WLan Access Point / Router mit RADIUS Support?
- Ersteller perpetuum.mobile
- Erstellt am
perpetuum.mobile
Grand Admiral Special
Hallo in die Runde!
Ich möchte hier für einen Verein als IT Angehöriger einen WLan Access Point aufstellen, an dem ein Server hängt und per WLan verschiedene Clients angeschlossen werden sollen. Das können mit unter auch mal in Extremzeiten 20 gleichzeitig werden. Die Anbindung ist mit 4-6 MBit/s Up/Down wohl auch noch brauchbar. Leider sind viele andere Netzwerke in der Gegend, weswegen ich auf Dualband setzen möchte (2,4 GHz und 5 GHz gleichzeitig, kann 2,4 GHz Clients-only nicht ausschließen).
Ich suche also einen Router der ein paar bestimmte Features unterstützt:
Mir ist bis jetzt der Linksys E4200 in den Sinn gekommen. Laut Support müsste er wohl RADIUS unterstützen, allerdings fehlt der Antennenanschluss. Ebenso ist das pur Consumer Bereich, kann mir jemand für Business vielleicht einen Tipp geben?
Falls ihr mir helfen könnt wäre ich sehr dankbar für
Ich möchte hier für einen Verein als IT Angehöriger einen WLan Access Point aufstellen, an dem ein Server hängt und per WLan verschiedene Clients angeschlossen werden sollen. Das können mit unter auch mal in Extremzeiten 20 gleichzeitig werden. Die Anbindung ist mit 4-6 MBit/s Up/Down wohl auch noch brauchbar. Leider sind viele andere Netzwerke in der Gegend, weswegen ich auf Dualband setzen möchte (2,4 GHz und 5 GHz gleichzeitig, kann 2,4 GHz Clients-only nicht ausschließen).
Ich suche also einen Router der ein paar bestimmte Features unterstützt:
- Port Forwarding für bestimmte Ports/Dienste
- 4 Ethernet Ports
- 802.11n im 2,4 und 5 GHz Band gleichzeitig (!)
- (optional) eine anschließbare Antenne oder eine Buchse dafür
- RADIUS Support an freeradius, also wohl PEAPv1 (WPA2 Enterprise), kann man ja aber frei konfigurieren, Hauptsache sicher und mit Login/PW geschützt
Mir ist bis jetzt der Linksys E4200 in den Sinn gekommen. Laut Support müsste er wohl RADIUS unterstützen, allerdings fehlt der Antennenanschluss. Ebenso ist das pur Consumer Bereich, kann mir jemand für Business vielleicht einen Tipp geben?
Falls ihr mir helfen könnt wäre ich sehr dankbar für
Die meisten Funktionen die du willst kann (nahezu) jeder Mittelklasse Router.
Problematisch wird beim Dual Band betrieb, das kann nich jeder und ist in verbindung mit deinen genannten Anforderungen nicht ganz Günstig.
Ich würde mich bei den üblichen Verdächtigen umsehen (Netgear, Cisco, AVM, Linksys, etc). Eventuell zwei "einfache" Router sogar günstiger als ein professioneller AP.
Meine Anmerkungen:
- warum braucht das Gerät 4 Lan Ports? Du bindest es doch in ein Netz ein.
- wozu das Port Forwarding? Dadurch wird dein Netz nur unnötig angreifbar
- Deine 6Mbit sind eher wunschdenken, trotz High End Hardware mit MIOMO und so weiter. Wenn wirklich 20 Clients das Netz nutzen kommen da höchstens 200kbit/s an, wenn da noch 2 was runterladen wirds noch weit weniger. Warum stellt man nicht einfach ein Kabel mehr bereit? Alternativ kann man auch 2 Netze aufbauen und ide auf 10 Clients beschränken
- Wenn du bereits Netze in deiner Umgebung hast würde ich das 2,4ghz Netz komplett weglassen. Alternativ muss du die Leistung des AP auf dem 2,4ghz Band drosseln um nicht von deinem Nachbarn erschlagen zu werden
- ist nicht Radius PLUS WPA2 ein wenig Overkill? (Gibts dazu eine begründung?)
