Wlan Firmennetz mit 2 Subnetzen

[<LORD>]

Guten Morgen

wir sind ein KMU mit etwa 25 Mitarbeitern im Büro und 80 Mann auf der Baustelle. Früher hatten wir nur ein LAN mit mehreren Access Points, wo dann auch jeder Mitarbeiter quasi vollen Netzwerkzugriff hatte. Das war eine der ersten Sachen die ich geändert habe, das öffentlich WLAN läuft jetzt auf x.x.11.x, unser Firmennetzwerk auf x.x.10.x, getrennt am LANCOM der für das 11er auch den DHCP spielt.

Nächstes Jahr möchte ich das WLAN neu auflegen. Mir wäre es sehr recht, wenn an jedem AP ein öffentliches 11er WLAN (für die Mitarbeiter) und ein internes 10er WLAN (für mich, Überwachungskameras etc) verfügbar wäre. Jedoch sind zu den AP Punkten nur je 1 LAN Kabel verlegt, lässt sich auch nicht ändern.

Kann man hier mit Ubiquity und VLAN dafür sorgen, dass jeder AP zwei SSID mit unterschiedlichen PW und Subnetzen ausgibt? Das müsste dann über einen POE-Switch zum LANCOM bzw Server als DHCP geroutet werden...

Gerne könnt ihr mir da Beispielkonfigurationen nennen wie das in größeren Firmen läuft etc. Ich will das hier einmal richtig machen!

Ich habe mit VLAN noch überhaupt keinen Berührungspunkt bisher, daher auch die unbedarfte Nachfrage!

Vielen Dank im Voraus!

 

[Phil_81]

Ich stand mal vor einer ähnlichen Frage bezüglich VLANs... Kurz einlesen und mal in einer Testumgebung etwas damit herumspielen, dann ergibt sich der Rest von alleine - ist kein Hexenwerk.

z.B. https://www.thomas-krenn.com/de/wik...rea Networks,an beide VLANs angeschlossen ist.

 

[Das MatZe]

öffentliches 11er WLAN (für die Mitarbeiter) und ein internes 10er WLAN (für mich, Überwachungskameras etc)

Und ein Gastnetz? Also für Kundenbesuche?
Was ist mit einem geschützten Bereich für Server?
Warum ein VLAN für dich UND die Überwachungskameras?

verfügbar wäre. Jedoch sind zu den AP Punkten nur je 1 LAN Kabel verlegt, lässt sich auch nicht ändern.

Wäre auch das erste mal, dass ich davon höre, dass jemand zwei Netzwerkkabel für je ein Netz zu einem AP ziehen würde.

Kann man hier mit Ubiquity und VLAN dafür sorgen, dass jeder AP zwei SSID mit unterschiedlichen PW und Subnetzen ausgibt?

Ja.

Das müsste dann über einen POE-Switch zum LANCOM bzw Server als DHCP geroutet werden...

Kein Problem.

 

[<LORD>]

Gastnetz könnte man auch noch zusätzlich machen, das stimmt!

Was ist unter geschütztem Bereich zu verstehen? Am 10er LAN hängen alle lokalen Rechner, damit am Server mit Datenbanken und Netzlaufwerken. Die Möglichkeit möchte zumindest ich auch "mobil" mit dem Laptop haben, außerdem wird es 1-2 WLAN Kameras geben die auf das NAS speichern, selbiges gilt für die POE Kameras die daher im 10er laufen müssen.

 

[Yesman9277]

Was ist unter geschütztem Bereich zu verstehen?

Ein VLAN nur für die Server. Der Zugriff auf dieses Netz wird nur durch restriktive Firewallregeln ermöglicht.

 

[<LORD>]

Ich hoffe ich habe es jetzt verstanden, wäre dann folgende Konfiguration tauglich:

Dream Machine Pro an Lancom (11er) und Server (10er) Netzwerk angeschlossen
Pro 48 POE Switch mittels einem SFP+ mit Dream Machine verbunden
U7 Pro und U7 Outdoor
sowie
2 POE Kameras an den POE Switch mittel Netzwerkkabel

 

[derchris]

Kann man hier mit Ubiquity und VLAN dafür sorgen, dass jeder AP zwei SSID mit unterschiedlichen PW und Subnetzen ausgibt?

Gerne könnt ihr mir da Beispielkonfigurationen nennen wie das in größeren Firmen läuft etc. Ich will das hier einmal richtig machen!

Ja kann man machen (die Dinge machen mindestens 4 SSIDs). Ich würde ja (mindestens) mit einem Radius Server arbeiten, wo jeder Mitarbeiter einen eigenen Account hat. Kommt halt auch ein wenig auf die Endgeräte an.

 

[thealex]

@<LORD> In deinem Fall wären die Server, die Client-PCs, die Kameras alle im 10er VLAN? Ich würde zumindest Server und Kameras jeweils noch separieren (Server ein VLAN, Kameras ein VLAN). Mehr Arbeit, aber wenigstens sauber getrennt.

 

[h00bi]

Was ist unter geschütztem Bereich zu verstehen?

Aktuell hat der User Zugriff auf deinen SQL Server x.x.10.12
Den braucht er eigentlich gar nicht.
Der User muss nur auf den Application Server x.x.10.14, der Application Server verbindet sich selbstständig zum SQL Server.
Im Prinzip muss auch kein Client mit dem Drucker kommunizieren, das kann auch alles der Printserver machen.

Daher schottet man den User vom Server-VLAN ab und lässt nur durch, was muss.
Für administrative Zwecke hat man dann teilweise ein weiteres VLAN mit mehr Zugriff.

Je mehr VLANs du baust, desto höher wird deine Sicherheit, aber desto umständlicher wird die Konfiguration und damit steigt die Chance für Fehler.

Aber grundsätzlich würde ich trennen:
Gäste
Mitarbeiter-Clients
Server
Drucker und andere inhouse Geräte
Kameras, Wallboxen und andere von außen zugängliche Geräte

Ich verwende für Gäste, Testnetz und Kameras ein physikalisch vollständig getrenntes Netz, welches dann insich nochmal unterteilt ist.

 

[<LORD>]

Puh ja, das würde aufwendig werden. Unser Server speichert sein Backup auf dem NAS, wo auch die Kameras hinspeichern sollen. Dass das eine potenzielle Schwachstelle ist, ist uns bewusst. Ich denke aber das Risiko wäre überschaubar, da sich jemand physisch am Kabel der Kamera zu schaffen machen müsste.

Ich denke dass wir das Risiko für nächstes Jahr noch eingehen werden. Übernächstes steht eh eine komplette Neuaufstellung (Server und Clients) an, da kann man dann auch die "große Lösung" in's Spiel bringen, das macht dann aber unser Dienstleister, ggf ein anderer als der bisherige.

 

[h00bi]

Du kannst Kameras auch insofern über einen Managed Switch absichern, dass der Port bei Disconnect neu freigeschaltet werden muss. Wenn also jemand die Kamera trennt und sich mit einem Notebook da dran hängt, bekommt er gar keinen Link, bis der Admin diesen Switchport wieder aktiv schaltet.