Wifi,3 verdiepen + advanced security P2P filtering, etc

[FunkStar]

Beste leden

Ik krab momenteel een beetje in mijn haar i.v.m. met een netwerkoplossing die ik moet voorzien.

Even de situatie schetsen:

1 gebouw met 3 verdiepen (internaat), momenteel staat er op gelijkvloers & op het 1ste verdiep een AP, dit was tot op heden voldoende (aangezien er nooit eerder klachten zijn geweest) maar sinds kort is er heel wat misbruik van het netwerk. Vooral downloaden waardoor het surfen niet echt vlot meer verloopt. De huidige internet verbinding is een ADSL I-Line (= 4,6 Mbps download / 512 Kbps upload) wat dus al niet zo vet is.

Nu zouden ze per verdiep een AP willen met filtering (m.a.w. p2p download blokkeren maar vooral ook dat het internet om 22u30 uitvalt. Natuurlijk met de optie zodat sommige niet onderhevig zijn aan deze filters (lees: internaatbeheerder, etc...) [a.d.h.v. MAC adres is de makkelijkste optie waarschijnlijk?]

Nu heb ik geen idee welke AP's aan deze eisen voldoen, als er al bestaan...
Ik heb al verschillende routers/AP's geconfigureerd (Lancom, EnGenius, Linksys, etc...) maar bij geen enkele zitten al deze oplossingen in 1 pakket. Ik weet dat je met Tomato, dd-wrt, e.d. dit alles kan maar ik zie het niet zitten om 3 linksys of netgear of ... routers te kopen dan te flashen naar een andere firmware en dan gewoon als AP laten fungeren. De instellingen moet ik wel maar 1 keer doen en dan deze op de andere flashen maar toch.

Mijn vraag is bestaat er een out-of-the-box oplossing?
Waarschijnlijk zie ik bepaalde dingen over het hoofd, ik ben verre van een expert in netwerken en moet nog veel leren vandaar dat ik graag hoor hoe jullie dit zouden oplossen.

PS: Ik ga vandaag eens gaan opmeten hoe lang het gebouw is om zo een idee te krijgen qua sterkte van het WiFi signaal.
PPS: Ik heb krisken dikwijls over meraki zien posten en dit ziet er een goede oplossing uit maar momenteel kan ik nog niet op al mijn vragen een antwoord vinden.

[Ramaht]

Ge moet enkel de router maar configgen he...
Niet al die AP's afzonderlijk.

[ubremoved_539]

En onlangs stonden er hier Mikrotik routers te koop welke dergelijke dingen kunnen (maar ze zijn wel niet eenvoudig te configureren).

Zoals Thamar aangaf is het enkel de router die een configuratie nodig heeft... aan een AP moet je niets configureren (en je kan er zoveel bijplaatsen als je wil voor een ideale dekking).

[FunkStar]

Sorry voor de tags, en ja 't is me nu ook duidelijk dat ik enkel de moet router configureren. *bloos*

Even op Mikrotik's wiki pagina gezeten en het ziet er inderdaad niet simpel uit. Even mezelf erin verdiepen.

[nonkie]

Ik heb zelf hier een Linksys WRT610N en bij deze is het mogelijk onder "Internettoegangsbeleid"

[ubremoved_539]

De vraag is hoe flexibel dat is... als je geavanceerde filtering wil doen (P2P is niet altijd even eenvoudig te bannen), bepaalde groepen wil disablen op bepaalde uren, ...

[FunkStar]

Het internettoegangsbeleid is inderdaad iets te eenvoudig.
Het is niet de bedoeling toestel per toestel te gaan blokkeren (je hebt laptops, vaste pc's, gsm's, psp/vita, etc...)

[nonkie]

Ik heb vroeger eens een oud PC toestel voorzien van 2 netwerkkaarten en daarop een Firewall OS.
Misschien is dat iets voor u. Kost is niet zo groot.
Ik heb Smoothwall, Ipcop en pfsense toen getest maar door tijdsgebrek ben ik niet verder geraakt dan de installatie en configuratie.

