wifi netwerkmaken in jeugdcentrum

Wat heb je al beschikbaar, en hoever ben je in je planning ?

Zoals ik het lees moet het op een budget gedaan worden.

Ik zou voor een Ubiquiti UniFi acces point kiezen! Je kunt hier heel veel op instellen, ook gast accounts.
Als je hier meer over wilt weten kan ik je eventueel meer advies geven.

rutger3411 schreef op maandag 27 april 2015 @ 19:50:
Ik zou voor een Ubiquiti UniFi acces point kiezen! Je kunt hier heel veel op instellen, ook gast accounts.
Als je hier meer over wilt weten kan ik je eventueel meer advies geven.

Ik ben ook wel eens benieuwd in hoeverre je unifi accespoint kunt instellen met gastenaccounts enzovoort..

rutger3411 schreef op maandag 27 april 2015 @ 19:50:
Ik zou voor een Ubiquiti UniFi acces point kiezen! Je kunt hier heel veel op instellen, ook gast accounts.
Als je hier meer over wilt weten kan ik je eventueel meer advies geven.

Als ik de posts hier mag geloven is een Ubiquiti zo'n beetje de oplossing voor al je WiFi problemen

Volgens mij is TS op zoek naar een captive portal zoals PacketFence

moet het gasten netwerk 100% NIET verbonden zijn met het normale wifi netwerk?

Als dat niet het geval is, gewoon een router aan je experiabox hangen, netwerknaam verzinnen en GEEN beveiliging d'r op zetten... *klaar*...

anders.... ubiquiti...

en dan gewoon de wallmount + PoE en dan per verdieping een AP

[Voor 11% gewijzigd door Dutch2007 op 30-04-2015 15:06]

Dutch2007 schreef op donderdag 30 april 2015 @ 14:46:
moet het gasten netwerk 100% NIET verbonden zijn met het normale wifi netwerk?

Als dat niet het geval is, gewoon een router aan je experiabox hangen, netwerknaam verzinnen en GEEN beveiliging d'r op zetten... *klaar*...

anders.... ubiquiti...

en dan gewoon de wallmount + PoE en dan per verdieping een AP

Als het gasten netwerk 100% NIET verbonden mag zijn met het normale wifi netwerk is dit werkelijk waar het slechtste advies. Gewoon een router kopen en die zonder beveiliging aan je experiabox koppelen zorgt ervoor dat alle computers die aan de experiabox zijn gekoppeld, via een kabel of via WiFi, direct te benaderen zijn via het onbeveiligde gasten netwerk.

Dit is het digitale equivalent van een groot gat in de muur naast je voordeur breken en dan raar opkijken als mensen erdoor naarbinnen lopen en je TV stelen.

ok ok.. anders een simple wachtwoord d'r op... gasten wifi heeft ja immers normaal een portal er echter zitten voor toegang.. zal ook aan liggen waar het jeugd gebeuren is..

efin.. als 20 jeugdigen het ww heeft... wie heeft dan de "shit" gedaan, weet je dan nog niet...

dus als je al die kant op wil --> geheel eigen internet verbinding 100%

Henkpaulus schreef op donderdag 30 april 2015 @ 14:08:
[...]


Bedankt voor je meedenken greyfox1987
heb het geprobeerd met een netgear wndr3700 router maar het draadloos netwerk werkt perfect. maar alleen wanneer je deze router als accespoint laat werken functioneerd het gastnetwerk niet meer.

Geen goede oplossing maar waarschijnlijk werkt het gastnetwerk wel als je de netgear gewoon als nat over nat als router laat werken. utp dus in de wan poort en dat ding dus laten natten.
Moet je wel even goed opletten of de netgear restrictie naar het wan ip (dus lokaal nat over nat ip) heeft en de rest van het netwerk niet gezien kan worden vanaf het gastennetwerk.

Maar nogmaals, geen goede oplossing

lennaert.goris schreef op donderdag 30 april 2015 @ 15:21:

Als het gasten netwerk 100% NIET verbonden mag zijn met het normale wifi netwerk is dit werkelijk waar het slechtste advies. Gewoon een router kopen en die zonder beveiliging aan je experiabox koppelen zorgt ervoor dat alle computers die aan de experiabox zijn gekoppeld, via een kabel of via WiFi, direct te benaderen zijn via het onbeveiligde gasten netwerk.

Hoezo ? Als je routers cascaded opstelt, creëren elk hun eigen netwerk/subnet, dankzij NAT kom je niet "zomaar" aan het andere netwerk en met wat extra beveiliging (AP isolation, MAC filtering) kom je al een heel eind als VLAN te duur of te moeilijk is. Sowieso elk wireless netwerk beveiligen met WPA2 met een paswoord, ook al is het een guest network. Het wordt niet de bedoeling dat men traffic gaat sniffen.

marcop82 schreef op donderdag 30 april 2015 @ 15:40:
[...]

