wifi netwerkmaken in jeugdcentrum

Pagina: 1
Acties:

Acties:
  • 0 Henk 'm!

  • Henkpaulus
  • Registratie: Juni 2001
  • Laatst online: 22-03 19:47
We willen graag wifi beschikbaar stellen in een ruimte waar vooral veel jongeren komen.
Maar willen dit doormiddel van een soort gast account doen, deze optie zit overigens niet op ons modem/router experiabox van kpn.
En ook een redelijk groot bereik heeft ivm de oppervlakte en 2de verdieping.

Acties:
  • 0 Henk 'm!

  • FreshMaker
  • Registratie: December 2003
  • Niet online
Wat heb je al beschikbaar, en hoever ben je in je planning ?

Zoals ik het lees moet het op een budget gedaan worden.

Acties:
  • 0 Henk 'm!

  • rutger3411
  • Registratie: April 2015
  • Laatst online: 01-07 23:29
Ik zou voor een Ubiquiti UniFi acces point kiezen! Je kunt hier heel veel op instellen, ook gast accounts.
Als je hier meer over wilt weten kan ik je eventueel meer advies geven.

Acties:
  • 0 Henk 'm!

  • Jordyz
  • Registratie: Maart 2013
  • Laatst online: 07:21
rutger3411 schreef op maandag 27 april 2015 @ 19:50:
Ik zou voor een Ubiquiti UniFi acces point kiezen! Je kunt hier heel veel op instellen, ook gast accounts.
Als je hier meer over wilt weten kan ik je eventueel meer advies geven.
Ik ben ook wel eens benieuwd in hoeverre je unifi accespoint kunt instellen met gastenaccounts enzovoort..

Acties:
  • 0 Henk 'm!

  • Ximon
  • Registratie: Juli 2004
  • Laatst online: 30-04 19:42
rutger3411 schreef op maandag 27 april 2015 @ 19:50:
Ik zou voor een Ubiquiti UniFi acces point kiezen! Je kunt hier heel veel op instellen, ook gast accounts.
Als je hier meer over wilt weten kan ik je eventueel meer advies geven.
Als ik de posts hier mag geloven is een Ubiquiti zo'n beetje de oplossing voor al je WiFi problemen ;)

Volgens mij is TS op zoek naar een captive portal zoals PacketFence

(╯°□°)╯︵ + ︵ x ︵ + ︵ x ︵ + ︵ x ︵ + ︵ x


Acties:
  • 0 Henk 'm!

  • Henkpaulus
  • Registratie: Juni 2001
  • Laatst online: 22-03 19:47
Mijn bedoeling is dus eigenlijk om vanuit de experiabox met een utp kabel naar het accespoint te gaan en daar dan een gastaccount aan kunnen maken, en dan het liefst met een goed bereik.
Alvast bedankt voor de bruikbare tips van hierboven.

P.s het hoeft niet een accespoint te zijn met super veel mogelijkheden, alleen gastaccount voor de wifi is meer als perfect.

Acties:
  • 0 Henk 'm!

  • greyfox1987
  • Registratie: Augustus 2010
  • Laatst online: 30-06 08:50
Ik werk zelf heel veel met Unifi en die dingen werken echt geweldig, guest netwerken met een login zijn absoluut geen probleem. Wel raad ik je aan om in ieder geval de Pro accesspoints te nemen en niet de normale, die zijn iets brakker in ontvangst en snelheid en de maximale hoeveelheid users die simultaan verbonden kunnen zijn is wat lager.

Wat ik zou bekijken en bedenken voordat je iets koopt:

Wat mag het kosten?
Hoe groot is de ruimte en hoe groot is die extra verdieping?
Hoe veel users gaan er maximaal tegelijkertijd ingelogd zijn?
Hoe veel APs heb je dus nodig voor maximaal bereik en performance?
Nog een interessante vraag: Stroom: Ik zou zelf voor iets kiezen met power over ethernet, zodat de knulletjes de boel niet zo makkelijk kunnen slopen bijvoorbeeld :)

Xbox Live Gamertag: Greyfox1987


Acties:
  • 0 Henk 'm!

