Madrox schreef op donderdag 27 juni 2013 @ 14:13:
Bedankt voor de waarschuwing, Dion_b , ben zelf niet roekeloos aangelegt en ben ook niet van plan iets te verneuken. Wat ik uit de tekst heb gelaten is dat het om een eerste indruk gaat, daar ik idd maar op 1 punt gemeten heb (bij mezelf) en nog niet weet wat er precies in huis staat, behalve dat er iig twee acces points zijn. De precieze informatie ga ik nog krijgen.
Lijkt me sowieso een begin. Op basis daarvan kun je inzichtelijk krijgen hoe groot de uitdaging is, vervolgens of het verstandig is als je het zelf probeerd danwel dat je gelijk iemand anders inschakelt.
Je verhaal over de kanalen is mij al duidelijk, er worden meerdere kanalen gebruikt om hogere snelheden te halen. Kanaal 6 is het instelkanaal en 4,5,7 en 8 worden dan ook benut; voor snelheid en stabiliteit van het signaal meen ik.
Nee, gewoon omdat een WiFi-kanaal (vanaf 802.11g iig) standaard 20MHz breed is, maar de kanalen zitten in de 2.4GHz slechts 5MHz uit elkaar:
Veel overlapping is niet zo goed volgens Inssider, maar het kan zo zijn dat je dat soms express opzoekt, als daar nu juist alle zwakkere andere wifi-netwerken zitten en 1 sterke aan de andere kant.
Dat van de co-channel begrijp ik ff niet, dacht dat dat het wpa2 acces point signaal was. Nu zie ik er trouwens twee, allebei met als SSID "Ziggo", eentje met personal en de ander met Enterprise Security.
Co-channel interference is gedefinieerd als WiFi interferentie in hezelfde WiFi-kanaal, dus netwerken die op exact hetzelfde kanaal zitten. Tenzij je apparaten samenwerken (en dat doen ze met consumentenhardware simpelweg niet) storen ze elkaar maximaal.
Dat wil niet zeggen dat overlappende kanalen geen overlast opleveren. Een WiFi-kanaal van 20MHz is eigenlijk verdeeld in meerdere subcarriers van (paar honderd kHz breed). Als je structureel overlap hebt, is dat voor een deel van je subcarriers wel degelijk als co-channel interference te beschouwen.
Je ziet daar trouwens niet twee verschillende AP's, je ziet een Ziggo-modem wiens AP twee SSID's broadcast, eentje voor de klant zelf, de andere voor haar Ziggo WiFispots-dienst. Je ziet twee SSID's, maar ze zitten beide op zelfde AP, zelfde antenne en hebben ook zelfde eigenschappen/instellingen. Voor interferentiebegrippen kun je ze als één netwerk beschouwen.
Bedoel je te zeggen dat de co-channel de router is die het externe Wlan regelt en intern de WiFi ?
Co-channel = "hetzelde kanaal"
Het accespoint met WPA2 heeft idd niet dezelfde inlogkey, daar zit 1 teken verschil tussen.
Goede info komt er waarschijnlijk nog, zodra ik meer weet over hoe het precies in elkaar steekt en welke hardware er gebruikt word.
ps: Waar het precies vandaan komt, is dat echt nodig te weten ? Dacht dat je vooral moest letten op dat je op een zo vrij mogelijk kanaal zit met zo weinig mogelijk andere sterke zenders in de buurt.
Waar het vandaan komt is relevant voor layer 8, oftewel de human factor. Als het komt van binnen jullie gebouw kun je er waarschijnlijk wat aan doen, desnoods met escalatie naar management. Komt het van buiten, dan kun je nog steeds iemand anders erop aanspreken, al heb je dan geen machtsmiddelen om hem te dwingen op ander kanaal te zitten. Dat onderscheid is wel zo handig
Madrox schreef op donderdag 27 juni 2013 @ 14:20:
Dank je voor de tip. Zal er zeker voor zorgen, dat ik elke stap ongedaan kan maken
Het ene accespoint omzetten naar WPA2 lijkt me nog het meest eenvoudig. (als het betreffende apparaat dat ondersteunt tenminste, anders kan WPA ook nog wel)
WPA en WPA2 zijn eigenlijk hetzelfde - of beter gezegd, WPA2 is niets anders dan verplicht CCMP/AES encryption ondersteunen waar het bij WPA optional is.
Je wilt in ieder geval RSN, oftewel CCMP/AES. Dat heb je zeker bij WPA2, bij WPA moet je kijken of het ondersteund is. Gebruik je in plaats van CCMP/AES TKIP beveiliging, dan ben je nog steeds vulnerable - het is niet zo lek als enkel WEP, maar veel beter is het niet.
Maar even een duidelijk vraag; met twee acces-points is het toch beter aparte kanalen te gebruiken ? Dat is nml. wel wat ik lees hier en daar. 6 voor de ene en 11 of 1 voor de ander. Soms is het beter daarvan af te wijken. 6,11 en 1 overlappen eigenlijk ook wel, lees ik maar toch meestal de beste keus (kort gezegt)
1, 6 en 11 overlappen niet. Sterker nog, met OFDM (802.11g of nieuwer) overlappen 1, 5, 9 en 13 niet - zie plaatje hierboven. Als je geen 802.11g kunt met een apparaat, zou ik het zeker vervangen, mede ook omdat je met 802.11b geen WPA doet.
