WLAN in der Firma

[JensEsser]

Hi,
ich habe mal eine Frage an meine Netzwerk-kollegen hier.
Wir möchten bei uns in der Firma das WLAN umstrukturieren.
Derzeit haben wir unsere Sprechzimmer mit D-Link AP's und WEP Verschlüsslung ausgestattet. Mit Zugriff auf den AP hat der Mutarbeiter auch Zugriff auf die komplette Netzwerkstruktur. 1. Problem hier ist das für den Zugriff der WEP Key bekannt sein muss. Da scheitern schon die meisten Kollegen. Unserer GF schwebt ein einfacher Zugriff wie bei öffentlichen Hotspots an Flughäfen etc. vor. Wenn ich das höre sträuben sich mir schon aus Sicherheitsaspekten die Nackenhaare.
Eine Idee die ich hätte wäre ein offenes WLAN mittels Router zu realisieren. Jeder kann sich zwar auf die APs verbinden, aber hat dadurch noch keinen Zugriff auf das dahinter liegende Netzwerk. Dies könnte man dann z.B. mittels VPN herstellen.
Wie seht ihr das? Habt ihr schon mal sowas in dieser Konstilation realisiert? Mich würden einfach ein paar Erfahrungen mit Herstellern von Software und Hardware interessieren.

Gruss
Jens

[Rackers]

Moin,

bei den Vorstellungen des GF´s sträuben sich mir auch die Nackenhaare!

Der WEP wird ja eingegeben und ist dann nicht mehr zu sehen; wenn es also wenige Mitarbeiter sind, kann man die PC´s von Hand einrichten.

Allerdings sind da jetzt jede Menge WENN...

....es "einfache" D-Link sind (z.B. auch für den Homebereich) sind die einstellbaren Sicherheitsaspekte recht schlicht gehalten.

....ich kein WLAN brauche (wg. Baulichkeiten oder so), dann bleibt beim LAN.

....

Andere Möglichkeit: Subnetze.

Es ist allerdings recht schwierig, etwas zu schreiben, da die Mitarbeiterzahl nicht bekannt ist, Größe der Firma, welche Daten transportiert werden, etc..

[Rackers]

Moin,

bei den Vorstellungen des GF´s sträuben sich mir auch die Nackenhaare!

Der WEP wird ja eingegeben und ist dann nicht mehr zu sehen; wenn es also wenige Mitarbeiter sind, kann man die PC´s von Hand einrichten.

Allerdings sind da jetzt jede Menge WENN...

....es "einfache" D-Link sind (z.B. auch für den Homebereich) sind die einstellbaren Sicherheitsaspekte recht schlicht gehalten.

....ich kein WLAN brauche (wg. Baulichkeiten oder so), dann bleibt beim LAN.

....

Andere Möglichkeit: Subnetze.

Es ist allerdings recht schwierig, etwas zu schreiben, da die Mitarbeiterzahl nicht bekannt ist, Größe der Firma, welche Daten transportiert werden, etc..

[JensEsser]

Moin Rackers,

stimmt, ich habe hier einige wichtige Infos weggelassen
Also nochmal im Detail.
Wir reden hier von einer Firma mit 380 Mitarbeitern, von denen wiederrum ca. 250 Angestellte sind.
Unser Netzwerk ist geswitchet (Cisco und HP) und in VLANs (Server/Clients/Drucker/VoIP Telefone) unterteilt. Hier werden wir sicherlich noch ein weiteres VLAN mit den APs einführen.
WLAN soll weiterhin nur in den Sprechzimmern verfügbar sein. Ganz einfach um den Kabelsalat so gering wie möglich zu halten. Außerdem hätte ich bei Besprechungen mit teilweise 20 Leuten gar nicht genug Anschlusspunkte wenn jeder sein Laptop aufklappt
Das die DLinks hier nicht den professionellen Ansprüchen genügen die wir hier stellen ist mir auch klar. Ich spiele daher mit den Gedanken diese durch Linksys WRT51G Router mit OpenWRT auszutauschen.
Mein Problem derzeit ist nur wie bekomme ich es hin, das jeder Mitarbeiter (und wirklich nur die) in jedem Sprechzimmer sein Laptop aufklappt und unkompliziert Verbindung auf den AP und ins Netzwerk bekommt. Leider sind unsere User durch uns sehr verwöhnt worden und haben entsprechend hohe Ansprüche. So sollen alle Applikationen (Mail/File/Web) uneingeschränkt nutzbar sein.
Muss mir jetzt im Urlaub in Ruhe mal ein paar Gedanken machen.
Werde auf jeden Fall posten wenn wir es realisiert haben. Bin trotzdem weiterhin für jeden Tipp oder Erfahrungsbericht dankbar.

