Wifi aanleggen op manege

In deze situatie heb je VLAN support op minimaal je switch nodig en ik denk ook L3 functionaliteit, of ook VLAN support op je Router en dat gaat niet lukken denk ik.

Ik zou 2 SID's maken en de security op je AccessPoint regelen ipv moeilijk doen met VLAN's

Het is een beetje lastig om hier exact advies over te geven, we weten niet hoe groot de manage is, waar er W-Fi ontvangst moet zijn en ga zo maar door.

Er zijn al verschillende topics over gratis wifi in openbare ruimtes, misschien kun je daar wat inspiratie opdoen... Verder denk ik niet dat je met een simpele internetverbinding genoeg hebt om én je zakelijke netwerk, én je openbaar netwerk te kunnen voorzien van genoeg snelheid...
Je zegt al manege, dit doet mij denken aan buitengebied waar moeilijk aan snel internet te komen is... correct me if i'm wrong!

Wat betreft de uitvoering hiervan: ik zou 2 routers aan je internetverbinding zetten, die niet bij elkaar in het subnet kunnen. Bijvoorbeeld: openbaar: 192.168.100.xxx en zakelijk: 192.168.200.xxx.
Je zou ook kunnen kijken naar roaming, dan kunnen apparaten tussen verschillende AP's schakelen zonder verbinding te verliezen.

Ik heb ooit eens een apart netwerk gemaakt in een netwerk voor testopstellingen, dat heb ik toen gerealiseerd met een router waar een WAN aansluiting aan zit. Die WAN aansluiting zorgt er zeg maar voor dat er alleen een internetsignaal doorheen gaat, dus de netwerken bleven netjes gescheiden.
Je zou dus ook hetzelfde kunnen doen voor je openbare netwerk, dit kun je dan ook na sluitingstijd uitschakelen met een tijdfunctie (die meestal al in de router zit).

Ik neem aan dat je alles buiten en op een centrale locatie wil hangen? Hoe groot is de locatie ongeveer? Heb je (als gebruiker) line of sight op de antenne of niet?

De scheiding van de netwerken kan je met VLAN's wel realiseren. Neem anders een router zoals deze en flash er DD-WRT of OpenWRT op, dan heb je een goedkope managed switch met nog een stuk meer mogelijkheden.

Edit: over hoeveel gebruikers gaat het hier overigens?

[ Voor 61% gewijzigd door Petervanakelyen op 09-01-2012 20:17 ]

Kun je niet een draadloze router met 'Guest-Acces' neerzetten. Zo kun je een beveiligde verbinding voor de medewerkers opzetten en een 'open' verbinding voor de gasten. Deze 'open' verbinding is tevens afgesloten van het normale netwerk zodat er niets gerommeld kan worden.

Het enige waar je dan mee zit is het bereik, dit kun je eventueel extenden. De E4200 heeft deze mogelijkheden. Tevens USB aansluiting om eventueel printer of hdd aan te hangen etc.

[ Voor 23% gewijzigd door funkeey op 09-01-2012 20:17 ]

Ik neem aan dat er min of meer een line of sight is. Ik zou sowieso ervoor zorgen dat op elke positie waar wifi gewenst is binnen 20-30 meter een acces point staat.

funkeey schreef op maandag 09 januari 2012 @ 20:16:
Kun je niet een draadloze router met 'Guest-Acces' neerzetten. Zo kun je een beveiligde verbinding voor de medewerkers opzetten en een 'open' verbinding voor de gasten. Deze 'open' verbinding is tevens afgesloten van het normale netwerk zodat er niets gerommeld kan worden.

Het enige waar je dan mee zit is het bereik, dit kun je eventueel extenden. De E4200 heeft deze mogelijkheden. Tevens USB aansluiting om eventueel printer of hdd aan te hangen etc.

Hoe wilde je dit met je E4200 aanpakken? Geen externe antennes mogelijk en guest-netwerk is enkel voor de ingebouwde radio, dus niet mogelijk voor een Access Point dat je erop aansluit. Bovendien is de kans heel klein dat iemand daar de 5GHz radio gaat gebruiken, enkel zonde van het geld.

Maar ik wacht nog op de antwoorden van de TS

Een extra router is ook wel een aardig idee, had ik nog niet aan gedacht.

Tenzij je meerdere publieke IP-adressen hebt, zie ik niet direct in hoe je meerdere routers wil gebruiken?