Dat is dus wat ik zeg
Laat ik daaraan toevoegen dat het geen noodzaak is dat iedereen hier met 1 en hetzelfde password overal kan inloggen. Dat kan nu ook al niet. Er zijn twee acces point, met twee verschillende SSID's en ieder een eigen, unieke inlogcode. Het gaat er vooral om dat we het bereik in hele gebouw verbeteren.
Dat is dus een stuk meer dan alleen van WEP naar WPA upgraden.
Als je het echt goed wilt doen moet je werken met een controller die clients naadloos van de ene AP naar de ander overzet, maar dat gaat je budget geheid te boven. Quick&dirty is om beide AP's van zelfde SSID en PSK te voorzien, of trouwens voor WPA(2)-Enterprise te gaan en een Radius-server in te richten. Dat is naar de toekomst toe te prefereren, en veel veiliger dan keys uitdelen aan mensen, maar vergt wel enige kennis en tijd. Ik zou het serieus overwegen als je je hier verder in wilt verdiepen, maar eea hangt ook af van de beveiligingseisen. Als jullie niet of nauwelijks gevoelige informatie uitwisselen en het gevaar van ex-werknemers die nog van op de parkeerplaats inloggen en info meepikken klein is, dan is WPA(2)-PSK genoeg.
Lastige is dat je in dit geval van de client afhankelijk bent om van AP naar AP te hoppen op moment dat signaal niet meer zo lekker is. Elk OS heeft z'n eigen manier om dat te bepalen, maar slim zijn ze geen van allen. Meeste blijven op AP1 zolang er nog signaal van is, al is AP2 op bepaald moment veel sterker.
Maak op diverse plekken in het pand een screenshot van InSSIDer, en bekijk wat voor die plaatsen het meest rustige kanaal is. Doe dit op het moment dat jullie die wifi verbinding gebruiken, en niet bijvoorbeeld 's avonds omdat het wifi landschap er dan heel anders uit kan zien (mensen die thuiskomen en dan pas hun router aanzetten).
Je wil per AP een rustig kanaal, wat voldoende afstand heeft tot je volgende AP. En daarbij hou je rekening met de AP's van de buren.
Ja en nee. Je wilt inderdaad een grondige site survey, maar InSSIDer geeft je maar de helft van de informatie die je echt nodig hebt.
Wat geeft InSSIDer?
- welke SSID zit op welk kanaal?
- hoe sterk is het signaal daarvan?
Wat ontbreekt:
- wat is de signaal/ruisverhouding (SNR)van elk kanaal?
- hoe druk is een kanaal?
Die laatste twee zijn eigenlijk veel relevanter. Je hebt totaal geen last van een sterk SSID waar geen gebruik van gemaakt wordt, maar meer van een zwak SSID waar veel verkeer overheen gaat. Idem is een sterk signaal van je eigen AP leuk en wel, maar als er veel storing (ruis) op je kanaal zit heb je er alsnog weinig baat bij. Dergelijke ruis kan komen van slecht ontworpen WiFi-hardware of van niet-WiFi signaalbronnen (analoge beveiligingscamera's zjin een plaag, in woonwijken babyfoons in 2.4GHz ook), en die zie je helemaal niet terug in InSSIDer.
Probleem is dat er eigenlijk geen makkelijke manier is om SNR of kanaal utilization te meten met reguliere hard- en software. De makers van InSSIDer, Metageek, verkopen wel spullen die je ervoor kunt gebruiken, hun WiSpy DBx dongle en Channelyzer Pro spectrum analyzer software. Ik heb ze hier liggen, werken fantastisch en laten je een echt goede site survey doen. Helaas kosten ze samen USD 1000. Dat is uiteraard veel teveel voor een klein bedrijfje die dit eenmalig doet. Daarom dat er mensen zijn die site surveys als (betaalde) dienst aanbieden. In jullie geval waarschijnlijk niet nodig, maar als je tegen problemen aanloopt iets om in het achterhoofd te houden.
De vraag is vervolgens of je met de gebrekkige info van alleen InSSIDer beter af bent dan zonder. Dat is waarschijnlijk wel zo, maar je moet dondersgoed bewust zijn van het feit dat je maar halve info hebt en dus dat wat optimaal lijkt dat niet noodzakelijk hoeft te zijn.
Kijk verder of je devices die op het AP aangesloten moeten worden ook de andere security aankunnen.
Anders schop je die van het netwerk af.
Dat zeker. Te meer omdat in de 802.11i (WiFi security) spec staat dat als gebruik gemaakt wordt van WEP of WPA-TKIP er geen gebruik mag worden gemaakt van High Throughput (802.11n) features. Je kastreert met dergelijke apparaten dus de performance van je WiFi-netwerk. Om optimaal te presteren moet je dus WPA(2)-AES en alleen AES gebruiken.
[
Voor 48% gewijzigd door
dion_b op 27-06-2013 17:08
]
:strip_icc():strip_exif()/u/55093/UPpharoah.jpg?f=community)
(we hoeven dus geen geen bijzondere server te configgen..phew):strip_icc():strip_exif()/u/65084/Ant-leaf_TNet.jpg?f=community)
Al denk ik dat het korter gaat duren 
Gaat het soms om speciale apparatuur?
/u/12038/crop5a51514a4dec1_cropped.png?f=community)
), heb ik het met de trainer er ook over gehad. Hij zei toen dat het roamen niet echt denderend werkt, zonder controller.
