RADIUS - Gäste WLAN einrichten

[Kluso]

Hallo Liebe Community,
ich soll ein Gäste WLAN einrichten

Die Konfig die ich dort vorfinden konnte sieht so aus:
RADIUS Server mit 5 Access Points (Linksys) sind eingerichtet. Alle AD Benutzer einer bestimmten Gruppe können darauf sich mit Ihren LDAP Anmelde Daten ins WLAN einhängen - hier soll nun aus Sicherheitstechnischen Gründen ein Gäste WLAN her, der abgeschirmt ist vom Netzwerk.
Wie soll ich das bewährstelligen? Außer, dass ich Ihnen einfach ein Hotspot empfohlen hatte , hab ich hierzu keine andere und leichte Idee gehabt. Aber die Kollegen wollen des so.
Gibt es da irgendwelche Vorschläge?
Danke!

 

[Sebbi]

in ein eigenes VLan stecken mit eingenen Routing

 

[gaym0r]

Sieht so heute Kundenservice aus? Eine kostenfreie Community die Arbeit machen lassen und hinterher abrechnen?

 

[Treibwerk]

Am einfachsten wäre vermutlich die Gast-Netzwerk Funktion der Linksys APs zu nutzen
(Sofern die das können)

https://www.linksys.com/de/support-article?articleNum=140727

 

[Kluso]

Am einfachsten wäre vermutlich die Gast-Netzwerk Funktion der Linksys APs zu nutzen
(Sofern die das können)

https://www.linksys.com/de/support-article?articleNum=140727

Können das leider nicht.

@gaym0r
Woher die Annahme, dass ich dafür etwas bekomme?
Ich arbeite als ehrenamtlicher in einer sozialen Einrichtung und kümmere mich 10 Std die Woche/Monat für die IT.

 

[Niko-P]

Wie soll das Gäste WLAN aussehen?
Sollen Voucher erstellt werden oder reicht eine weitere SSID mit WPA2-Key?

Die einfachste Lösung wäre eine zusätzliche SSID mit WPA Key.
Wie von Sebbi schon erwähnt wurde landet dieser Traffic in einem anderen VLAN und wird nur ins Internet geroutet.
-Hier musst du darauf achten das die Nutzer wirklich nur ins Internet kommen und keinen Zugriff auf die restliche Infrastruktur haben
-Außerdem wäre zu beachten, dass jeder der den WLAN Key hat, dann das Internet nutzen kann, ggf. muss dieser Key häufiger geändert werden

 

[Merle]

Können die APs trunks? Kann die Netzwerkinfrastruktur trunks?
Sonst gibts keinen tagged traffic vom AP, den der Switch sortieren könnte.
Kann das Gateway/Router subinterfaces?
(Oder kurz: liste mal die Hardware und deine Netzwerkkenntnisse auf.)

 

[Raijin]

Wer hat denn seinerzeit den RADIUS Server eingerichtet? Eigentlich wäre das dann der richtige Ansprechpartner.

Ansonsten die besagte VLAN-Lösung wie oben bereits vorgeschlagen. Aber wie ebenfalls bereits erwähnt muss auch der Rest der Infrastruktur mit VLANs umgehen können, also die beteiligten Switches bzw. der Router. Ohne VLANs wird's schwierig......

 

[Merle]

Der Router könnte im Notfall (Port4, Gastnetz) noch eine FB sein, aber der Switch und die APs müssen es können...

 

[gaym0r]

@Merle warum sollte man trunks benötigen um getaggten traffic zu übertragen?

 

[Merle]

Jeder Port, der getaggte Pakete für mehr als 1 Netz direkt in getrennte Netze aufteilt muss ein Trunk sein. Sonst machts halt wenig Sinn. Zumindest aus Sicherheitsperspektive. Sonst hab ich VLAN Tags, aber die Pakete können dennoch zu jedem Port raus...
*edit: und selbst in kleinen Netzwerken werden dafür immer Trunks verwendet, oft ein natives VLAN für untagged (sollte vermieden werden da angreifbar) und die anderen erlaubten VLANs tagged. Mir ist keine andere, halbwegs saubere Umsetzung bekannt.