  • greyfox1987
  • Registratie: Augustus 2010
  • Laatst online: 30-06 08:50
Henkpaulus schreef op dinsdag 28 april 2015 @ 10:28:
Mijn bedoeling is dus eigenlijk om vanuit de experiabox met een utp kabel naar het accespoint te gaan en daar dan een gastaccount aan kunnen maken, en dan het liefst met een goed bereik.
Alvast bedankt voor de bruikbare tips van hierboven.

P.s het hoeft niet een accespoint te zijn met super veel mogelijkheden, alleen gastaccount voor de wifi is meer als perfect.
Als je het zo aan zou willen pakken dan kan je bijna net zo goed een willekeurige Asus router kopen, configureren zodat die als accesspoint werkt en een gastnetwerk toevoegen. Ikzelf zou voor iets anders kiezen, vooral als er sloopgrage handjes van jongeren bij in de buurt komen :)

Xbox Live Gamertag: Greyfox1987


Acties:
  • 0 Henk 'm!

  • Henkpaulus
  • Registratie: Juni 2001
  • Laatst online: 22-03 19:47
greyfox1987 schreef op dinsdag 28 april 2015 @ 12:27:
[...]


Als je het zo aan zou willen pakken dan kan je bijna net zo goed een willekeurige Asus router kopen, configureren zodat die als accesspoint werkt en een gastnetwerk toevoegen. Ikzelf zou voor iets anders kiezen, vooral als er sloopgrage handjes van jongeren bij in de buurt komen :)
Bedankt voor je meedenken greyfox1987
heb het geprobeerd met een netgear wndr3700 router maar het draadloos netwerk werkt perfect. maar alleen wanneer je deze router als accespoint laat werken functioneerd het gastnetwerk niet meer.

Acties:
  • 0 Henk 'm!

  • Dutch2007
  • Registratie: September 2005
  • Laatst online: 13-06 11:31
moet het gasten netwerk 100% NIET verbonden zijn met het normale wifi netwerk?

Als dat niet het geval is, gewoon een router aan je experiabox hangen, netwerknaam verzinnen en GEEN beveiliging d'r op zetten... *klaar*...

anders.... ubiquiti...

en dan gewoon de wallmount + PoE en dan per verdieping een AP

[ Voor 11% gewijzigd door Dutch2007 op 30-04-2015 15:06 ]


Acties:
  • 0 Henk 'm!

Anoniem: 496123

Dutch2007 schreef op donderdag 30 april 2015 @ 14:46:
moet het gasten netwerk 100% NIET verbonden zijn met het normale wifi netwerk?

Als dat niet het geval is, gewoon een router aan je experiabox hangen, netwerknaam verzinnen en GEEN beveiliging d'r op zetten... *klaar*...

anders.... ubiquiti...

en dan gewoon de wallmount + PoE en dan per verdieping een AP
Als het gasten netwerk 100% NIET verbonden mag zijn met het normale wifi netwerk is dit werkelijk waar het slechtste advies. Gewoon een router kopen en die zonder beveiliging aan je experiabox koppelen zorgt ervoor dat alle computers die aan de experiabox zijn gekoppeld, via een kabel of via WiFi, direct te benaderen zijn via het onbeveiligde gasten netwerk.

Dit is het digitale equivalent van een groot gat in de muur naast je voordeur breken en dan raar opkijken als mensen erdoor naarbinnen lopen en je TV stelen.

Acties:
  • 0 Henk 'm!

  • Dutch2007
  • Registratie: September 2005
  • Laatst online: 13-06 11:31
ok ok.. anders een simple wachtwoord d'r op... gasten wifi heeft ja immers normaal een portal er echter zitten voor toegang.. zal ook aan liggen waar het jeugd gebeuren is..

efin.. als 20 jeugdigen het ww heeft... wie heeft dan de "shit" gedaan, weet je dan nog niet...

dus als je al die kant op wil --> geheel eigen internet verbinding 100%

Acties:
  • 0 Henk 'm!

  • laurens0619
  • Registratie: Mei 2002
  • Laatst online: 09:17
Henkpaulus schreef op donderdag 30 april 2015 @ 14:08:
[...]


