Wir haben drei offene Etagen mit jeweils 80 Quadratmetern Fläche in einem großen Betongebäude, die wir mit demselben drahtlosen Netzwerk abdecken möchten. Außerdem haben wir auf allen Etagen Ethernet-Kabel verlegt.
Die Voraussetzungen sind:
- Wir möchten, dass interne Geräte (nennen wir sie Mitarbeitergeräte) (kabelgebundene Laptops, ein DVR, ein Server) Teil des gleichen Netzwerks sind und sich gegenseitig sehen; wenn möglich auch über WLAN, wenn nicht, nur über Kabel
- Wir möchten unseren Besuchern einen drahtlosen Internetzugang bieten und ihnen die Möglichkeit geben, nahtlos zwischen verschiedenen Access Points/WLAN-Routern zu wechseln. Daher möchten wir unseren Besuchern eine zuverlässige WLAN-Verbindung mit möglichst wenigen oder keinen Verbindungsabbrüchen bieten.
- wir möchten ein WLAN-Hotspot-Skript installieren, das WLAN-Besucher dazu veranlasst, über einen Facebook-Check-in auf das WLAN zuzugreifen. Das Skript istFBWLAN, das brauchtWLAN-Hundauf dem Router installiert werden. Aus diesem Grund müssen die Router mit demOpenWRTFirmware. Wir würden OpenWRT auch der Standard-Firmware vorziehen, da es so viele erweiterte Konfigurationsoptionen und Möglichkeiten bietet (z. B. einen Adblocker). Das PHP-Hotspot-Skript ist für die Authentifizierung auf Client-MACs angewiesen, daher müssen die Adressen unverändert an den Drittanbieter-Server übertragen werden, auf dem das Fbwlan-PHP-Skript gehostet wird.
Unsere vorgeschlagene Lösung besteht darin, für jede Etage einen Router zu verwenden, und diese sollten per Kabel mit einem vierten Hauptrouter verbunden sein, der als DHCP-Server fungiert. Die 3 "Slave"-Router hätten die gleiche Konfiguration: DHCP deaktiviert, statische IPs zugeordnet (natürlich unterschiedlich), gleiche SSID,gleiches Passwort/Schlüssel, gleiche Verschlüsselung (WPA2-PSK)und eine Art Brücke zwischen dem drahtlosen und dem kabelgebundenen Netzwerk. Ich habe irgendwo gelesen, dass es klüger wäre, für jeden Router unterschiedliche, weit auseinander liegende Kanäle (1, 6, 11) einzustellen, um Bandbreitenüberschneidungen zu vermeiden. Auf jedem dieser Router würde auch Wifidog installiert. Alle diese Einstellungen werden meines Wissens von OpenWRT unterstützt, sodass alle 4 Router die neueste Version haben würden (Chaos Calmer 15.05) von OpenWRT.
AKTUALISIEREN: kein Passwort und keine Verschlüsselung, da das WLAN-Captive-Portal dies erfordern würde.
Ich wollte 4 x kaufenTP-Link TL-WR1043NDRouter, die relativ günstig sind (ca. 50 $ pro Stück). Dieselbe Hardware führt zu besseren Ergebnissen bei der Konfiguration dieses Setups. Obwohl dies ein alter Router ist, habe ich zu Hause bereits einen TL-WR1043ND, Hardware v2, und hatte keine Probleme bei der Installation und Konfiguration von OpenWRT darauf(Barrierenbrecher), hat eine gute Konnektivität, keinen WLAN-Signalverlust, also war dies angesichts der Budgetbeschränkungen meine erste Wahl.
Wir haben noch keine Internetverbindung, aber es wird eine schnelle Glasfaserverbindung mit 1000 Mbit/s sein. Der ISP wird wahrscheinlich seinen eigenen Glasfaser-fähigen Router mit ins Spiel bringen, aber ich habe nicht vor, ihn als Hauptrouter zu verwenden, da es sich höchstwahrscheinlich um eine Huawei-Marke mit wenigen Konfigurationsoptionen, ohne MAC-basiertes IP-Leasing usw. handeln wird. Daher habe ich vor, den Hauptrouter von TPLink an einen seiner LAN-Ports anzuschließen.
Außerdem plane ich die Verwendung eines nicht verwalteten 16-Port-Gigabit-Switches (TP-Link TL-SG1016) zur Beschaltung aller RJ-45 Wanddosen für kabelgebundene Geräte.
Die Gesamtkonfiguration wäre also: ISP-Router -> Haupt-TPLink-Router -> nicht verwalteter Switch (verkabelt, interne Clients hier verkabelt) -> Slave-WLAN-Router -> WLAN-Clients (Besucher).
Ich habe von Repeater-Konfigurationen, Extendern und WDS gehört, weiß aber nicht viel darüber, da ich mich mit Netzwerken nicht so gut auskenne.
Meine Frage ist: Ist das ein gutes Hardware-Setup, das unseren Anforderungen entspricht?
Ich brauche Hilfe bei der Kaufentscheidung für die Ausrüstung – nicht welche Marke, sondern welchen Typ: ob APs, Extender, Router usw.
