guest-netwerk opzetten voor hotel - Netwerken

dinsdag 12 juli 2011 14:29

Acties:

Topicstarter

Beste mede-tweakers,

ik ben momenteel bezig om voor het hotel van mijn ouders draadloos internet voor hun gasten te fixen. Het gaat om een klein hotel met max. 15 gasten, en waarschijnlijk is 1 fatsoenlijk acces point in 't midden voldoende. De situatie zoals die nu is is niet ideaal voor het inrichten van het netwerk, maar het is een erg groot,oud huis en sommige dingen kan ik niet veranderen.

Er is nu 1 binnenkomende ADSL-lijn, met een experiabox die voor prive-wireless zorgt en voor een aantal computers via draadjes. Nu loopt er 1 kabel naar het hotel gedeelte. Graag wil ik een guest-netwerk aan kunnen bieden waarmee mensen wel op internet kunnen maar niet op ons interne netwerk.

Schets:

code:

Xperiabox -------- WLAN voor privegebruik
               -------- LAN naar 3 prive-PCs
              |
              --- Switch --------- LAN naar 2 PrivePCs 
                            |
                            -------- kabel naar het hotel gedeelte. Hier wil ik een acces point aan hangen

Het eerste stuk met de xperiabox kan ik niet zoveel aan veranderen, dat werkt op zich ook prima. De switch moet ook op zijn huidige plaats blijven staan omdat er kabels lopen die echt superkut zijn om ergens anders heen te lijden.

Mijn vraag:
Hoe kan ik het beste een draadloos guest-network voor hotelgasten maken? Moet dit via een acces point dat meerdere SSIDs en VLAN ondersteund of kan ik beter gewoon die (unmanaged) switch vervangen voor en wat luxere managed switch en daarachter dan een 'gewoon' acces point?

Ik wil dus dat hotelgasten wel kunnen internetten (liefst met beetje bandwidth-control, hebben maar 3mbit) maar niet de media van mijn XBMC-pc kunnen bekijken.

dinsdag 12 juli 2011 14:39

Acties:

-Dr.Z

Ik neem aan dat hier geen monster budget van toepassing is...

Ik zou een paar routertjes neerzetten b.v: pricewatch: TP-Link TL-WR1043ND
En hier dd-wrt custom firmware op draaien. Simpele goedkope oplossing waarbij je vlan's en QOS op kan toepassen. Lijkt mij afdoende

Basically all electronics are powered by magical smoke. I know this because I've seen the smoke escape, and then things don't work anymore.

dinsdag 12 juli 2011 14:40

Acties:

Miepermans

BIEM!

Het veiligste is natuurlijk, twee gescheiden netwerken met b.v. een extra internetverbinding. Dit is best duur natuurlijk.

Wat ik zelf heb gedaan bij mijn ouders thuis, daar heb ik binnenkomend internet, dan gedeelt naar 1 router voor mijn ouders met de zaak, en 1 wifi punt voor wifi. Achter de wifi kunnen ze niet communiceren met het zakelijke netwerk op deze manier.

Thuis heb ik het echter anders gedaan, Daar draai ik een linux server met een dikke shorewall config welke ik vlan's aan laat sturen. Ieder vlan heeft zijn eigen bandbreedte indien gewenst ( ja dat wil je! ) en je kan evt. ook poorten blocken op je wifi voor de gasten ( dat wil je ook )

Wat je wilt voorkomen natuurlijk is, dat bezoekers van het hotel lekker gaan zitten hacken op rare poorten. Telnet enzo. Dit kun je met een firewall voorkomen.

Ook wil je niet dat als je gasten hebt, je zelf niet meer kunt internetten vanwege een openstaande Full HD stream van 1 van de klanten.

Mocht je het nog proffesioneler aan willen pakken, dan moet je echt naar specifieke hotspot apparatuur gaan kijken.