Bedankt voor je meedenken greyfox1987
heb het geprobeerd met een netgear wndr3700 router maar het draadloos netwerk werkt perfect. maar alleen wanneer je deze router als accespoint laat werken functioneerd het gastnetwerk niet meer.
Geen goede oplossing maar waarschijnlijk werkt het gastnetwerk wel als je de netgear gewoon als nat over nat als router laat werken. utp dus in de wan poort en dat ding dus laten natten.
Moet je wel even goed opletten of de netgear restrictie naar het wan ip (dus lokaal nat over nat ip) heeft en de rest van het netwerk niet gezien kan worden vanaf het gastennetwerk.

Maar nogmaals, geen goede oplossing :)

CISSP! Drop your encryption keys!


Acties:
  • 0 Henk 'm!

  • marcop82
  • Registratie: Maart 2013
  • Niet online
Anoniem: 496123 schreef op donderdag 30 april 2015 @ 15:21:

Als het gasten netwerk 100% NIET verbonden mag zijn met het normale wifi netwerk is dit werkelijk waar het slechtste advies. Gewoon een router kopen en die zonder beveiliging aan je experiabox koppelen zorgt ervoor dat alle computers die aan de experiabox zijn gekoppeld, via een kabel of via WiFi, direct te benaderen zijn via het onbeveiligde gasten netwerk.
Hoezo ? Als je routers cascaded opstelt, creëren elk hun eigen netwerk/subnet, dankzij NAT kom je niet "zomaar" aan het andere netwerk en met wat extra beveiliging (AP isolation, MAC filtering) kom je al een heel eind als VLAN te duur of te moeilijk is. Sowieso elk wireless netwerk beveiligen met WPA2 met een paswoord, ook al is het een guest network. Het wordt niet de bedoeling dat men traffic gaat sniffen.

Acties:
  • 0 Henk 'm!

  • johnkeates
  • Registratie: Februari 2008
  • Laatst online: 04-07 16:30
marcop82 schreef op donderdag 30 april 2015 @ 15:40:
[...]

Hoezo ? Als je routers cascaded opstelt, creëren elk hun eigen netwerk/subnet, dankzij NAT kom je niet "zomaar" aan het andere netwerk en met wat extra beveiliging (AP isolation, MAC filtering) kom je al een heel eind als VLAN te duur of te moeilijk is. Sowieso elk wireless netwerk beveiligen met WPA2 met een paswoord, ook al is het een guest network. Het wordt niet de bedoeling dat men traffic gaat sniffen.
Wat een onzin. Cascaded NAT zorgt er voor dat je van WAN->NAT->NAT->NAT niks kan doen. Maar NAT->NAT->NAT->WAN betekent dat de 1e NAT client prima naar alle onderliggende netwerken kan.

MAC Filtering doet niks. AP Isolation doet ook niks als je nog steeds een route naar een andere client hebt.
VLAN is niet duur of moeilijk, en zit in elke router ingebouwd. Sure, je moet DD-WRT of OpenWRT gebruiken om er gebruik van te maken, maar het is echt niet alsof de switchchip geen VLAN support heeft. Hoe denk je dat de router onderscheid maakt tussen de WAN poort en de LAN poorten? Niet magisch ofzo, dat wordt intern op 2 VLANs gesplitst en gaat via een MII verbinding naar de CPU die dan weet wat waar is.

Voor de TS: gebruik gewoon een goede oplossing. Vergeet sub-80-euro consumenten hardware en ga eens kijken naar daadwerkelijk zinvolle apparatuur. Ubiquity, EnGenius, Open Mesh. Het hoeft niet duur te zijn, maar bij de MediaMarkt ga je echt geen oplossing vinden.

Acties:
  • 0 Henk 'm!

  • Hipska
  • Registratie: Mei 2008
  • Laatst online: 27-06 15:45
NAT staat niet gelijk aan security, wanneer gaan mensen dat nou eens snappen?

Zoals eerder gezegd zorgt het ervoor dat gasten aan vaste pc's kunnen..

Acties:
  • 0 Henk 'm!