Konkrete Modelle kann ich leider nicht nennen, aber ab und zu gibts vielleicht ein Test verschiedener Router in einer Fachzeitschrift...
Sag uns wie es ausgeht! 8)
Problematisch wird beim Dual Band betrieb, das kann nich jeder und ist in verbindung mit deinen genannten Anforderungen nicht ganz Günstig.
Ich würde mich bei den üblichen Verdächtigen umsehen (Netgear, Cisco, AVM, Linksys, etc). Eventuell zwei "einfache" Router sogar günstiger als ein professioneller AP.
Meine Anmerkungen:
- warum braucht das Gerät 4 Lan Ports? Du bindest es doch in ein Netz ein.
- wozu das Port Forwarding? Dadurch wird dein Netz nur unnötig angreifbar
- Deine 6Mbit sind eher wunschdenken, trotz High End Hardware mit MIOMO und so weiter. Wenn wirklich 20 Clients das Netz nutzen kommen da höchstens 200kbit/s an, wenn da noch 2 was runterladen wirds noch weit weniger. Warum stellt man nicht einfach ein Kabel mehr bereit? Alternativ kann man auch 2 Netze aufbauen und ide auf 10 Clients beschränken
- Wenn du bereits Netze in deiner Umgebung hast würde ich das 2,4ghz Netz komplett weglassen. Alternativ muss du die Leistung des AP auf dem 2,4ghz Band drosseln um nicht von deinem Nachbarn erschlagen zu werden
- ist nicht Radius PLUS WPA2 ein wenig Overkill? (Gibts dazu eine begründung?)
Konkrete Modelle kann ich leider nicht nennen, aber ab und zu gibts vielleicht ein Test verschiedener Router in einer Fachzeitschrift...
Sag uns wie es ausgeht! 8)
perpetuum.mobile
Grand Admiral Special
Danke für die Antwort! Ich antworte einfach mal auf die Fragen:
Die 4 LAN Ports sind für die Weiterleitung der Anbindung an feste Rechner in einem Nebenraum, einen Server und eine Reserve. Es sollten also mind. 3 sein. Die Anzahl gibt es ja aber nicht, deswegen hab ich 4 geschrieben.
Nein ernsthaft, ich habe selbst die Vermutung irgendjemand in der Gegend macht ab und zu mal schönes Störfeuer. Auf Fehlersuche mit den entsprechenden Tools bin ich noch nicht gegangen und selbst wenn ich weiß wer hier mit Leistung +X sendet, muss ich ins 5 GHz Band. Aber ist es nicht so, dass nicht jedes Gerät 5 GHz supportet? Besonders ältere Smartphones die nur 11g unterstützen? Bei 11n ists klar, aber eine Weile muss IMHO 2,4 noch aktiv sein.
Mein Ziel war irgendwie PEAPv0 einzusetzen (weil MS das wohl gut von Hause aus unterstützt, was wichtig ist!)
Also wie gesagt, ich bin beim Linksys E4200 hängen geblieben. Allerdings ist das halt Consumer und daher suche ich halt noch nach Business Lösungen und deren Preisen. Das wir hier nicht von 50€ Hardware reden ist mir klar. Die Frage ist wo es halt mit dem richtigen Zeug los geht und da fehlt mir bisschen das Knowhow wo ich suchen soll. In normalen Zeitschriften testen die sowas eher weniger
Ziel soll es sein, nicht einen Flickenteppich aus 1000+1 Geräten zu nutzen sondern weniger und einfacher zu wartende Geräte. Momentan ist ein Netgear Gerät im Einsatz, leider nur im 2,4 GHz mit DD WRT. Allerdings klappt RADIUS mit DD WRT einfach mal nicht mit Windows 7 (ausprobiert und ist im DD WRT Forum bekannt, ist aber nicht gelöst und das schon seit einiger Zeit). Das ist auch der Grund für eine Neuanschaffung, wo ich nicht auf DD WRT setzen möchte.