Maak het niet te duur, maar beveilig jezelf wel goed!

dinsdag 12 juli 2011 14:46

Acties:

Garyu

WW

Miepermans schreef op dinsdag 12 juli 2011 @ 14:40:
Het veiligste is natuurlijk, twee gescheiden netwerken met b.v. een extra internetverbinding. Dit is best duur natuurlijk.

Wat ik zelf heb gedaan bij mijn ouders thuis, daar heb ik binnenkomend internet, dan gedeelt naar 1 router voor mijn ouders met de zaak, en 1 wifi punt voor wifi. Achter de wifi kunnen ze niet communiceren met het zakelijke netwerk op deze manier.

Thuis heb ik het echter anders gedaan, Daar draai ik een linux server met een dikke shorewall config welke ik vlan's aan laat sturen. Ieder vlan heeft zijn eigen bandbreedte indien gewenst ( ja dat wil je! ) en je kan evt. ook poorten blocken op je wifi voor de gasten ( dat wil je ook )

Wat je wilt voorkomen natuurlijk is, dat bezoekers van het hotel lekker gaan zitten hacken op rare poorten. Telnet enzo. Dit kun je met een firewall voorkomen.

Ook wil je niet dat als je gasten hebt, je zelf niet meer kunt internetten vanwege een openstaande Full HD stream van 1 van de klanten.

Mocht je het nog proffesioneler aan willen pakken, dan moet je echt naar specifieke hotspot apparatuur gaan kijken.

Maak het niet te duur, maar beveilig jezelf wel goed!

Hmm, in plaats van de switch een wat beter apparaat zou inderdaad helpen, of eventueel ook de switch laten staan en een wat duurder access point kopen en die aan de kabel naar het hotelgedeelte hangen. Eigenlijk kan volgens mij vrijwel elke router ook fungeren als AP en switch, en zijn de kosten eigenlijk dezelfde. VLANs kunnen volgens mij bijna al die apparaten wel?

It's Difficult to Make Predictions - Especially About the Future

dinsdag 12 juli 2011 15:07

Acties:

mmjjb

Even een vraagje, hoe wou je het WiFi zelf inrichten?
Moet iedereen zo kunnen connecten met het draadloze netwerk, dus ook niet hotelgasten?
Dient het draadloze netwerk gratis te wezen of aan het eind bij de hotelrekening op te komen?

[ Voor 25% gewijzigd door mmjjb op 12-07-2011 15:08 ]

dinsdag 12 juli 2011 15:31

Acties:

Miepermans

BIEM!

mmjjb schreef op dinsdag 12 juli 2011 @ 15:07:
Even een vraagje, hoe wou je het WiFi zelf inrichten?
Moet iedereen zo kunnen connecten met het draadloze netwerk, dus ook niet hotelgasten?
Dient het draadloze netwerk gratis te wezen of aan het eind bij de hotelrekening op te komen?

Makkelijkste is natuurlijk, om een key te geven ( wpa oid ) en die iedere maand te wijzigen.

Klanten willen internet, geen probleem dat kost u 1 Euro per dag, hier is de code.

Mocht je handig zijn met linux, kun je natuurlijk makkelijk mac adressen checken en lockout geven na die dag....

Ook zijn er gewoon standaard modules in DD-WRT welke je netwerk een hotspot laten zijn. Misschien kun je hier iets mee, ik heb hier zelf helaas nog niet mee ge expirimenteerd..

Maar alstjeblieft, ik kan het niet vaak genoeg zeggen... niet alle poorten open laten staan!

[ Voor 27% gewijzigd door Miepermans op 12-07-2011 15:33 ]

dinsdag 12 juli 2011 16:22

Acties:

Fr33z

Topicstarter

mmjjb schreef op dinsdag 12 juli 2011 @ 15:07:
Even een vraagje, hoe wou je het WiFi zelf inrichten?
Moet iedereen zo kunnen connecten met het draadloze netwerk, dus ook niet hotelgasten?
Dient het draadloze netwerk gratis te wezen of aan het eind bij de hotelrekening op te komen?

hey mensen, thanks voor de snelle reacties! Zoals jullie al wel geraden hebben is een tweede lijn geen optie en het budget niet al te groot.

