres?

    4. Ich habe für den Ganzen Spaß erst mal 600€ bekommen für HW Softwäre etc.. reicht das oder wie viel sollte ich veranschlagen?

    Also ich würde mich über Hilfe freuen das umzusetzen.

    P.S.
    Sollte das alles Funktionieren, gibt es die Option das eben auch auf mehreren Standorten zu machen. Gibt es da Möglichkeiten gf. Hardware einzusparen bzw. zu zentralisieren. Soweit ich weiss geht das mit LTE nicht wegen der "nicht öffentlich zugänglichen IP"??



  • @SierraSix:

    Zugang zum Internet erfolgt über einen LTE von Vodafone 50 Mbit.
    Hotspot nur einen in der Lounge (ja auch sowas gibts im Container)
    Registrierte Geräte max. 120
    Nutzer Gesamt: bis 100, gleichzeitig Online in der Regel 30-40

    Bisherige Überlegung:
    1. Mitarbeiter müssen eine AGB und Nutzungsbestimmungen (hier werde ich nen Anwalt hinzuziehen) unterschreiben

    Kannst ja mal gucken, was die HotSpot Anbieter so machen, wie z.B.:
    starbucks nutzt BT OpenZone
    http://fon.com
    http://meinhotspot.com  (maxspot.de)

    @SierraSix:

    3. Captive Portal (mit Wochen Tickets)
    um den Zugang eben nur Mitarbeitern zu gewähren die die AGBs und Nutzungsbedingungen anerkannt haben.
    4. RADIUS (FreeRadius) mit Zertifikaten, um die Ticketweitergabe an 3te zu unterbinden
    5. Squid um eben die Tätigkeiten der Nutzer zu Loggen
    5.1. ggf. auch Squid Guard

    Jetzt meine Fragen:
    1. welche HW brauche ich um das alles zu realisieren? bisher dachte ich an nen
    http://varia-store.com/Systeme-mit-Software/pfSense/pfSense-Komplettsystem-mit-ALIX-2D13-WLAN-und-Zubehoer::887.html?XTCsid=d7tgbobueii7ve5kj9ts3fm2p3
    Damit könnte ich pfsense, das Captive Portal abdecken.
    Allerdings sollte ja der Lehre nach eigentlich die FW allein stehen und die Restlichen Dienste auf einem oder mehreren anderen Geräten sein.

    2. Gibt es eine Möglichkeit auch das Downloadvolumen der Nutzer zu begrenzen? oder nach Volumen X seine Bandbreite zu reduzieren?
    Dann könnte ich mir das mit den gesperrten Ports sparen.

    3. Macht die Softwareauswahl bisher Sinn oder gibt es da besseres?

    4. Ich habe für den Ganzen Spaß erst mal 600€ bekommen für HW Softwäre etc.. reicht das oder wie viel sollte ich veranschlagen?

    Stimmt, die HW könnte reichen… RAM/Prozessorleistung kommt auf die benötigten Funktionen an; wir haben uns für eine Mehrport Variante entschieden für kleine Offices, die ich in einem allgemeinen Vorstellungsvideo zur pfSense gesehen habe. Hier gibt es bis zu 2 GB RAM und deutlich schnellere CPU, aber ist natürlich auch teurer und größer (WLAN /Antennen optional): http://soekris.com/products/net5501.html  (wir haben eine 6501 am laufen - mit GBit Ports)

    Ansonsten wird hier noch in den Bannern für einen anderen Shop geworben, der seit kurzen kleinere Appliances anbietet...  Aktuell hat er mit WLAN nur 2 Modelle...
    mit 512 MB Flash:
    http://www.applianceshop.eu/index.php/firewalls/opnsense/opnsense-wl-pfsense-appliance.html
    oder 8 GB USB DOM:
    http://www.applianceshop.eu/index.php/firewalls/opnsense/opnsense-wireless-ssd-pfsense-appliance.html

    Hatte wohl keine Bookmarks gesetzt, aber unter Youtube gibt es einige gute Videos, die das gut zeigen/erklären. Alles was du benötigst, kann die pfSense mit entsprechenden Paketen; einfach "pfsense captive portal" suchen, z.B.:
    http://www.youtube.com/watch?v=NKr7s_RC9C8
    http://www.youtube.com/watch?v=B6Hjxd1Af-s

    Preislich hättest Du sogar schon 2 Module bei Deinem Setup... wenn Du keinen zentralen Server benötigst oder diesen z.B. auch virtuell irgendwo in Eurer Firma mitlassen kannst/darfst...

    @SierraSix:

    P.S.
    Sollte das alles Funktionieren, gibt es die Option das eben auch auf mehreren Standorten zu machen. Gibt es da Möglichkeiten gf. Hardware einzusparen bzw. zu zentralisieren. Soweit ich weiss geht das mit LTE nicht wegen der "nicht öffentlich zugänglichen IP"??

    Es kann Sinn machen, die User zentral zu verwalten, aber das gibt auch eine zentrale Ausfallmöglichkeit… sollte also failsafe aufgesetzt sein ;)
    Öffentliche IP muss auf der LTE Seite nicht sein, solange die mobilen pfSenses sich zu einer zentralen Stelle mit OpenVPN Tunnel connecten können (es gibt auch inzwischen das Paket "tinc" mit denen Mesh Netzwerke aufgebaut werden können).

    http://www.heise.de/netze/artikel/Dezentrales-VPN-mit-Tinc-785436.html