bolug bonner linux user group
news about wissen files archive hilfe suchen  

 

archive :: SchAN-User

druckfassung

SchAN-User

Re: [Schan-user] Probleme mit Access Point

To: Schulen ans Netz - Anwender <schan-user@xxxxxxxxxxxxxxxxx>
Subject: Re: [Schan-user] Probleme mit Access Point
From: Juergen Engeland <juergen.engeland@xxxxxxxxxxx>
Date: Fri, 13 Jan 2012 23:50:32 +0100
Hallo Andrea, hallo Martin, hallo Stephan,

wir haben mittlerweile 18 APs auf unserem Schulgelände.

Solange alle AP eine Verbindung zum "Festnetz" hatten, war es am
günstigsten, dass alle die gleiche SSID und den gleichen Schlüssel
hatten und
den Kanal  automatisch wählten.
In dieser Konfiguration konnte man bei uns mit seinem Laptop über das
Gelände gehen, und dieser verband sich mit dem AP, der gerade in
Reichweite war. So wie Martin es beschrieben hat.
Die individuelle Zugangskontrolle erfolgt über einen separaten "IPCop"
der das Schulnetzwerk (VLAN1) von dem Netzwerk trennt, das den APs
vorbehalten ist (VLAN2). Durch diese  Netztrennung kann eine Störung im
WLAN auch nur das WLAN lahm legen.

Das von Dir beschriebene Problem hatten ich in diesem Ausbauzustand nur,
wenn auf einem der APs "Apanning Tree" aktiviert war. Normalerweise soll
diese Einstellung verhindern, dass es eine Schleife im Netzwerk gibt.
Aber genau das löst vermutlich den gefürchteten Broadcaststurm aus, wenn
ein Switch im Netzwerk dieses Protokoll nicht unterstützt. Da einige
ältere als AP "missbrauchte" WLAN-Router dies nicht tun, musste ich auf
den APs auf "Spanning Tree" verzichten.

Vielleicht wegen des fehlenden "Spanning Tree" musste ich das Vorhaben
aufgeben, nicht mit "Festnetz" erschlossene Bereiche mit WDS zu versorgen.
Dafür müssen alle APs in einem WDS auf demselben Kanal funken.
4 mal je 3 APs zu 4 WDS verbunden alle mit der gleichen SSID zu
betreiben, verursachte sofort einen Broadcaststurm.
Leider sorgen unterschiedliche Kanäle NICHT dafür, dass die APs
verschiedener WDS füreinander unerreichbar sind.
Nicht einmal die Vergabe 4 verschiedener SSIDs für jedes der 4 WDS
unterband das unerwünschte "Gequatsche" (Kennen wir das nicht irgendwoher?).
Also Schluss mit WDS!

Jeder AP, der drahtlos ist oder in Verbindung mit drahtosen AP steht,
hat jetzt seine eigene SSID. Die Schlüssel sind weiterhin alle gleich
und den KollegInnen bekannt. Sollte der Schlüssel in Schülerhand
geraten, so wäre dies nicht gravierend, denn es bedarf ja auch noch
eines individuellen Zertifikats, das ich kontrollieren, mit einer
MAC-Adresse verknüpfen oder sperren kann.
Die APs ohne "Festnetzanbindung" kommunizieren jetzt im "Universal
Repeater Mode", d. h. wie ein gewöhnlicher Client mit dem nächsten AP,
der die Festnetzanbindung hat. Für den "Universal Repeater Mode" wird
empfohlen, den(selben) Kanal festzulegen, um die Verbindung stabiler zu
machen.
Wie Stephan schreibt, hat die nun funktionierende Konfiguration den
Nachteil, dass man die SSID und damit den richtigen AP anhand der Namen
selbst auswählen muss (z. B. "NordOst2" für den nordöstlichen
Gebäudeteil in der 2. Etage). Mit WDS hätte das "Roaming" wie oben
funktioniert.

Deshalb musste ich den KollegInnen auch den Schlüssel anvertrauen - wohl
wissend, dass es nur eine Frage der Zeit ist, bis es einem Schüler
gelingt, diesen "mit den Augen zu stehlen".
Das Zertifikat ist auf den Schulrechnern jedoch nur für den
Administrator lesbar, denn die Anmeldung mit OpenVPN erfolgt als Dienst
- das kann er dort zumindest nicht klauen.

Gruß Jürgen

Am 13.01.2012 22:16, schrieb andrea@xxxxxxxxxxxx:
> Hallo Jörg, Helmut und Martin,
>  
> erstmal vielen Dank für die vielen Tipps!
>  
> Ich werde am Montag in der Schule alles ausprobieren und Eure Fragen
> beantworten.
>  
> Bis dahin ein schönes Wochenende und nochmals danke! 
>  
> Viele Grüße
>    Andrea 
>  
>  
> _______________________________________________
> schan-user mailing list
> schan-user@xxxxxxxxxxxxxxxxx
> http://www.heise.de/bin/newsletter/listinfo/schan-user
>


_______________________________________________
schan-user mailing list
schan-user@xxxxxxxxxxxxxxxxx
http://www.heise.de/bin/newsletter/listinfo/schan-user

 « Vorige im Thread  Dieser Thread  Nächste im Thread » 

 

seitenanfang


 

news about wissen files archive hilfe suchen  
kontakt letzte änderung: 13.01.2012