Wi-Fi pro návštěvy a zaměstance

[Honza]

Dobrý den,

potřeboval bych pokrýt budovu wifi signálem (cca 5-8 AP).
Chtěl bych 2 rozdílné ssid : jeden pro návštěvy a druhý pro zaměstnance. Bylo by možné ssid1 přidělit wan1 a ssid2 wan2?
Jaký HW bude potřeba (napájení AP preferuji přes PoE), a jak nejlépe se chránit proti vniknutí a odposlechu firemní sítě?

Díky za rady

[Reklama]

[JardaP .]

By asi chtelo popsat trochu vic, co od toho chcete. O kolik lidi by se jednalo, jak jste pridratovani k Internetu, jak moc krute jsou vase data tajna....

[Jose D]

hmm tak jsou dve varianty..

1) na nejakem centralnim boxu rozdelit konektivitu na dve - private ktera se dostane do intranetu, public, ktera uvidi jen ven. Rozdelit do vlan, rozvest do AP kde budou dve ssid nabridgovane k oboum vlanam. Na centralnim boxu nastavit poradne (stavovy) firewall, QoS atd. Zamestnanci se budou bouchat do private, navstevnici do public.

2) rozvest jen public wifi , taktez se stavovym firewallem, ve firemnim intranetu nastavit vpn server ktery bude viditelny z wifi site. Firemni uzivatele si vytoci VPN a do intranetu se dostanou, bezni navstevnici ne -> uvidi jen do internetu.

Co se wifi boxu tyce.. bez poctu lidi se to velmi tezko odhaduje..

[copper]

Doporucil bych ti UniFi http://www.ubnt.com/unifi Na kazdy ssid muzes nastavit vlanu.

[Jose D]

..na kazdy ssid muzes nastavit vlanu.

tohle je u wifi boxů pro profi nasazení standard..

Ubiquity mi prijde jako ponekud pofiderni znacka navic tohle uniwifi mi prijde ze nepokryte designove kopiruje cisco aironet.. Mate s tim tady nekdo zkusenosti? (=kolik klientu na tom mate, trafic, uptime..)

[Reklama]

[Honza]

Jedná se o max. 10 uživatelů připojených najednou.
Na té public wifi, bych chtěl jen základní přístup k netu s omezenou rychlostí. Nechci aby to lidi z okolí používali jako freewifi zdarma.
Jinak kontektivitu k netu už mám rozdělenou na 2.
A druhá věc - když si pořídím těch 5+ AP, jak nejlépe je nastavit aby při přecházení se uživatel vždycky přepojil na ap s nejsilnějším signálem bez ztráty konektivity? Pár diskuzí jsem četl, ale co člověk to názor. Neexistuje spíš nějaká krabice, která si to dokáže řídit sama?

[Jose D]

Jedná se o max. 10 uživatelů připojených najednou.

Na tohle jsme kdysi pouzivali i ASUS wl500 něco, ale pokud chceš VLANovat, možná bych zkusil jít výš a koupit 1ks Mikrotik RB751U-2HnD, otestovat, a když by to výkonově stačilo (=stihne to ušifrovat požadovaný bandwitdth) tak jich vzít víc, existuje ještě druhá varianta s vyšším taktem CPU která je nepatrně dražší..

základní přístup k netu

No firewall už si musíš nastavit na tom centrálním boxu, firewall by šel nastavit i na jednotlivých AP, ale změna konfigurace bude, decentně řečeno, nepohodlná. Nemluvě o tom, že síťová bezpečnost by neměla spočívat na útočníkovi fyzicky dostupných zařízeních.

s omezenou rychlostí

No opět, shaping by se imho měl dělat centrálně, ale pokud je to pro pár lidí do firmy, tak to klidně můžeš nastavit na těch mikroticích. Google: "mikrotik shaping queue"

A druhá věc - když si pořídím těch 5+ AP, jak nejlépe je nastavit aby při přecházení se uživatel vždycky přepojil na ap s nejsilnějším signálem bez ztráty konektivity? Pár diskuzí jsem četl, ale co člověk to názor. Neexistuje spíš nějaká krabice, která si to dokáže řídit sama?