Die 4 LAN Ports sind für die Weiterleitung der Anbindung an feste Rechner in einem Nebenraum, einen Server und eine Reserve. Es sollten also mind. 3 sein. Die Anzahl gibt es ja aber nicht, deswegen hab ich 4 geschrieben.
Das Portforwarding ist nötig, da auf dem Server mehrere VMs laufen, wo bei bestimmten Diensten immer eine verschiedene VM läuft und dann eben diese angesprochen werden soll.
Die Anbindung ist an ein Uni Netz und es sind echte 6 Mbit. Das jetzt bei dauerhaft 20 Clients die Anbindung vielleicht etwas knapp ist, ist vollkommen klar. Im Schnitt sind es vielleicht 1 Server und gegen 4-5 User. An der Anbindung kann ich auch nix ändern, das Kabel liegt, es gibt kein weiteres und mehr ist auch nicht drin. Ich bin froh das es soviel ist, da wir nicht gerade in der Nähe des eigentlichen Netzes sind.
Was die Nachbarn denken ist mir... eigentlich egal.- Wenn du bereits Netze in deiner Umgebung hast würde ich das 2,4ghz Netz komplett weglassen. Alternativ muss du die Leistung des AP auf dem 2,4ghz Band drosseln um nicht von deinem Nachbarn erschlagen zu werden
Nein ernsthaft, ich habe selbst die Vermutung irgendjemand in der Gegend macht ab und zu mal schönes Störfeuer. Auf Fehlersuche mit den entsprechenden Tools bin ich noch nicht gegangen und selbst wenn ich weiß wer hier mit Leistung +X sendet, muss ich ins 5 GHz Band. Aber ist es nicht so, dass nicht jedes Gerät 5 GHz supportet? Besonders ältere Smartphones die nur 11g unterstützen? Bei 11n ists klar, aber eine Weile muss IMHO 2,4 noch aktiv sein.Naja, ich dachte RADIUS kümmert sich um die Authentifizierung und WPA2 um die Verschlüsselung. Ich bin definitiv kein Experte, habe mich etwas in die Materie eingelesen und versuche das halt aufzubauen bzw. vorzubereiten. Ziel ist es, dass man mit Windows 7 Clients sich per WLan und Login+PW einloggt, welches in einem openLDAP Server verwaltet wird. openLDAP steht und funktioniert schon, freeradius + WLan muss noch aufgebaut werden.
Mein Ziel war irgendwie PEAPv0 einzusetzen (weil MS das wohl gut von Hause aus unterstützt, was wichtig ist!)
Also wie gesagt, ich bin beim Linksys E4200 hängen geblieben. Allerdings ist das halt Consumer und daher suche ich halt noch nach Business Lösungen und deren Preisen. Das wir hier nicht von 50€ Hardware reden ist mir klar. Die Frage ist wo es halt mit dem richtigen Zeug los geht und da fehlt mir bisschen das Knowhow wo ich suchen soll. In normalen Zeitschriften testen die sowas eher weniger
Ich wollt grad die Alternative (Irgen-Ein-Router + Drittanbieter Firmware) schreiben, aber die hast du ja schon im Betrieb. Das diese so große Probleme macht wusste ich nichts.
Ich möchte nochmal einiges Aufgreifen:
- Port Forwarding: Ich sehe da nach wie vor eine Schwachstelle. Wenn es nur um VM´s geht, kannst du vllt. ein Webfontend nutzen? Für Virtual Box gibt es da ein PHP Plugin.