Als je je publieke router achter je zakelijke router hangt, kunnen clients gewoon aan intern gesharede mappen en printers. Dat er NAT tussen zit maakt niets uit, alles wordt gewoon geroute. Als je je zakelijke router achter je publieke router hangt, kan een client van het publieke netwerk door middel van ARP poisoning al het verkeer van het zakelijke netwerk naar het internet toe onderscheppen, dat is eveneens iets dat je niet wil. Vanuit de manage zelf zal het misschien te opvallend zijn, maar met krachtige antennes en Line-of-Sight kan je signaal wel een paar kilometer ver reiken (en kunnen er ook clients gebruik van maken die niet per se iets met de manage te maken hebben).

[ Voor 6% gewijzigd door Petervanakelyen op 09-01-2012 21:01 ]

Client isolation zorgt er enkel voor dat clients onderling niets kunnen uitwisselen, maar verhindert geen van de bovenstaande beveiligingsissues. Desalniettemin goed om aan te zetten.

[ Voor 11% gewijzigd door Petervanakelyen op 09-01-2012 21:08 ]

As je het over 100 meter hebt, zou ik het zo verdelen

op 0~20 m ap1, op 40~60m de router en op 80~100m ap2. Dan heb je denk ik overal prima bereik. Je zou het zelfs ook met de router op 30~35 en het ap op 65~70 kunnen proberen, dat zou ook moeten lukken. Je legt een kabel tussen router en ap?

En @de post hierboven, ja

[ Voor 4% gewijzigd door Beatboxx op 09-01-2012 21:35 ]

Ik weet niet hoe ver de manege van de bewoonde wereld is verwijderd maar wees voorzichtig met het open zetten van wifi netwerken. Als buren gebruik gaan maken van het open wifi netwerk kunnen ze allerlei minder legale zaken gaan doen waar de manege voor verantwoordelijk kan worden gehouden.

Op een manege heb je neem ik aan een kantine. Is het geen idee om het draadloos internet wel te beveiligen en de code gewoon op een mooi briefje in de kantine te hangen?

Mensen die in de buurt wonen zullen dan in eerste instantie je internet niet kunnen gebruiken, en er word dan denk ik een stuk minder gebruik van gemaakt 'om te testen' of voor het gemak als je met je 3G loopt te klungelen in de buurt.

R-v-R schreef op maandag 09 januari 2012 @ 21:46:
Ik weet niet hoe ver de manege van de bewoonde wereld is verwijderd maar wees voorzichtig met het open zetten van wifi netwerken. Als buren gebruik gaan maken van het open wifi netwerk kunnen ze allerlei minder legale zaken gaan doen waar de manege voor verantwoordelijk kan worden gehouden.

Blah blah blah. Dat is echt het láátste waar je je zorgen om moet maken.

CyBeR schreef op maandag 09 januari 2012 @ 21:51:
[...]


Blah blah blah. Dat is echt het láátste waar je je zorgen om moet maken.

Tuurlijk, totdat de buren kinderpr0n verzamelen of verspreiden en de politie bij jou aanbelt.

R-v-R schreef op maandag 09 januari 2012 @ 22:00:
[...]


Tuurlijk, totdat de buren kinderpr0n verzamelen of verspreiden en de politie bij jou aanbelt.

Ten eerste, hoe wijdverspreid denk je dat het verzamelen van kinderporno is, precies? En ten tweede, daarna ben jij een openbare ruimte met gratis wifi. Hoeveel tijd denk je dat een rechercheur daaraan gaat verspillen, precies?

Dit is het meest onzinnige argument dat je kunt bedenken.

Hoe onwaarschijnlijk het ook is dat de politie bij je aanklopt, met simpele maatregelen is er genoeg te voorkomen. En het feit blijft dat je je tijd toch liever niet aan dat soort zaken besteedt.

De kans op misbruik door de buren die je internet verbinding gebruiken om te internetten op jou verbinding en daarmee wellicht overlast veroorzaken is natuurlijk vele malen groter.

Ik blijf bij mijn eerdere standpunt om het wifi gratis aan te bieden maar met beveiliging, en de code op te hangen in de kantine(onder de aanname dat er een kantine is). Je hoeft je dan geen - of in elk geval minder - zorgen te maken over misbruik van je netwerk. Zowel door criminelen als door de voorbijganger die je wifi aantrekkelijker vind dan zijn 3G verbinding.

Je kan best open wifi aanbieden, knal er dan http://www.opendns.com/ tussen dat je vrijwel *alles* filtert (is een setting voor).
Heb je gelijk het 'probleem' van 'stoute buren' opgelost.