Gruss
Jens

[Rackers]

Ok, vergiss das mit der "Per-Hand-Eingabe"

Auch D-Link hat Geräte im Angebot, die höheren Ansprüchen genügen; sind halt preislich auch höher angesiedelt.

Das Problem, das ich sehe, ist, dass das WLAN nicht nur in den Sprechzimmern verfügbar sein wird. Die Funkwellen stoppen ja nicht an der Tür. Und: Wenn 20 Leute bei einer Besprechung gleichzeitig auf einen AP zugreifen, dürfte die Geschwindigkeit keinen in einen Rausch versetzen.

Könnt ihr das nicht einfacher umsetzen, z.B. mit einem HUB oder Switch, der per Kabel im Sprechzimmer an das LAN angeschlossen wird. Dann braucht zwar jeder ein Kabel, ist aber, denke ich, einfacher umzusetzen und preisgünstiger. Und in der Wartung einfacher.

Ich kenne ja Eure Ausstattung nicht, aber ich weiß von kleineren Firmen, dass bei WLAN auch Probleme auftraten, wenn mehrere Personen (z.B zur Besprechung) versammelt waren und die Handys und schnurlose Telefone dabei hatten, das WLAN nicht immer zufrieden stellend war.

Wieviele Zimmer sind das denn, die auf WLAN aufgerüstet werden bzw. der Bereich (Größe), der WLAN Ausstattung bekommen soll?

Ich meine, reden wir von einem Zimmer oder von insgesamt 1000qm?

[Rackers]

Ok, vergiss das mit der "Per-Hand-Eingabe"

Auch D-Link hat Geräte im Angebot, die höheren Ansprüchen genügen; sind halt preislich auch höher angesiedelt.

Das Problem, das ich sehe, ist, dass das WLAN nicht nur in den Sprechzimmern verfügbar sein wird. Die Funkwellen stoppen ja nicht an der Tür. Und: Wenn 20 Leute bei einer Besprechung gleichzeitig auf einen AP zugreifen, dürfte die Geschwindigkeit keinen in einen Rausch versetzen.

Könnt ihr das nicht einfacher umsetzen, z.B. mit einem HUB oder Switch, der per Kabel im Sprechzimmer an das LAN angeschlossen wird. Dann braucht zwar jeder ein Kabel, ist aber, denke ich, einfacher umzusetzen und preisgünstiger. Und in der Wartung einfacher.

Ich kenne ja Eure Ausstattung nicht, aber ich weiß von kleineren Firmen, dass bei WLAN auch Probleme auftraten, wenn mehrere Personen (z.B zur Besprechung) versammelt waren und die Handys und schnurlose Telefone dabei hatten, das WLAN nicht immer zufrieden stellend war.

Wieviele Zimmer sind das denn, die auf WLAN aufgerüstet werden bzw. der Bereich (Größe), der WLAN Ausstattung bekommen soll?

Ich meine, reden wir von einem Zimmer oder von insgesamt 1000qm?

[newcommer]

Beispiel aus unserer Firma:

Hardware komplett von Trapeze (nich das Billigste, aber nicht schlecht )
Accesspoints: Trapeze MP372 (Stück ca. 450 EUR)
Switches: Trapeze MX 8 (Stück ca. 2.000 EUR)

Funktion:

Mittels einer Software (RingMaster) kann man direkt auf die beiden Switches zugreifen. Diese beiden bekommen nur eine IP aus dem vorhandenen Netz. Alle Einstellungen (Verschlüsselung, VLANS, etc.) werden über die Software erledigt. Und hier muss ich auch nur eine sogenannte "Policie" ändern, die dann unseren beiden MX automatisch zugewiesen wird.
Das wohl Beste an der Sache ist, dass ich die Accesspoints auch nur "irgendwo" in mein Netz hängen muss. Über die Software trage ich einmal die Seriennummer ein, dass der MX den AP finden kann, und alle weiteren Einstellung bezieht der AP automatisch über das Netzwerk vom MX. Somit dauert die Inbetriebnahme (nach Anschluss) eines neuen AP knapp eine Minute !!! Von der Hardware Seite aus sind die AP's und der Switch nicht miteinander verbunden.
Von der Verschlüsselung her fahren wir hier dann auch mit WPA2.