Das eure Netzauslastung im 2,4Ghz Band so hoch ist, lässt sich natürlich nicht ändern. Wenn mal wissen möchtest was bei euch so grad los ist, kannst du ja mal eine OmiPeek Demo runterladen. (Du brauchst aber einen Wlan Adapter der mit dem Wildpackets Treiber funktiniert)
- 6Mit: Ich glaube wir haben aneiander vorbeigeredet. Ich meinte wenn ein Router 150Mbit theoretisch kann, sind es Praktisch mit Verschlüsselung und dem anderen Huf evtl. 24MBit. Diese müssen sich dann die Clients teilen, dementsprechend kommt man weit unter 6 raus. Ich wusste nicht das du damit die Netzanbindung hinter dem Router meinst
- Verschlüsselung + Radius:
Prinzipiell hast du damit eine sichere Basis. Jedoch sehe ich Probleme bei den Zugängen. Die Verschlüssel ist dazu da damit die Kommuikation von außerhalb des Netzes nicht abhörbar ist. Radius um den Zugriff auf das Uni-Netz oder was auch immer zu ermöglichen.
Jedoch ist die Verschlüssel fragwürdig wenn so viele Clients angebunden sind. Sinvoller währe ein verschlüsseltes Radius (vllt. in verbindung mit IPSec?). Dadurch kann nicht jeder der im Netz ist alles mitsniffen. Außerdem würde durch die geringer Belastung am AP warscheinlich der Datendurchsatz etwas steigen.
Jedoch seht der Aufwand das unzukonfigurieren in keinem Aufwand zum Nutzen wenn die Daten die ausgetauscht werden nicht schützenswerd sind. Also wenn da nur ein Internetzugriff und Zugriff auf ein paar Diplomarbeiten (die eh aus dem Internet erreichbar sind) steckt, kann man´s auch lassen.
Der Linksys Router scheind ja IO zu sein. Ich würd ihn probieren. Sollte er die Funktionen nicht erbringen die du brauchst, kansst ihn ja immernoch einschicken
Ich möchte nochmal einiges Aufgreifen:
- Port Forwarding: Ich sehe da nach wie vor eine Schwachstelle. Wenn es nur um VM´s geht, kannst du vllt. ein Webfontend nutzen? Für Virtual Box gibt es da ein PHP Plugin.
Das eure Netzauslastung im 2,4Ghz Band so hoch ist, lässt sich natürlich nicht ändern. Wenn mal wissen möchtest was bei euch so grad los ist, kannst du ja mal eine OmiPeek Demo runterladen. (Du brauchst aber einen Wlan Adapter der mit dem Wildpackets Treiber funktiniert)
- 6Mit: Ich glaube wir haben aneiander vorbeigeredet. Ich meinte wenn ein Router 150Mbit theoretisch kann, sind es Praktisch mit Verschlüsselung und dem anderen Huf evtl. 24MBit. Diese müssen sich dann die Clients teilen, dementsprechend kommt man weit unter 6 raus. Ich wusste nicht das du damit die Netzanbindung hinter dem Router meinst
- Verschlüsselung + Radius:
Prinzipiell hast du damit eine sichere Basis. Jedoch sehe ich Probleme bei den Zugängen. Die Verschlüssel ist dazu da damit die Kommuikation von außerhalb des Netzes nicht abhörbar ist. Radius um den Zugriff auf das Uni-Netz oder was auch immer zu ermöglichen.
Jedoch ist die Verschlüssel fragwürdig wenn so viele Clients angebunden sind. Sinvoller währe ein verschlüsseltes Radius (vllt. in verbindung mit IPSec?). Dadurch kann nicht jeder der im Netz ist alles mitsniffen. Außerdem würde durch die geringer Belastung am AP warscheinlich der Datendurchsatz etwas steigen.
Jedoch seht der Aufwand das unzukonfigurieren in keinem Aufwand zum Nutzen wenn die Daten die ausgetauscht werden nicht schützenswerd sind. Also wenn da nur ein Internetzugriff und Zugriff auf ein paar Diplomarbeiten (die eh aus dem Internet erreichbar sind) steckt, kann man´s auch lassen.
Der Linksys Router scheind ja IO zu sein. Ich würd ihn probieren. Sollte er die Funktionen nicht erbringen die du brauchst, kansst ihn ja immernoch einschicken
perpetuum.mobile
Grand Admiral Special
Danke nochmal für die Rückmeldung.