Hoezo ? Als je routers cascaded opstelt, creëren elk hun eigen netwerk/subnet, dankzij NAT kom je niet "zomaar" aan het andere netwerk en met wat extra beveiliging (AP isolation, MAC filtering) kom je al een heel eind als VLAN te duur of te moeilijk is. Sowieso elk wireless netwerk beveiligen met WPA2 met een paswoord, ook al is het een guest network. Het wordt niet de bedoeling dat men traffic gaat sniffen.

Wat een onzin. Cascaded NAT zorgt er voor dat je van WAN->NAT->NAT->NAT niks kan doen. Maar NAT->NAT->NAT->WAN betekent dat de 1e NAT client prima naar alle onderliggende netwerken kan.

MAC Filtering doet niks. AP Isolation doet ook niks als je nog steeds een route naar een andere client hebt.
VLAN is niet duur of moeilijk, en zit in elke router ingebouwd. Sure, je moet DD-WRT of OpenWRT gebruiken om er gebruik van te maken, maar het is echt niet alsof de switchchip geen VLAN support heeft. Hoe denk je dat de router onderscheid maakt tussen de WAN poort en de LAN poorten? Niet magisch ofzo, dat wordt intern op 2 VLANs gesplitst en gaat via een MII verbinding naar de CPU die dan weet wat waar is.

Voor de TS: gebruik gewoon een goede oplossing. Vergeet sub-80-euro consumenten hardware en ga eens kijken naar daadwerkelijk zinvolle apparatuur. Ubiquity, EnGenius, Open Mesh. Het hoeft niet duur te zijn, maar bij de MediaMarkt ga je echt geen oplossing vinden.

NAT staat niet gelijk aan security, wanneer gaan mensen dat nou eens snappen?

Zoals eerder gezegd zorgt het ervoor dat gasten aan vaste pc's kunnen..

marcop82 schreef op donderdag 30 april 2015 @ 15:40:
[...]

Hoezo ? Als je routers cascaded opstelt, creëren elk hun eigen netwerk/subnet, dankzij NAT kom je niet "zomaar" aan het andere netwerk en met wat extra beveiliging (AP isolation, MAC filtering) kom je al een heel eind als VLAN te duur of te moeilijk is. Sowieso elk wireless netwerk beveiligen met WPA2 met een paswoord, ook al is het een guest network. Het wordt niet de bedoeling dat men traffic gaat sniffen.

Omdat je bij ALLE ip adressen kunt die via de WAN poort te bereiken zijn. Inclusief het 'eigen' netwerk/subnet (je WAN poort heeft immers een IP adres in het subnet van de ExperiaBox). Het klopt dat NAT ervoor zorgt dat je niet zomaar vanaf een computer die aan de ExperiaBox hangt bij een computer kan die in het gastennetwerk hangt. Hierdoor 'bescherm' je de computer van een eventuele hacker.

Derhalve moet ik mijn voorbeeld met de deur een beetje aanpassen, je maakt een groot gat naast je voordeur en zet er vervolgens een deur in die je alleen van buiten open kunt doen.

Dutch2007 schreef op donderdag 30 april 2015 @ 15:26:
ok ok.. anders een simple wachtwoord d'r op... gasten wifi heeft ja immers normaal een portal er echter zitten voor toegang.. zal ook aan liggen waar het jeugd gebeuren is..

efin.. als 20 jeugdigen het ww heeft... wie heeft dan de "shit" gedaan, weet je dan nog niet...

dus als je al die kant op wil --> geheel eigen internet verbinding 100%

Ook met een simpel wachtwoord ontkom je niet aan het probleem dat NAT in de voorgestelde oplossing ervoor zorgt dat de jeugd zonder enig probleem bij computers op het netwerk kan. En je kunt vrij gemakkelijk een opstelling verzinnen die voor 100% scheiding zorgt zonder een extra internetverbinding.

[Voor 25% gewijzigd door lennaert.goris op 30-04-2015 16:09]

lennaert.goris schreef op donderdag 30 april 2015 @ 16:02:
[...]


Omdat je bij ALLE ip adressen kunt die via de WAN poort te bereiken zijn. Inclusief het 'eigen' netwerk/subnet (je WAN poort heeft immers een IP adres in het subnet van de ExperiaBox). Het klopt dat NAT ervoor zorgt dat je niet zomaar vanaf een computer die aan de ExperiaBox hangt bij een computer kan die in het gastennetwerk hangt. Hierdoor 'bescherm' je de computer van een eventuele hacker.

Derhalve moet ik mijn voorbeeld met de deur een beetje aanpassen, je maakt een groot gat naast je voordeur en zet er vervolgens een deur in die je alleen van buiten open kunt doen.