Grootstyr schreef op maandag 09 januari 2012 @ 22:12:
Hoe onwaarschijnlijk het ook is dat de politie bij je aanklopt, met simpele maatregelen is er genoeg te voorkomen. En het feit blijft dat je je tijd toch liever niet aan dat soort zaken besteedt.

De kans op misbruik door de buren die je internet verbinding gebruiken om te internetten op jou verbinding en daarmee wellicht overlast veroorzaken is natuurlijk vele malen groter.

Ik blijf bij mijn eerdere standpunt om het wifi gratis aan te bieden maar met beveiliging, en de code op te hangen in de kantine(onder de aanname dat er een kantine is). Je hoeft je dan geen - of in elk geval minder - zorgen te maken over misbruik van je netwerk. Zowel door criminelen als door de voorbijganger die je wifi aantrekkelijker vind dan zijn 3G verbinding.

En dan? Ik ben de buren kom wel eens langs noteer de code, klaar..

Onzin vriend, open is open ook al heb je een code nodig als je die verspreid weten op een gegeven moment mensen die uit hun hoofd, en moeilijk doen met steeds wijzingen worden je klanten gek van.

Gewoon open, er zijn GENOEG andere manieren om dit netjes te filteren

Heb je aan QoS gedacht? Je geeft aan DSL, en 50mbit. In mijn ervaring (ik woon in Groningen) zitten de meeste manege's op een plek waar de volle 50 niet gehaald wordt. Controleer dit in de modem/router. Hoe goed je lokale infrastructuur ook is, als er een evenement is, of een paardenveiling, en er komen een paar achter dat je een WiFi net hebt, en ze gáán youtube filmpjes opzoeken over een hengst/veulen wat geveild wordt, dan ligt je netwerk snel plat. Vergeet niet dat WiFi hubbed is, en nogal krap in het connectie aantal. En met meer antennes los je het ook niet op, omdat je dan al snel door je frequenties heen raakt.

Erger dan hoeveelheid connecties is de hoeveelheid bandbreedte. Zoals je aangaf is je upstream erg beperkt en je downstream wil ik nog wel eens weten in een praktische situatie. Reken er op dat dat inzakt zodra 4-5 man bezig is. En dat kan érg snel gaan. Je wilt dus een soort van QoS hebben wat geregistreerde MAC-adressen eigenlijk altijd priority geeft. Nog liever heb je een dubbele internet connectie (echt dubbel), waarvan één voor de bedrijfskritieke operaties, en een voor recreatief/gasten. Je wilt namelijk niet dat je off-site backups gevaar lopen.

Mocht je hiermee toch besluiten door te gaan: QoS is een must. Zodra jij of je medewerkers besluiten ook maar iets te doen, of je server gaat z'n backups maken, schiet iedereen met z'n youtube-phone op "buffering".

sig69 schreef op dinsdag 10 januari 2012 @ 09:42:
Niet duur, managed, en kan volgens mij wat ik wil?
Tussen de switches loopt dan een (reeds bestaande) kabel, waarop ik vlan 1 en 2 aanzet, de adsl router komt ook in vlan 1 en 2. Op de Engenius kan ik per ssid een vlan tag meegeven, dus zodoende zou dat ook goed moeten gaan denk ik. Wat denken jullie?

Ondersteund je ADSL router VLAN's? Sowieso: als je binnenkort van technologie gaat veranderen, zal er een andere modem/router geïnstalleerd worden. Dan kan je beter een aparte router kopen (waarop je ook QoS kan instellen) die je instelt naar je eigen wensen en daarachter een modem in bridge van de provider - switchen naar een ander abbo, andere ISP of andere technologie kan dan zonder aanpassing in je bestaande infrastructuur.

Ik heb hier even naar gekeken, en wat ik er van begrijp is het gewoon een DNS server die je in je router instelt? Is dat niet heel makkelijk te omzeilen? (Gewoon een andere dns server gebruiken?)

Maak een rule aan in je router waarbij enkel OpenDNS als DNS-server wordt toegelaten? OpenDNS is verruit de gemakkelijkste manier om dingen te blokkeren.

Schema even aangepast:

[ Voor 4% gewijzigd door Petervanakelyen op 10-01-2012 10:21 ]

sig69 schreef op dinsdag 10 januari 2012 @ 09:42:
Ik heb hier even naar gekeken, en wat ik er van begrijp is het gewoon een DNS server die je in je router instelt? Is dat niet heel makkelijk te omzeilen? (Gewoon een andere dns server gebruiken?)