Anoniem: 496123

marcop82 schreef op donderdag 30 april 2015 @ 15:40:
[...]

Hoezo ? Als je routers cascaded opstelt, creëren elk hun eigen netwerk/subnet, dankzij NAT kom je niet "zomaar" aan het andere netwerk en met wat extra beveiliging (AP isolation, MAC filtering) kom je al een heel eind als VLAN te duur of te moeilijk is. Sowieso elk wireless netwerk beveiligen met WPA2 met een paswoord, ook al is het een guest network. Het wordt niet de bedoeling dat men traffic gaat sniffen.
Omdat je bij ALLE ip adressen kunt die via de WAN poort te bereiken zijn. Inclusief het 'eigen' netwerk/subnet (je WAN poort heeft immers een IP adres in het subnet van de ExperiaBox). Het klopt dat NAT ervoor zorgt dat je niet zomaar vanaf een computer die aan de ExperiaBox hangt bij een computer kan die in het gastennetwerk hangt. Hierdoor 'bescherm' je de computer van een eventuele hacker.

Derhalve moet ik mijn voorbeeld met de deur een beetje aanpassen, je maakt een groot gat naast je voordeur en zet er vervolgens een deur in die je alleen van buiten open kunt doen.
Dutch2007 schreef op donderdag 30 april 2015 @ 15:26:
ok ok.. anders een simple wachtwoord d'r op... gasten wifi heeft ja immers normaal een portal er echter zitten voor toegang.. zal ook aan liggen waar het jeugd gebeuren is..

efin.. als 20 jeugdigen het ww heeft... wie heeft dan de "shit" gedaan, weet je dan nog niet...

dus als je al die kant op wil --> geheel eigen internet verbinding 100%
Ook met een simpel wachtwoord ontkom je niet aan het probleem dat NAT in de voorgestelde oplossing ervoor zorgt dat de jeugd zonder enig probleem bij computers op het netwerk kan. En je kunt vrij gemakkelijk een opstelling verzinnen die voor 100% scheiding zorgt zonder een extra internetverbinding.

[ Voor 25% gewijzigd door Anoniem: 496123 op 30-04-2015 16:09 ]


Acties:
  • 0 Henk 'm!

  • laurens0619
  • Registratie: Mei 2002
  • Laatst online: 09:17
Anoniem: 496123 schreef op donderdag 30 april 2015 @ 16:02:
[...]


Omdat je bij ALLE ip adressen kunt die via de WAN poort te bereiken zijn. Inclusief het 'eigen' netwerk/subnet (je WAN poort heeft immers een IP adres in het subnet van de ExperiaBox). Het klopt dat NAT ervoor zorgt dat je niet zomaar vanaf een computer die aan de ExperiaBox hangt bij een computer kan die in het gastennetwerk hangt. Hierdoor 'bescherm' je de computer van een eventuele hacker.

Derhalve moet ik mijn voorbeeld met de deur een beetje aanpassen, je maakt een groot gat naast je voordeur en zet er vervolgens een deur in die je alleen van buiten open kunt doen.
Daarvoor moet je dus de firewall inrichten. Het gastennetwerk van mijn ubiquiti zit ook gewoon op mijn gewone lan maar kent een restrictie dat verkeer op dit gastnetwerk alleen met het ip van de router mag praten. Het beste is natuurlijk een VLAN maar dit is voor mij ook prima.

Puur NAT over NAT biedt je deze veiligheid niet inderdaad. Maar als je hierbij een outbound firewall rule kunt inrichten dan moet het afdoende zijn imho :)

CISSP! Drop your encryption keys!


Acties:
  • 0 Henk 'm!

Anoniem: 496123

laurens0619 schreef op donderdag 30 april 2015 @ 16:08:
[...]

Daarvoor moet je dus de firewall inrichten. Het gastennetwerk van mijn ubiquiti zit ook gewoon op mijn gewone lan maar kent een restrictie dat verkeer op dit gastnetwerk alleen met het ip van de router mag praten. Het beste is natuurlijk een VLAN maar dit is voor mij ook prima.