Tohle je tak trochu svatý grál wifin, buď zainvestuješ do o level dražšího HW (rádia od Cisca, Motoroly tohle umí) a nebo na všech AP nastavíš stejné SSID, síť probridguješ a necháš to na klientech - sice během "roamingu" přijdou o 1-2 packety, ale pak se přehodí na silnější AP a jedou dál. Pro většinu nasazení to stačí. Akorát je třeba dávat pozor na chytřejší klienty kteří si nehlídají jen ssid, ale i mac adresy.

[back]

..na kazdy ssid muzes nastavit vlanu.

tohle je u wifi boxů pro profi nasazení standard..

Ubiquity mi prijde jako ponekud pofiderni znacka navic tohle uniwifi mi prijde ze nepokryte designove kopiruje cisco aironet.. Mate s tim tady nekdo zkusenosti? (=kolik klientu na tom mate, trafic, uptime..)

Je vidiet ze ste zrejma este ziadne UBNT zariadenie netestovali. Mozem povedat tolko ze ubnt  ich zariadenia splnaju to co vyrobca slubuje. Ich zariadenia su alternativou k mikrotiku a jeho routerboardom. Oboji vyrobcovia su pouzivany prevazne lokalnymi ISP. Ono koniec koncov ani neexistuje momentalne nic co by bolo asi lepsie. Nemam zasa skusenost s cisco AP ale nieco mi hovori ze v sucasnosti nema cisco nejaky vlasny protokol ktory by zvysoval priepustost a znizoval latencie aj pre vzdialenych klientov tak ako to dokaze Nstreme od mikrotiku alebo Airmax od UBNT. A co sa tyka designu tak sa nenechajte zmiast jednym UNIFI a pozrite si paletu produktov UBNT a potom zacnite hladat suvis aj medzi ostatnymi vyrobcami. Nemam co by som dodal snad len to ze UBNT v cenovej kategorie v akej sa predavaju robia viac ako by sa od nich dalo cakat.

[anonym]

Tohle je tak trochu svatý grál wifin, buď zainvestuješ do o level dražšího HW (rádia od Cisca, Motoroly tohle umí) a nebo na všech AP nastavíš stejné SSID, síť probridguješ a necháš to na klientech - sice během "roamingu" přijdou o 1-2 packety, ale pak se přehodí na silnější AP a jedou dál. Pro většinu nasazení to stačí. Akorát je třeba dávat pozor na chytřejší klienty kteří si nehlídají jen ssid, ale i mac adresy.

osobni zkusenost s timhle je dost bidna (AP mikrotik), mozna taky kvuli pouzitemu zabezpeceni (WPA-EAP) - existuji mista kde klienti (windows ovladatko, takze nenastavitelne) preskakuji mezi 2 AP, preskoky nejsou 2 pakety, spis par vterin. ve vysledku to vypada tak ze je klient porad ve fazi overovani, hned jak se overi tak si usmysli ze to druhy AP ma o kapku lepsi signal, preskoci, a zacne znova overovat...

tyhle zony samozrejme cestujou v zavislosti na zatezi jednotlivych AP, takze to ani nejde rozlozit tak aby to bylo "ve zdi".

jinak to ale funguje, clovek ma jedno nastaveni a pripoji se kdekoliv v budove, pokud zrovna nema smulu (nebo dokaze donutit klienta aby preskakoval mene agresivne)

[Trident]

Tohle je tak trochu svatý grál wifin, buď zainvestuješ do o level dražšího HW (rádia od Cisca, Motoroly tohle umí) a nebo na všech AP nastavíš stejné SSID, síť probridguješ a necháš to na klientech - sice během "roamingu" přijdou o 1-2 packety, ale pak se přehodí na silnější AP a jedou dál. Pro většinu nasazení to stačí. Akorát je třeba dávat pozor na chytřejší klienty kteří si nehlídají jen ssid, ale i mac adresy.