@mmjjb: Het moet gratis zijn voor gasten. Maakt niet uit als mensen buiten het huis er ook op kunnen, het is toch in de middle of nowhere. Dus liefst gewoon een open (of met WPA-key die ik gewoon ophang ofzo) draadloos netwerk met een SSID als 'guest' ofzo.

Vraagje: Stel dat ik een DD-WRT device neerzet en daar dan chillispot op draai (met bijv. gratis provicer als worldspot.net) is dat een oplossing voor wat ik zoek? (voornaamste punt is, hoe makkelijk kunnen mensen dan nog bij het interne netwerk komen?) Iemand ervaringen?

[ Voor 17% gewijzigd door Fr33z op 12-07-2011 16:55 ]

dinsdag 12 juli 2011 17:15

Acties:

Remco

Waarom schaf je niet een wireless router aan die standaard een guest netwerk functionaliteit heeft ? Dan heb je 2 SSID's op 1 router.
1 voor de gasten, en 1 voor intern. Je kan per SSID aangeven hoe je security wil instellen.

The best thing about UDP jokes is that I don't care if you get them or not.

dinsdag 12 juli 2011 17:19

Acties:

MegaTronics

Chef WiFi Kabels

Die Draytek van mij kan 4 SSID's leveren welke allemaal gescheiden van elkaar kunnen zijn. Zelf kun je per SSID de security instellen.

[ Voor 19% gewijzigd door MegaTronics op 12-07-2011 17:19 ]

Vroeger, toen de Batavieren nog met zijn vijven waren.

dinsdag 12 juli 2011 17:44

Acties:

Petervanakelyen

Met de meeste Linksys routers (o.a. de E-serie) en nog vele andere kan er een gescheiden netwerk voor gasten worden opgezet. Nadeel hiervan is dat de configuratie meestal nogal beperkt is (geen bandbreedte- of volumelimiet, geen mogelijkheid tot controle, etc).

Persoonlijk vind ik HotspotSystem wel handig. De client zit ingebakken in DD-WRT (vanaf build 14144) en de configuratie is een eitje (ik draai het zelf op een Linksys WRT54GL). Bovendien kan je met DD-WRT nog een heel pak meer (er zit bijvoorbeeld een optie in die P2P automatisch blokkeert -iets wat op een hotspot wel handig is- en mogelijkheid tot het vermogen van het zendvermogen).

[ Voor 12% gewijzigd door Petervanakelyen op 12-07-2011 17:46 ]

Somewhere in Texas there's a village missing its idiot.

dinsdag 12 juli 2011 17:55

Acties:

ik222

Sowieso heb je een firewall nodig om het prive netwerk te scheiden van het openbare netwerk. Dat kan bijvoorbeeld een (linux) server met 3 netwerkinterfaces zijn. Dan heb je een WAN interface voor de internverbinding, een LAN interface voor je prive netwerk en een LAN interface voor het openbare hotel netwerk. Vervolgens gebruik je op beide LAN interfaces verschillende subnets, blokkeer je al het verkeer tussen beide LAN subnets en zet je voor het openbare gedeelte alles dicht behalve wat noodzakelijk is.

Daarnaast kan een hotspot systeem (wat ook op die server kan draaien dan) wel een handige oplossing zijn inderdaad. Een compleet open internettoegang zonder enige controle zou ik in elk geval niet willen aanbieden aangezien je ook aangesproken kan worden voor eventuele foute dingen die op jou lijn gebeuren.