Daarvoor moet je dus de firewall inrichten. Het gastennetwerk van mijn ubiquiti zit ook gewoon op mijn gewone lan maar kent een restrictie dat verkeer op dit gastnetwerk alleen met het ip van de router mag praten. Het beste is natuurlijk een VLAN maar dit is voor mij ook prima.

Puur NAT over NAT biedt je deze veiligheid niet inderdaad. Maar als je hierbij een outbound firewall rule kunt inrichten dan moet het afdoende zijn imho

laurens0619 schreef op donderdag 30 april 2015 @ 16:08:
[...]

Daarvoor moet je dus de firewall inrichten. Het gastennetwerk van mijn ubiquiti zit ook gewoon op mijn gewone lan maar kent een restrictie dat verkeer op dit gastnetwerk alleen met het ip van de router mag praten. Het beste is natuurlijk een VLAN maar dit is voor mij ook prima.

Puur NAT over NAT biedt je deze veiligheid niet inderdaad. Maar als je hierbij een outbound firewall rule kunt inrichten dan moet het afdoende zijn imho

We hebben het hier wel over een andere oplossing dan voorgesteld. door Dutch2007. Daar werd gesproken over 'geen beveiliging erop'. Dit geeft de impressie dat je gewoon een 20 euro ding kan kopen (die hoogst waarschijnlijk geen optie heeft om firewall regels in te stellen) en dat je dan aan de gang kunt.

lennaert.goris schreef op donderdag 30 april 2015 @ 16:15:
[...]


We hebben het hier wel over een andere oplossing dan voorgesteld. door Dutch2007. Daar werd gesproken over 'geen beveiliging erop'. Dit geeft de impressie dat je gewoon een 20 euro ding kan kopen (die hoogst waarschijnlijk geen optie heeft om firewall regels in te stellen) en dat je dan aan de gang kunt.

True

Trouwens andersom is het wel veiliger toch?

Dus alles aan elkaar via nat over nat:
[Internet router] - [Router gasten netwerk] - [Router prive netwerk]

Volgens deze opstelling kunnen de gasten niet bij je prive netwerk (want je komt niet verder dan het wan ip van het prive netwerk) en, mits de router via utp verbonden is, geen MITM doen voor traffic sniffing. Je prive netwerk kan nog wel bij het gasten netwerk (wegens de door jou genoemde reden) maar dat lijkt me een iets minder groot probleem

Het hang dus ook van de opstelling af of je voor 20 euro, semi veilig, klaar kan zijn. Of zie ik nu iets over het hoofd?

[Voor 7% gewijzigd door laurens0619 op 30-04-2015 16:22]

laurens0619 schreef op donderdag 30 april 2015 @ 16:21:
[...]

True

Trouwens andersom is het wel veiliger toch?

Dus alles aan elkaar via nat over nat:
[Internet router] - [Router gasten netwerk] - [Router prive netwerk]

Volgens deze opstelling kunnen de gasten niet bij je prive netwerk (want je komt niet verder dan het wan ip van het prive netwerk) en, mits de router via utp verbonden is, geen MITM doen voor traffic sniffing. Je prive netwerk kan nog wel bij het gasten netwerk (wegens de door jou genoemde reden) maar dat lijkt me een iets minder groot probleem

Het hang dus ook van de opstelling af of je voor 20 euro, semi veilig, klaar kan zijn. Of zie ik nu iets over het hoofd?

Wat je hier over het hoofd ziet is het probleem dat je hierdoor de mogelijkheid schept voor de jeugd om direct bij je config pagina van de Experiabox te komen. De vraag is natuurlijk of je dat problematisch vind.

Persoonlijk zou ik een goed access point of een goede WiFi router kopen om het in een keer goed op te lossen (met een firewall rule die toegang tot de webinterface van de Experiabox verbied bijvoorbeeld) zodat je je daar geen zorgen over hoeft te maken. Deze oplossing verondersteld wel dat je in staat bent om een dergelijke configuratie uit te voeren of dat je bereid bent om te leren hoe je dit dient te configureren.

Uiteindelijk hangt het allemaal af van drie factoren, tijd, kennis en geld. Als er weinig tijd, kennis en geld is, dan lijkt me de door jou voorgestelde oplossing een acceptabele compromis als je bereid bent te accepteren dat er een dag kan komen dat iemand je Experiabox wachtwoord achterhaalt en je internet verbinding om zeep helpt.

Het is de vraag hoe technisch de TS is onderlegd. Als dat niet zo groot is: Ubiquity. Als dat wel is, dan Mikrotik of andere soorten routers. Alles in te stellen, firewalls, tijden hoe lang WiFi werkt, wat wel of niet verboden is etc....

Maar met een Ubiquity kom je ook heel erg ver.