osobni zkusenost s timhle je dost bidna (AP mikrotik), mozna taky kvuli pouzitemu zabezpeceni (WPA-EAP) - existuji mista kde klienti (windows ovladatko, takze nenastavitelne) preskakuji mezi 2 AP, preskoky nejsou 2 pakety, spis par vterin. ve vysledku to vypada tak ze je klient porad ve fazi overovani, hned jak se overi tak si usmysli ze to druhy AP ma o kapku lepsi signal, preskoci, a zacne znova overovat...

tyhle zony samozrejme cestujou v zavislosti na zatezi jednotlivych AP, takze to ani nejde rozlozit tak aby to bylo "ve zdi".

jinak to ale funguje, clovek ma jedno nastaveni a pripoji se kdekoliv v budove, pokud zrovna nema smulu (nebo dokaze donutit klienta aby preskakoval mene agresivne)

Protoze handover u wifi resi jenom klient. A tam muze byt implementace kdovijaka. Co wifi a jinej driver to jiny chovani.  Mam s tim podobne zkusenosti jako ty. Ani pri opravdu peclivem planovani se nevyhnes tomu ze klienti budou zlobit nebo dokonce pri vice stejnych ssid zblbnou.

[pedro m]

tvuj problem vyresi mikrotik routerboard, ia wifi iface nastavis nejake ssid a zabezpeceni, na druhou sit si muzes vytvorit virtualni interface s jinym zabezpecenim, muzes to rozdelit do vice bridgu a filtrovat mezi nimi skrze FW...pohodka, sam to tak mam nastaveno po cele firme asi na 20 rb....it works like a charm 

[Togusa]

Ahoj, my v práci používáme UNIFI od ubiquity a musím to jen pochválit. Momentálně jich provozujeme šest. Nejvytíženější APčko má 10+ lidí(když přijde návštěva tak 15+) ostatní tak 5+. Uptime vám bohužel neřeknu, protože nám vypínali elektriku v celé firmě. Co se ale týče tohoto nikdo si mi nestěžoval, že by se nemohl připojit na wifi. Provozujeme na tom 2 essidy s šifrováním WPA2 aes. Výše dotazované řešení přesně provozuji. Zaměstnanecká wifi - "privátní síť", návštěvnická - pouze internet. Rozděleno vlanami a hurá směr firewall. Provoz tohoto se asi bude blížit jednomu roku a zatím pohoda. Centrální ovládíní se dá nahrát na linux/windows.

Věci které mě vadí se týkají "adoptování APčka". Přišlo mi, že když jsem některá pridávál do své administrace trvalo to podezřele dlouho. Nicméně na to si člověk může počkat. Rozhodně je nepříjemné, že když jste v jiném rozsahu tak "vysvětlit" Apčku, že centrální správa je "jinde" byl docela vopruz. Dlouho jsem teď žádné nepřidával, tak se to mohlo změnit.

Používám jejich sytém voucherů a tam je nepříjemné, že si je člověk nemůže rozdelit třeba podle místností. Protože to pak skončí tím, že po delším používaní nějaké přidáte a pak máte vícekrát vitisknutý papír se stejným voucherem a někdo v jiné zasedačce zkouší voucher, který je již vyčerpaný...

[M.]