Puur NAT over NAT biedt je deze veiligheid niet inderdaad. Maar als je hierbij een outbound firewall rule kunt inrichten dan moet het afdoende zijn imho :)
We hebben het hier wel over een andere oplossing dan voorgesteld. door Dutch2007. Daar werd gesproken over 'geen beveiliging erop'. Dit geeft de impressie dat je gewoon een 20 euro ding kan kopen (die hoogst waarschijnlijk geen optie heeft om firewall regels in te stellen) en dat je dan aan de gang kunt.

Acties:
  • 0 Henk 'm!

  • laurens0619
  • Registratie: Mei 2002
  • Laatst online: 09:17
Anoniem: 496123 schreef op donderdag 30 april 2015 @ 16:15:
[...]


We hebben het hier wel over een andere oplossing dan voorgesteld. door Dutch2007. Daar werd gesproken over 'geen beveiliging erop'. Dit geeft de impressie dat je gewoon een 20 euro ding kan kopen (die hoogst waarschijnlijk geen optie heeft om firewall regels in te stellen) en dat je dan aan de gang kunt.
True :)

Trouwens andersom is het wel veiliger toch?

Dus alles aan elkaar via nat over nat:
[Internet router] - [Router gasten netwerk] - [Router prive netwerk]

Volgens deze opstelling kunnen de gasten niet bij je prive netwerk (want je komt niet verder dan het wan ip van het prive netwerk) en, mits de router via utp verbonden is, geen MITM doen voor traffic sniffing. Je prive netwerk kan nog wel bij het gasten netwerk (wegens de door jou genoemde reden) maar dat lijkt me een iets minder groot probleem :P

Het hang dus ook van de opstelling af of je voor 20 euro, semi veilig, klaar kan zijn. Of zie ik nu iets over het hoofd?

[ Voor 7% gewijzigd door laurens0619 op 30-04-2015 16:22 ]

CISSP! Drop your encryption keys!


Acties:
  • 0 Henk 'm!

Anoniem: 496123

laurens0619 schreef op donderdag 30 april 2015 @ 16:21:
[...]

True :)

Trouwens andersom is het wel veiliger toch?

Dus alles aan elkaar via nat over nat:
[Internet router] - [Router gasten netwerk] - [Router prive netwerk]

Volgens deze opstelling kunnen de gasten niet bij je prive netwerk (want je komt niet verder dan het wan ip van het prive netwerk) en, mits de router via utp verbonden is, geen MITM doen voor traffic sniffing. Je prive netwerk kan nog wel bij het gasten netwerk (wegens de door jou genoemde reden) maar dat lijkt me een iets minder groot probleem :P

Het hang dus ook van de opstelling af of je voor 20 euro, semi veilig, klaar kan zijn. Of zie ik nu iets over het hoofd?
Wat je hier over het hoofd ziet is het probleem dat je hierdoor de mogelijkheid schept voor de jeugd om direct bij je config pagina van de Experiabox te komen. De vraag is natuurlijk of je dat problematisch vind.

Persoonlijk zou ik een goed access point of een goede WiFi router kopen om het in een keer goed op te lossen (met een firewall rule die toegang tot de webinterface van de Experiabox verbied bijvoorbeeld) zodat je je daar geen zorgen over hoeft te maken. Deze oplossing verondersteld wel dat je in staat bent om een dergelijke configuratie uit te voeren of dat je bereid bent om te leren hoe je dit dient te configureren.

Uiteindelijk hangt het allemaal af van drie factoren, tijd, kennis en geld. Als er weinig tijd, kennis en geld is, dan lijkt me de door jou voorgestelde oplossing een acceptabele compromis als je bereid bent te accepteren dat er een dag kan komen dat iemand je Experiabox wachtwoord achterhaalt en je internet verbinding om zeep helpt.

Acties:
  • 0 Henk 'm!

Anoniem: 203842

Het is de vraag hoe technisch de TS is onderlegd. Als dat niet zo groot is: Ubiquity. Als dat wel is, dan Mikrotik of andere soorten routers. Alles in te stellen, firewalls, tijden hoe lang WiFi werkt, wat wel of niet verboden is etc....

Maar met een Ubiquity kom je ook heel erg ver.
Pagina: 1