Ja also ich mache das für einen etwas größeren studentischen Verein, hat aber nix mit der Uni zu tun. Wir bekommen von denen bloß einen Link ins Uninetz und dürfen es mitbenutzen ohne was dafür zu bezahlen. Daher auch: Daran wird sich nix ändern lassen. Das mit der Anbindung hat sich ja geklärt
Ziel ist es, die Benutzung unseres WLan so idiotensicher zu machen wie möglich. Wir haben eine sehr hohe Fluktuation und wollen nicht ständig unseren WLan Key an Leute geben, die dann vielleicht nur kurz da sind. Aber die sollen auch ins WLan kommen können und ein paar Tools nutzen. Und da wir so ziemlich alles an LDAP anbinden können bzw. haben, ist das halt der praktischste Weg. (und Active Directory oder sowas geht auch nicht, zu teuer!)
Daher ist es auch extrem unpraktikabel bei den ganzen Leute auf den privaten Rechnern mit IPSec usw. anzufangen. Auch clientseitige Zertifikate sind einfach nicht praktikabel. Ein LDAP Account muss so oder eingerichtet werden und das muss reichen es darüber anzubinden ohne großen Aufwand, dass es auch ein Nicht ITler kann.
Ich denke durch das 5GHz Band holen wir schon genug Spielraum für die Leute raus. Die ziehen ja nicht alle Filme, sondern surfen nur Webseiten zur Recherche an. Das höchste ist da mal YT, aber das machen auch nicht alle gleichzeitig, sondern werden eher arbeiten.
Am Ende werde ich es wirklich mal mit dem E4200 probieren. Wenn ich mir die Cisco Preise der Hardware unabhängig der Features anschaue, dann sieht man schon einen Preisunterschied. Bis 200€ wäre gut drin gewesen, aber 800 ist für sowas einfach mal zuviel. Ich versuche mal dran zu denken zu posten wie es ausgeht. Aber ich denke das wird sowieso noch einiges an Zeit fressen...
Ja also ich mache das für einen etwas größeren studentischen Verein, hat aber nix mit der Uni zu tun. Wir bekommen von denen bloß einen Link ins Uninetz und dürfen es mitbenutzen ohne was dafür zu bezahlen. Daher auch: Daran wird sich nix ändern lassen. Das mit der Anbindung hat sich ja geklärt
Ziel ist es, die Benutzung unseres WLan so idiotensicher zu machen wie möglich. Wir haben eine sehr hohe Fluktuation und wollen nicht ständig unseren WLan Key an Leute geben, die dann vielleicht nur kurz da sind. Aber die sollen auch ins WLan kommen können und ein paar Tools nutzen. Und da wir so ziemlich alles an LDAP anbinden können bzw. haben, ist das halt der praktischste Weg. (und Active Directory oder sowas geht auch nicht, zu teuer!)
Daher ist es auch extrem unpraktikabel bei den ganzen Leute auf den privaten Rechnern mit IPSec usw. anzufangen. Auch clientseitige Zertifikate sind einfach nicht praktikabel. Ein LDAP Account muss so oder eingerichtet werden und das muss reichen es darüber anzubinden ohne großen Aufwand, dass es auch ein Nicht ITler kann.
Ich denke durch das 5GHz Band holen wir schon genug Spielraum für die Leute raus. Die ziehen ja nicht alle Filme, sondern surfen nur Webseiten zur Recherche an. Das höchste ist da mal YT, aber das machen auch nicht alle gleichzeitig, sondern werden eher arbeiten.
Am Ende werde ich es wirklich mal mit dem E4200 probieren. Wenn ich mir die Cisco Preise der Hardware unabhängig der Features anschaue, dann sieht man schon einen Preisunterschied. Bis 200€ wäre gut drin gewesen, aber 800 ist für sowas einfach mal zuviel. Ich versuche mal dran zu denken zu posten wie es ausgeht. Aber ich denke das wird sowieso noch einiges an Zeit fressen...
