Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Gibt Access-Points nur für die Wand. Einige kann davon man auch frei hinstellen, schlimmstenfalls an die Wand anlehnen. Und Du kannst – zwar nicht alle, aber einige – Decken-Access-Points auch auf Wand-Betrieb umstellen. Nur zwei Hersteller auf die Schnelle als Beispiel:
Keenetic Voyager Pro (KN-3510) und Orbiter Pro (KN-2810).
Persönliche Erfahrungen? Außer mit Synology, keine. Nur aus Produktvergleichen und Datenblättern zusammengeklickt. Allerdings finde ich die alle teuer (Geld, aber auch Leistung, weil kein zweites 5 GHz-Funkmodul). Vielleicht fällt mir die Tage noch was ein.
Zyxel WX3100: zwar optisch nicht ganz so überragend, aber Daten und Preis scheinen gut
DrayTek VigorAP 802: sehr interessant, weil man ihn auch noch direkt in die Steckdose neben der Netzwerkdose stecken könnte. Somit ist alles aufgeräumt und man braucht nicht mal POE
UniFi UAP-FlexHD: optisch super, aber auch mit Abstand der teuerste und kein Wi-fi 6)
Zu allen werde ich mich einlesen, ob sie auch mit VLANs und Radius Server klar kommen, dann würde auch schon eine SSID ausreichen!
Welche Geräte bzw. Hersteller muss ich hier wählen oder ist das dann Eigenbau alla OPNsense?
Ich denke halt, dass ein AP für die Deckenmontage aufgrund seiner Abstrahlcharakteristik auch an die Decke sollte und nicht zur Ablage auf dem Sideboard zweckentfremdet werden sollte. Aber hier kann ich mich natürlich irren und auch das funktioniert vielleicht super!
Eher das. Du wählst ein Modell, was Dir optisch zusagst, schaust, ob es unterstützt wird (bitte nicht nur Modell sondern auch Hardware-Version beachten) und schiebst dann ein alternatives ROM wie OpenWrt drauf.
Sagen wir mal so, es funktioniert. Super ist immer relativ. Daher haben auch einige Ceiling-APs einen Schalter um Wall-APs zu werden. Manche in Hardware, manche in Software. Die könnten dann auf das Sideboard; aber dann muss man sich oft den Aufsteller selbst basteln.
Kenne ich. Jedes Zimmer, jedes Fenster, jeder freie Platz: Deko, Deko, Deko und Massen von Pflanzen. Abstellräume qlle voll mit Deko für alle Anlässe...Tja, und plötzlich kommt der Mann mit einem kleinen Rauchmelder....Urteil: "DAS geht mal gaaar nicht!"
Ja ist nicht immer leicht.
Allerdings würde dieser hier meiner Frau schon "gefallen".
Allerdings scheint es hier schon einen Nachfolger zu geben.
Falls diese APs die einzigen Ubiquiti-Geräte im Netzwerk wären, ist es dann problematisch sie zu konfigurieren?
Ich habe bereits gelesen, wenn alles aus Ubiquiti-Geräten besteht, dann wäre die Konfiguration von VLANs, mehreren SSIDs usw. ganz einfach, weil alles vom Switch übernommen wird.
Geht das auch alles, wenn ich nur die AP habe?
Und muss ich die Cloud nutzen oder kann ich die APs auch On-Permise nutzen?
UniFi kannst Du auch ohne Internet-Cloud benutzen. Du hast lokal bei Dir „on premise“ einen Software Controller laufen, auf irgendeinem Computer. Alternativ kannst Du Dir auch einen UCK-G2-PLUS holen, also einen Hardware-Controller = Appliance.
Dort richtest Du alles ein. Normal geht das auch ohne einen Switch von UniFi. Problem sind die von Dir angedachten dynamischen VLAN über RADIUS. Puh. Keine Ahnung. Das lieber nochmal in einer UniFi-zentrierten Community fragen, also ob dafür der Controller dauerhaft laufen muss bzw. ein Switch von UniFi sinnvoll wäre. Würde mich überraschen, aber weil ich das selbst noch nicht gemacht habe, besser einmal mehr fragen.
Gibt es irgendeine Norm die die Funktionalität von "dynamischen VLANs über Radius" definiert?
Also ähnlich der 802.1q für VLAN. Dann könnte ich gezielt danach im Datenblatt suchen!
Nicht das ich wüsste. Die von @norKoeri verlinkte Beschreibung des Tunnels ist das jedenfalls nicht.
Die von dir gewünschte Zuordnung von bestimmten Clients in bestimmte VLANs macht halt in der Regel nicht die Hardware sondern der RADIUS Proxy wenn nötig. Wieso Du das glaubst zu brauchen und wie es anders geht wurde dir ja schon öfters beschrieben.
Du versuchst immer noch mit der Methode von Maslows Hammer deine vermeintlichen Probleme zu lösen.
Naja, es gibt immer viele Wege zum Ziel, aber sicherheittechnisch sind Außenanschlüsse mit IEEE 802.1x EAP-TLS hervorragend abgesichert.
Da kann man am Ende ob sinnvoll oder nicht einfach ein gutes Gefühl haben!
Ebenso mit einer einfachen Routerkaskade oder ner simplen Firewall, aber du möchtest immer noch Clients per Authentifizierung in Netzzonen zwingen anstatt die Regeln für die Netzzonen so zu gestalten, dass es egal ist welcher und wie viele Clients es gibt.
Client-basierte Reglementierungen sind unflexibel und sehr aufwändig in der Pflege. Ist natürlich auch ein Weg, ich bezeichne den gerne als Weg von Masochisten...