Volgens mij kan je dat voorkomen door alleen verkeer naar poort 80 en 443 open te stellen en een interne DNS server aan te bieden aan de gebruikers. Daarnaast is het misschien een idee om het guest netwerk alleen tijdens openingstijden open te stellen.

Tot slot is de vraag van verantwoordelijkheid niet te onderschatten maar staat het los van de techniek.

De huidige router niet nee. Is het niet zo dat als ik de poort waar de router aan zit op de switch in vlan 1 en 2 zet, dat het dan werkt?

Je kan een poort toewijzen aan één VLAN, maar toch niet aan twee VLAN's tegelijkertijd?

Blijkbaar kan het inderdaad:

The advanced port-based configuration uses a slightly different user interface to allow you to
assign ports to multiple VLAN groups.

Heb het zelf nog nooit geprobeerd. Ik vraag me af hoe dat in zijn werk gaat als er op beide VLAN's gebruik wordt gemaakt van een ander subnet.

[ Voor 20% gewijzigd door Petervanakelyen op 10-01-2012 11:21 ]

Petervanakelyen schreef op dinsdag 10 januari 2012 @ 11:19:
Blijkbaar kan het inderdaad:

[...]


Heb het zelf nog nooit geprobeerd. Ik vraag me af hoe dat in zijn werk gaat als er op beide VLAN's gebruik wordt gemaakt van een ander subnet.

Heel simpel: die zijn gescheiden. Je kunt niet op één poort twee VLANs hebben alsof er niets aan de hand is. Dat gaat met VLAN tags.

Klopt en dat word vooral gebruikt in combinatie met Voip.

Een oplossing dmv VLAN is een goede mogelijkheid. Toch zou ik je nog willen wijzen op de voordelen van een Captive Portal.

Er zijn een aantal Gateway oplossingen die de mogelijkheid hebben tot het bieden van een Captive Portal. Bijvoorbeeld Zeroshell of Zentyal

[ Voor 8% gewijzigd door Verwijderd op 10-01-2012 12:10 ]

Zeroshell en pfSense (of UTM's zoals Untangle en Zentyal) bieden veel mogelijkheden, maar je zit direct met extra hardware die je moet laten draaien. Een paar routers en switches zijn op dat vlak gemakkelijker (beginnen niet te klagen als je de stekker uittrekt bijvoorbeeld - een UPS bij zetten lijkt me wat overkill in dit geval).

[ Voor 6% gewijzigd door Petervanakelyen op 10-01-2012 12:14 ]

Zo zou ik het zelf ongeveer doen, een pfsense appliance kant en klaar heb je al voor zo'n 300 euro
Overigens maakt het eruit trekken van de stekker bij deze kastjes ook niets uit, hij moet alleen weer even opstarten, maar dat duurt hooguit 5 minuten.
Nog mooier zou zijn om access points van aerohive te nemen, alleen dan wordt het wel een dure aangelegenheid.

[ Voor 15% gewijzigd door moppentappers op 10-01-2012 12:28 ]

Als je toch voor aparte access points gaat kan je ook eens kijken naar Meraki. Nog niet mee mogen spelen, maar heel veel positieve ervaringen gehoord (vooral over de installatie en het beheer van die dingen).

[ Voor 3% gewijzigd door Petervanakelyen op 10-01-2012 12:56 ]

geldermalsen schreef op dinsdag 10 januari 2012 @ 12:08:
Klopt en dat word vooral gebruikt in combinatie met Voip.

Euh, nee hoor. VLANs bestonden al jaren voordat VoIP eens kwam kijken, en worden gebruikt om netwerken te segmenteren.

Dat je graag je VoIP in een ander VLAN hebt dan de rest is een gevolg van het bestaan van VLANs, niet andersom.

Ik doelde op het 2 vlans op 1 poort verhaal..

[ Voor 4% gewijzigd door geldermalsen op 10-01-2012 15:55 ]

geldermalsen schreef op dinsdag 10 januari 2012 @ 15:55:
Ik doelde op het 2 vlans op 1 poort verhaal..

Naar de client toe wordt dat inderdaad veel gebruikt met VoIP, maar meerdere VLANs op een poort is al heel lang (pre-VoIP) gemeengoed tussen switches onderling, of tussen switches en servers, etc.