[ Voor 12% gewijzigd door ik222 op 12-07-2011 17:59 ]

dinsdag 12 juli 2011 20:20

Acties:

Miepermans

BIEM!

ik222 schreef op dinsdag 12 juli 2011 @ 17:55:
Sowieso heb je een firewall nodig om het prive netwerk te scheiden van het openbare netwerk. Dat kan bijvoorbeeld een (linux) server met 3 netwerkinterfaces zijn. Dan heb je een WAN interface voor de internverbinding, een LAN interface voor je prive netwerk en een LAN interface voor het openbare hotel netwerk. Vervolgens gebruik je op beide LAN interfaces verschillende subnets, blokkeer je al het verkeer tussen beide LAN subnets en zet je voor het openbare gedeelte alles dicht behalve wat noodzakelijk is.

Daarnaast kan een hotspot systeem (wat ook op die server kan draaien dan) wel een handige oplossing zijn inderdaad. Een compleet open internettoegang zonder enige controle zou ik in elk geval niet willen aanbieden aangezien je ook aangesproken kan worden voor eventuele foute dingen die op jou lijn gebeuren.

AMEN!

woensdag 13 juli 2011 13:38

Acties:

Frogmen

Zeker gezien de ligging zou ik het gewoon open houden niks geen beheer etc.. scheelt een hoop. Wel dus de SSID etc goed met een firewall scheiden. Verantwoordelijkheid valt wel mee bij de Mac en ABN AMRO staat het ook gewoon open.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

woensdag 13 juli 2011 14:05

Acties:

Wirehead

Check ook even pfsense - die hebben een voucher systeem ingebouwd tegenwoordig. Handig; en free

Denon AVR-X2800H, Quadral Amun Mk.III, Technics SL-7, DIY PhonoPre, AT-152LP / 4.225kW Heckert Solar / SMA 3.0-1AV-41 / Kia e-Niro 64kWh First Edition

woensdag 13 juli 2011 14:21

Acties:

Garyu

WW

Petervanakelyen schreef op dinsdag 12 juli 2011 @ 17:44:
Met de meeste Linksys routers (o.a. de E-serie) en nog vele andere kan er een gescheiden netwerk voor gasten worden opgezet. Nadeel hiervan is dat de configuratie meestal nogal beperkt is (geen bandbreedte- of volumelimiet, geen mogelijkheid tot controle, etc).

Persoonlijk vind ik HotspotSystem wel handig. De client zit ingebakken in DD-WRT (vanaf build 14144) en de configuratie is een eitje (ik draai het zelf op een Linksys WRT54GL). Bovendien kan je met DD-WRT nog een heel pak meer (er zit bijvoorbeeld een optie in die P2P automatisch blokkeert -iets wat op een hotspot wel handig is- en mogelijkheid tot het vermogen van het zendvermogen).

Zoiets lijkt me eigenlijk de makkelijkste oplossing. Probleem dat ik alleen nog zie is de netwerkstructuur die de TS heeft, waardoor dit allemaal aan het uiteinde van een subdeel van zijn netwerk komt te hangen. In hoeverre kan je op dat punt nog een router tussenhangen met een eigen SSID en dat verkeer scheiden van de rest van je intranet? Moet je daarvoor niet direct bij het begin van het netwerk (dus aan de internetconnectie) dit verkeer van elkaar scheiden?

It's Difficult to Make Predictions - Especially About the Future

woensdag 13 juli 2011 15:52

Acties:

Verwijderd

Remco schreef op dinsdag 12 juli 2011 @ 17:15:
Waarom schaf je niet een wireless router aan die standaard een guest netwerk functionaliteit heeft ? Dan heb je 2 SSID's op 1 router.
1 voor de gasten, en 1 voor intern. Je kan per SSID aangeven hoe je security wil instellen.

Daar dacht ik ook aan en vond het al vreemd dat hij niet aan dit soort simpelheid dacht.

woensdag 13 juli 2011 16:01

Acties:

Tsurany

⭐⭐⭐⭐⭐

Inderdaad, een router met guest functionaliteit is de meest simpele oplossing. Kost wel iets maar veel zal het ook niet zijn. Eentje die de mogelijkheid heeft al het verkeer te blokkeren dat niet over poort 80 of 443 gaat en je bent klaar.
Je kan inderdaad niet verder controleren wat er gebeurt maar dat zal je nooit 100% kunnen. Zolang poort 80 open staat kan iemand altijd dingen binnen hengelen die het daglicht niet kunnen verdragen. Je moet er gewoon vanuit gaan dat zoiets niet zal gebeuren.