Něco stejného máme řešeno pomocí APček na Mikrotik HW, jako AP jsou použité RB411AR doplněné ještě o 5 GHz modul (dneska bych šáhl asi po RB912) v cca 20 ks. Máme to přes několik poboček. S tím, že jsou použity tři SSID, jedno je firemní notebooky, tam se ověřuje pomocí WPA2 s EAP autorizací (počítač se ověřuje na základě členství v doméně proti doménovému řadiči nebo má správný certifikát), které pustí do firemní poboččkové LAN protunelováním skrz pobočkový router. Druhé SSID je pro hračky a notebooky zaměstanců, tam je použit WPA2-PSK s tím, že každý zaměstnanec má svůj vlastní WPA2 klíč (opět centrálně spravováno z Radiusu) a třetí je otevřená wifi síť, kde je ověření webový hotspot na centrálním routeru (RB1100AH).
Firmení síť je každá pobočka LAN síť samostantě, ty návštevnické a zaměstanci je jedna L2 síť přes všechny pobočky s úplnou izolací klientů mezi sebou.
Rozumně fungující bastl, kterého sú účastní ty RB411 jako "tupá" APčka bavící se proti radiusu (FreeRadius2), ten se majoritně baví s AD řadičem (Samba4). Pro guesty je použit Mikroťácký user manager, co řídí vydávání a časování voucherů.
Pro oddělení provozu se používají VLANy  nesené skrz šifrované PPPoE s BCP pro  komunikaci v rámci pobočky proti pobočkovému routeru a routery mezi pobočkami pro guest sítě používají EoIP/IPsec.
Popisované problémy s handovery mezi APčky a nebo mezi 2,4/5 GHz se nijak neprojevují, že by na to někdo brblal. Jistě, občas se někde dějí, ovlivněno dost tím, co má klient za železo. Notebooky stejně většinou nalezou na 5 GHz pásmo v Nku, mobily si hoví v 2,4 GHz na Géčku. Ta otázka handoveru je záležitost ale fakt kus od kusu. Třeba mobily nokie s vestěveným VoIP klientem nad SIPem pžes wifi naprosto bez problémů roamují mezi APčky aniž to na hovoru člověk pozná, některé jiné značky mají problém podstatně větší...
Ale za málo peněz málo muziky, proti řešení s centrálním wifi řadičem a jen tupými rádiovými moduly po firmě.

[JardaP .]

A nebylo by. s ohledem na poskakovani klientu mezi AP, jednodussi zalozit ruzne SSID, napriklad free1, free2... a at si kazdy sam vybere, kde vidi silny signal? Vetsina lidi stejne u pocitace drepi na zadku a nikde s nim nepobihaji. Neposedove, kteri s pocitacem porad nekde behaji, si to budou nejak muset vyresit.

[j]

..na kazdy ssid muzes nastavit vlanu.

tohle je u wifi boxů pro profi nasazení standard..

Ubiquity mi prijde jako ponekud pofiderni znacka navic tohle uniwifi mi prijde ze nepokryte designove kopiruje cisco aironet.. Mate s tim tady nekdo zkusenosti? (=kolik klientu na tom mate, trafic, uptime..)

Funguje to vpohode, z uptime zadny problem neni, jeden talir vpohode pokreje kancelare oddeleny zma (umisteni na chodbe) v baraku o pudorysu cca 25x15m. Naconfeno se 3ma vlanama (konfigurace taliru + interni sit + navstevnicka sit). Vlany reseny dal firewallem na routeru.

Prubezne je pripojeno tak 10-15 zarizeni, ve spickach kolem 30 (na celkem 5ti Apckach)

A druhá věc - když si pořídím těch 5+ AP, jak nejlépe je nastavit aby při přecházení se uživatel vždycky přepojil na ap s nejsilnějším signálem bez ztráty konektivity? Pár diskuzí jsem četl, ale co člověk to názor. Neexistuje spíš nějaká krabice, která si to dokáže řídit sama?

Tohle zalezi na klientovi - musej mit stejny ssid - coz v pripande unifi mit budou. Existujou na to samo lepsejsi reseni, ale ne za tyhle prachy. Mam tu wifi switche od motoroly na sit do skladu, jeden switch pro 8 klientu stoji cca 40k + Apcka (po cca 5k) + pripadne licence na dalsi klienty + sekundarni switch. Prechazeni mezi APckama si pak resi ten switch. V omezenym poctu to umej i nektery lepsi APcka (trebas do 5ti AP se dohodnou vzajemne).

A nebylo by. s ohledem na poskakovani klientu mezi AP, jednodussi zalozit ruzne SSID, napriklad free1, free2... a at si kazdy sam vybere, kde vidi silny signal? Vetsina lidi stejne u pocitace drepi na zadku a nikde s nim nepobihaji. Neposedove, kteri s pocitacem porad nekde behaji, si to budou nejak muset vyresit.

Vetsina lidi neresi pocitac, ale pripojeni pda/telefonu/... a chce to mit pripojeny i bez toho, aby se to neustale prihlasovalo a odhlasovalo.