Antwort1
Das größte Problem, das ich sehe, ist, dass man meines Erachtens nicht gleichzeitig Captive Portal und irgendeine Form von Link-Layer-Verschlüsselung (WEP, WPA, WPA2) verwenden kann. Das Problem ist, dass Link-Layer-Verschlüsselungsschemata eine Link-Layer-Authentifizierung erfordern, bevor man den Link verwenden kann, und die Captive-Portal-Authentifizierung ist eine Authentifizierung auf höherer Ebene, die einen funktionierenden Link erfordert. Das heißt, Sie können die Captive-Portal-Authentifizierungswebseite nicht laden, wenn Sie nicht bereits das WPA2-PSK-Passwort eingegeben haben.
Es sei denn, es macht Ihnen nichts aus, dass Besucher Sie nach dem WPA2-PSK-Netzwerkkennwort fragen und es eingeben müssen und Sie DANN vom Captive Portal zu einem Facebook-Check-in gezwungen werden.
Wenn es Ihnen nichts ausmacht, den Datenverkehr Ihrer Besucher auf der Verbindungsebene ungeschützt zu lassen, könnten Sie wahrscheinlich eine separate SSID mit WPA2-PSK-Verschlüsselung für Mitarbeiter veröffentlichen. Diese Konfiguration wäre jedoch nur dann sicherheitstechnisch sinnvoll, wenn das „Mitarbeiter“-Netzwerk dasjenige ist, in dem sich die PS3s, der Projektor, der DVR usw. befinden, und wenn das „Besucher“-Netzwerk durch eine Firewall abgeschirmt ist und nur Zugriff auf das Internet bietet.
Verwenden Sie kein WPA-PSK. Die Datenraten 802.11n und 802.11ac erfordern WPA2/AES-CCMP. Verwenden Sie also WPA2-PSK. Deaktivieren Sie WPA/TKIP vollständig; Sie möchten reines WPA2/AES. WPA/TKIP war vor 12 Jahren nur für eine kleine Anzahl von Geräten wirklich nützlich; als WPA/TKIP etwa 2002 herauskam, war WPA2/AES bereits auf dem Rückzug und es gab nur sehr wenige Geräte, die WPA/TKIP konnten, aber nie ein Upgrade auf WPA2/AES erhielten. Wenn Sie TKIP aktiviert lassen, wird die Sache nur komplizierter und es werden fehlerhafte Implementierungen sichtbar, die Probleme verursachen, wenn sich die Multicast-Chiffre von der Unicast-Chiffre unterscheidet.
Entscheiden Sie sich nicht nur für 2,4 GHz. Entscheiden Sie sich für gleichzeitiges Dualband und 802.11ac. Vielleicht ein TP-Link Archer C7 v2 für 93 $ (achten Sie darauf, v2 zu kaufen, das Radio von v1 wird für 802.11ac auf OpenWrt nicht unterstützt). Sie können auch ein WLAN haben, das mit Ihrer Internetverbindung mithalten kann. Außerdem bietet Ihnen das Dualband eine viel höhere Kapazität.
Überprüfen Sie Ihr Captive-Portal-Authentifizierungsschema. Nach einem kurzen Blick auf Ihr vorgeschlagenes Netzwerk und die beteiligten Captive-Portal-Tools befürchte ich, dass in Ihrem vorgeschlagenen Setup jeder Router als sein eigenes Captive-Portal fungiert, anstatt ein zentrales Captive-Portal zu verwenden. Ihre Benutzer müssen sich also möglicherweise jedes Mal erneut bei Facebook anmelden, wenn sie zwischen APs wechseln.
Richten Sie bei der Kanalplanung immer Kanäle ein, die sich nicht überschneiden. Im 2,4-GHz-Band bedeutet das, dass Sie die 20 MHz breiten Kanäle 1, 6 und 11 verwenden müssen. Diese Beschränkung auf 20 MHz-Kanäle bedeutet, dass Ihr 2,4-GHz-AP seine Geschwindigkeit von 450 Mbit/s nicht anbieten kann, da diese nur mit 40 MHz breiten Kanälen funktioniert. Stattdessen wird er auf 217 Mbit/s beschränkt (und die meisten Ihrer Clients werden ohnehin nur 144 oder 72 Mbit/s erreichen können, da die meisten Clients keine 3-Stream-Radios haben).
Stellen Sie sicher, dass Sie in Ihrem Netzwerk nur ein Gerät haben, das NAT ausführt und als DHCP-Server fungiert. Stellen Sie sicher, dass die Slave-APs so konfiguriert sind, dass sie lediglich den Datenverkehr zwischen dem kabelgebundenen Netzwerk und den drahtlosen Clients überbrücken. Sie müssen wahrscheinlich auch sicherstellen, dass die SSID des „Besuchers“ in ein separates VLAN überbrückt wird, das direkt zum Router führt, um es aus Sicherheitsgründen von Ihrem „Mitarbeiter“-Netzwerk mit allen daran angeschlossenen kabelgebundenen Geräten zu trennen.