SMA SB5.0 + 16x Jinko 310wp OWO + 10x Jinko 310wp WNW |--|--| Daikin 4MXM68N + 1x FTXA50AW + 3x FTXM20N

donderdag 14 juli 2011 19:38

Acties:

Fr33z

Topicstarter

Garyu schreef op woensdag 13 juli 2011 @ 14:21:
[...]

Zoiets lijkt me eigenlijk de makkelijkste oplossing. Probleem dat ik alleen nog zie is de netwerkstructuur die de TS heeft, waardoor dit allemaal aan het uiteinde van een subdeel van zijn netwerk komt te hangen. In hoeverre kan je op dat punt nog een router tussenhangen met een eigen SSID en dat verkeer scheiden van de rest van je intranet? Moet je daarvoor niet direct bij het begin van het netwerk (dus aan de internetconnectie) dit verkeer van elkaar scheiden?

even naar aanleiding van de suggesties tot nu toe. Een aparte PC met meerdere netwerkkaarten gaat te veel config en vooral stroom kosten. Ook kan ik zoals vermeld niet alles in de structuur van het netwerk aanpassen. Ik zit redelijk vast aan het stuk modem/router --> kabel naar switch --> kabel naar draadloos acces point.

Even terugkomend op bovenstaande quote, wie kan me hier meer over vertellen? Is het zo dat als ik een DD-WRT dingetje neerzet met bijv. hotspotsystem, werkt dat dan zoals ik wil. Oftewel, mensen op het draadloze netwerk kunnen internetten maar niet bij mijn interne netwerk?

kan iemand hier meer duidelijkheid over verschaffen?

donderdag 14 juli 2011 19:42

Acties:

Tsurany

⭐⭐⭐⭐⭐

Als er een guest optie in zit kunnen ze inderdaad niet op je gewone netwerk, dat is daar juist precies voor bedoeld.

SMA SB5.0 + 16x Jinko 310wp OWO + 10x Jinko 310wp WNW |--|--| Daikin 4MXM68N + 1x FTXA50AW + 3x FTXM20N

donderdag 14 juli 2011 19:55

Acties:

robkds

Wietman!!! schreef op dinsdag 12 juli 2011 @ 14:29:
Beste mede-tweakers,

ik ben momenteel bezig om voor het hotel van mijn ouders draadloos internet voor hun gasten te fixen. Het gaat om een klein hotel met max. 15 gasten, en waarschijnlijk is 1 fatsoenlijk acces point in 't midden voldoende. De situatie zoals die nu is is niet ideaal voor het inrichten van het netwerk, maar het is een erg groot,oud huis en sommige dingen kan ik niet veranderen.

Er is nu 1 binnenkomende ADSL-lijn, met een experiabox die voor prive-wireless zorgt en voor een aantal computers via draadjes. Nu loopt er 1 kabel naar het hotel gedeelte. Graag wil ik een guest-netwerk aan kunnen bieden waarmee mensen wel op internet kunnen maar niet op ons interne netwerk.

Dit klinkt als een gevalletje Fon. Hiermee krijg je een deel van de opbrengsten en is een scheiding tussen klant-netwerk en je eigen netwerk geregeld. Bovendien nemen zij het hele betalingssysteem voor hun rekening.

Klanten kunnen betalen met SMS of creditcard.

http://corp.fon.com/en/business/

Goed man!

maandag 18 juli 2011 18:16

Acties:

Fr33z

Topicstarter

Ik zal FON eens bekijken, dat klinkt precies als wat ik zoek! dankjewel voor de suggestie. Als ik wat getest heb met het systeem zal ik nog even een update geven.