Somit könntest Du in Deinen Besprechungsräumen einfach 2 AP's an die Decke hängen (oder an die Wand, oder ...) und es sollten auch 20 Leute (natürlich nicht mit optimaler Bandbreite) problemlos arbeiten können. Sollte die Leistung zu schwach sein, einfach einen 3. AP angeschlossen und es passt

Wie gesagt, ist nicht gerade billig (die komplette Hardware mit Inbetriebnahme und Schulung an der Software hat uns knapp 15.000 EUR gekostet), aber im Vergleich zum ewigen Kabelziehen doch noch erträglich.

[newcommer]

Beispiel aus unserer Firma:

Hardware komplett von Trapeze (nich das Billigste, aber nicht schlecht )
Accesspoints: Trapeze MP372 (Stück ca. 450 EUR)
Switches: Trapeze MX 8 (Stück ca. 2.000 EUR)

Funktion:

Mittels einer Software (RingMaster) kann man direkt auf die beiden Switches zugreifen. Diese beiden bekommen nur eine IP aus dem vorhandenen Netz. Alle Einstellungen (Verschlüsselung, VLANS, etc.) werden über die Software erledigt. Und hier muss ich auch nur eine sogenannte "Policie" ändern, die dann unseren beiden MX automatisch zugewiesen wird.
Das wohl Beste an der Sache ist, dass ich die Accesspoints auch nur "irgendwo" in mein Netz hängen muss. Über die Software trage ich einmal die Seriennummer ein, dass der MX den AP finden kann, und alle weiteren Einstellung bezieht der AP automatisch über das Netzwerk vom MX. Somit dauert die Inbetriebnahme (nach Anschluss) eines neuen AP knapp eine Minute !!! Von der Hardware Seite aus sind die AP's und der Switch nicht miteinander verbunden.
Von der Verschlüsselung her fahren wir hier dann auch mit WPA2.

Somit könntest Du in Deinen Besprechungsräumen einfach 2 AP's an die Decke hängen (oder an die Wand, oder ...) und es sollten auch 20 Leute (natürlich nicht mit optimaler Bandbreite) problemlos arbeiten können. Sollte die Leistung zu schwach sein, einfach einen 3. AP angeschlossen und es passt

Wie gesagt, ist nicht gerade billig (die komplette Hardware mit Inbetriebnahme und Schulung an der Software hat uns knapp 15.000 EUR gekostet), aber im Vergleich zum ewigen Kabelziehen doch noch erträglich.

[JensEsser]

Hi Newcommer,
vielen Dank für die ausführlichen Infos. Ich werde es mir auf jeden Fall mal anschauen.
Hört sich auf jeden Fall mal nicht schlecht an. Nur unser Budget war dafür etwas kleiner geplant

Gruss
Jens

[JensEsser]

Hi zusammen,
wie versprochen hier nun die Lösung für welche wir uns entschieden haben.
Realisiert haben wir es mit einem lokalen Anbieter "www.omnidat.de".

Controller
=======
Herzstück der ganzen Konfiguration ist ein WLAN-Controller mit 3x Ethernet
Port 1: Uplink für die Accesspoint über ein eigens dafür geschaffenes VLAN
Port 2: Uplink in das lokale Netz
Port 3: Uplink auf eine dedizierte DSL Leitung (für Hotspot Funktion)

Der Controller ist die zentrale Stelle für Konfigurationen und die Firewall-/Routingfunktionalität. Dadurch ist jederzeit eine flexible Erweiterung um weitere Accesspoints möglich (Aufwand ohne Aufbauen 5 Minuten).

Accesspoints
=========
Die Accesspoints haben einen PoE fähigen Ethernetport. Dadurch wird der Kabelsalat auf ein Minimum reduziert.
Außerdem sind diese mit 2 Funkinterfaces (/a/b/c) ausgestattet. Das eine läuft im 2.4GHz Band das andere auf 5GHz.
Die APs sind außerdem Multi-SSID fähig.
Eine SSID dient als öffentlicher Hotspot und arbeitet unverschlüsselt. Transfer über diese SSID ist nur auf die DSL Leitung möglich. Es besteht keine direkte Verbindung zum lokalen LAN. Das ist sehr praktisch für Besucher die nur mal schnell Ihre Mails abrufen oder surfen wollen.
Die andere SSID arbeitet mit einer WPA Verschlüsselung und bietet Zugriff auf das lokale LAN an. Diese Verbindung nutzen unsere Mitarbeiter.


Als Firmware kommt auf allen Geräten MikroTik www.mikrotik.com zum Einsatz.


Kostenpunkt für die komplette Hardware inkl. Einrichtung und Schulung lang nun bei 1345,-€ netto. Jeder weitere Accesspoint würde auf 315€ kommen.

Ich denke damit haben wir eine gute und stabile Lösung gefunden mit der auch unsere Geschäftsleitung zufrieden ist.

Gruss
Jens