Anyway, ik bedacht me dat ik ook ooit dit nog had gezien: http://ubnt.com/unifi

Ik heb er geen ervaring mee ofzo maar 't ziet er best goed uit en de prijs is prima.

Dat klopt maar poort 1-24 met 2 vlans uitrusten is meestal voor VoIP

Ik had me antwoord beter moeten formulieren.

CyBeR schreef op dinsdag 10 januari 2012 @ 16:11:
Anyway, ik bedacht me dat ik ook ooit dit nog had gezien: http://ubnt.com/unifi

Ik heb er geen ervaring mee ofzo maar 't ziet er best goed uit en de prijs is prima.

Met de UniFi heb ik ook geen ervaring, maar de Nanostations zijn alleszinds heel erg handige spulletjes.
Ik heb er zelf een paar gebruik om te connecten met een mast op een industrieterrein een paar kilometer verder.

[ Voor 13% gewijzigd door Petervanakelyen op 10-01-2012 23:39 ]

Mits je een router hebt die VLAN tagging ondersteunt en kan firewallen tussen die twee VLANs, ja.

Je stelt die ADSL router best wel in als bridge (zodat je router rechtstreeks het publiek IP-adres toegekend krijgt). Met twee routers achter elkaar heb je dubbele NAT en dat is niet handig.

Of z'n DD-WRT moet niet NATten en z'n ADSL-router een extra route ingesteld krijgen. Soms is dat makkelijker dan een ADSL modem in bridge krijgen, afhankelijk van je ISP.

sig69 schreef op donderdag 12 januari 2012 @ 14:09:
Ik denk dat ik eerst maar eens een router aan ga schaffen en wat klooien met DD-WRT. Dit lijkt me wel een aardige: pricewatch: Linksys WRT54GL Wireless-G Linux Broadband Router, vlan support is in orde volgens de DD-WRT wiki en het forum.

Ik heb hier nog twee WRT54GL's liggen, maar het is niet de moeite om daar nu nog geld aan uit te geven.
Voor exact hetzelfde bedrag (iets minder zelfs) heb je een TP-Link WR1043ND met Gigabit, Wireless-N, een stuk snellere SoC, meer RAM en even goed DD-WRT support.

Denk je er overigens aan dat met een (normaal) abbo het niet togestaan is je Internet met derden te delen? Weet niet hoe het zit bij jullie maar misschien moet je dit vooraf regelen met de provider? Just sayin'.

Overweeg dan (financieel) om een tweede ADSL lijn te nemen, puur voor gast internet. Jawel, kost weer 15 a 20 euro per maand, maar je bent van alle gezeik af.

Een andere optie is FON. http://www.fon.com
Dat is een soort een voor allen, allen voor een. Dus als jij je ADSL gaat delen, delen andere gebruikers (50 miljoen +) dan ook met jou.
Jouw en guest netwerken zijn volledig gescheiden, want de IP toewijzing gebeurt vanuit Spanje. Jij stelt in wat de bandbreedte voor gasten mag zijn (bv. 256 kBps, 1 Mb etc...) Allemaal via een webbrowser. Dus je kan ook remote de gast toegang uitzetten.
Jij hebt ten alle tijden een privé SSID met eigen WPA2 code, die onbeperkt is qua snelheid. Ook deze kan je remote (of lokaal) beheren.
Voordeel: Alle FON locaties zijn in POI formaat (of Excel etc...) te downloaden op je BB of Android telefoon. Als jij op vakantie bent in Spanje of Italie, kaarten op je telefoon even aanzetten, en kijken waar de dichtstbijzijnde FON spot is. Even inloggen, en je kan gratis internetten.

En ook belangrijk: Alle log's en andere "beheertaken" neemt FON van je over. Dus als er een "nare buurman" is die bommailtjes naar het witte huis stuurt, en de KLPD staat voor je deur, gaat FON (in Spanje) jou helpen.

Haik

Jouw en guest netwerken zijn volledig gescheiden, want de IP toewijzing gebeurt vanuit Spanje.

Ik heb hier ook een FON hangen (en heb me ook bezig gehouden met de firmware) en ik kan je vertellen dat er niets 'IP-toewijzing vanuit Spanje' gebeurd. Bovendien: het principe van FON is het delen van je internetverbinding voor andere FON-gebruikers, hoe veel bezoekers met FON thuis denk je te hebben op een manage?

[ Voor 6% gewijzigd door Petervanakelyen op 13-01-2012 12:50 ]