Nightshift
Grand Admiral Special
- Mitglied seit
- 19.08.2002
- Beiträge
- 4.447
- Renomée
- 81
- Standort
- Tief im Weeeeeesss-teheheheeen ;-)
Hallo,
wie ist es denn mit dem Projekt ausgegangen? Gab es Erfolge zu verzeichnen oder schon eine vollständige Lösung?
wie ist es denn mit dem Projekt ausgegangen? Gab es Erfolge zu verzeichnen oder schon eine vollständige Lösung?
perpetuum.mobile
Grand Admiral Special
Naja nicht durch meine Hände. Ich bin kein Student mehr und deswegen auch nicht mehr in dem Verein. Das Thema habe ich weiter getrieben, bis ich nach gefühlte Äonen vorübergehend aufhören musste.
Ursprünglich wollte ich ja ebenfalls einen neuen Router anschaffen, weil mit unserem alten Netgear Router und ddwrt der RADIUS Support bei Windows7 kaputt war. Der Bug war zwar im Forum von ddwrt reported und auch bei anderen aufgetreten, aber keine Lösung vom Team in Sicht, außer regelmäßig einen Prozess neustarten zu lassen... IMHO absolut keine Lösung. Jedenfalls habe ich nicht den E4200 angeschafft, sondern den ASUS RT-N66U. Prinzipiell läuft der super, auch ohne custom firmware. Sowohl im 5 GHz Band als auch 2,4 hat der einfach einen Hammer Durchsatz und Reichweite (siehe http://www.smallnetbuilder.com/).
Problematisch ist aber immer noch RADIUS. Eigentlich echt ein Standardfeature, aber die Konfig von OpenRADIUS und freeradius ist ein Krampf. Wir haben das prinzipiell erst einmal zum Laufen bekommen, und konnten uns einloggen. Leider noch ohne Prüfung auf ein Flag (sowas wie WLanAccess = true oder false im OpenRADIUS). Leider hab ich dann mein Studium beendet. Kollegen haben das wohl weiter verfolgt, das Thema aber mangels des eines wichtigeren Problems am allgemeinen Server nicht beenden können und es vorerst auf Eis gelegt. Von daher kann ich das Ende der Geschichte nicht erzählen. Aber wenn Fragen sind, einfach Fragen. Der ASUS RT-N66U ist aber echt ein super Gerät, kann ich nur empfehlen!
Ursprünglich wollte ich ja ebenfalls einen neuen Router anschaffen, weil mit unserem alten Netgear Router und ddwrt der RADIUS Support bei Windows7 kaputt war. Der Bug war zwar im Forum von ddwrt reported und auch bei anderen aufgetreten, aber keine Lösung vom Team in Sicht, außer regelmäßig einen Prozess neustarten zu lassen... IMHO absolut keine Lösung. Jedenfalls habe ich nicht den E4200 angeschafft, sondern den ASUS RT-N66U. Prinzipiell läuft der super, auch ohne custom firmware. Sowohl im 5 GHz Band als auch 2,4 hat der einfach einen Hammer Durchsatz und Reichweite (siehe http://www.smallnetbuilder.com/).
Problematisch ist aber immer noch RADIUS. Eigentlich echt ein Standardfeature, aber die Konfig von OpenRADIUS und freeradius ist ein Krampf. Wir haben das prinzipiell erst einmal zum Laufen bekommen, und konnten uns einloggen. Leider noch ohne Prüfung auf ein Flag (sowas wie WLanAccess = true oder false im OpenRADIUS). Leider hab ich dann mein Studium beendet. Kollegen haben das wohl weiter verfolgt, das Thema aber mangels des eines wichtigeren Problems am allgemeinen Server nicht beenden können und es vorerst auf Eis gelegt. Von daher kann ich das Ende der Geschichte nicht erzählen. Aber wenn Fragen sind, einfach Fragen. Der ASUS RT-N66U ist aber echt ein super Gerät, kann ich nur empfehlen!