[krisken]

Wat Meraki betreft : deze kan alles wat je wenst zonder enig probleem. Echter...goedkoop zal het zeker niet worden!
Voor een volledig blik over wat je allemaal kan en niet kan met meraki : zie http://www.meraki.com/form/demo . Even deze form invullen en je krijgt toegang tot het panel. Het grote gemak van meraki is dat je alles goed zet, en de configuratie (via internet, er komt dus niks bij kijken) gewoon kopieert naar de andere ap's. Automatisch uitschakelen/inschakelen kan je ook doen met deze ap's. Je kan bvb meerdere ssid's in de lucht sturen (één voor de leerlingen, internaatbeheerder, ...) met elk hun eigen rechten. Zo kan je de ssid internaatbeheerder continue in de lucht laten, terwijl ssid leerlingen verdwijnt om 22u30 en om 8u30 plots weer online schiet. Eventueel zelfs deze in de weekdagen online zetten, en in weekend uit.

Of anders als je zo min mogelijk zorgen wilt hebben, neem eens contact op met http://www.studenteninternet.be. Deze voorzien studentenkoten van internet en gaan naar mijn mening vrij ver met hun oplossingen.

Mocht je eens Meraki willen testen : ik heb eentje liggen die je wel een weekje mag gebruiken anders

PS :
PS : Dashboard demo :

[FunkStar]

Meraki ziet er goede oplossing uit die rap en eenvoudig te configureren is.
Maar wat is niet goedkoop? Waar in België koop je die dingen?

Ik zie dat ze een K-12 Education solution hebben maar prijzen zijn nergens te vinden, heb ergens gelezen dat je ook nog eens een jaarlijks bedrag moet betalen (man. mod.) klopt dit?

Hun site staat vol informatie maar niet de info die ik wil natuurlijk.

Kzal best even support opnemen met de Sales

Europe
32-38 Saffron Hill
London, EC1N 8FH
United Kingdom
Phone: +44 (0)20 7871 2776

[krisken]

Best inderdaad eens contact opnemen. Reken maar voor minimaal €300 per stuk helaas...

[FunkStar]

Da zijn geen peanuts natuurlijk, heb nog wat filmpjes zitten bekijken, interessant, héél interessant.

Pro's:
PoE, Overal bereikbaar, Easy install, guest wifi
Con's:
Prijs, support voor belgië?

Ik was via deze link aan het berekenen hoeveel AP ik zou nodig hebben.

Afmetingen gebouw:
80m lang
20m breed
Kamers:
Verdieping 1: 30
Verdieping 2: 20
Verdieping 3: 18
Muren = beton

En ik kom op 72 uit, wat serieus overkill is (ik had gedacht aan 1 per gang. (in het midden van het gebouw.)

[krisken]

Support naar België is er in de elektronische vorm. Heb zelf al eens een ticket ingediend waarna ze mij (half uurtje later) gebeld hebben en het probleem hebben opgelost.

Ik zou overwegen om per verdiep 2 stuks te hangen, namelijk op 1/3 en 3/3 van de gang

[philippe_d]

Best inderdaad eens contact opnemen. Reken maar voor minimaal €300 per stuk helaas...

Het beheer via internet gebeurt via de Meraki website (je hebt geen rechstreeks toegang tot de AP's maar via hun portal, vergelijk het een beetje met "mijn Telenet").
Hiervoor moet je ook nog eens jaarlijks betalen (als ik het goed voorheb is er 3 jaar remote management inbegrepen in de aankoopprijs).

Maar het zijn wonderlijke dingen, die Meraki's. Als er bijvoorbeeld eentje zijn LAN connectie verliest (en dus ook niet meer bereikbaar is), gaat hij automatisch verbinden met de andere AP's in zijn bereik, en wordt dan een soort repeater ...
Op de site houden ze ook zéér uitgebreide logbestanden bij, aantal clients, volumes, bezochte sites, protocollen ...

Leuk voor de internaaatbeheerder om te zien wat zijn apostels allemaal uitspoken .

[krisken]

Klopt volledig wat Philippe zegt : je regelt alles via het dashboard "in the cloud" (het buzz-word van 2011/2012?) waarna deze de config doorstuurt naar de Meraki zelf.

De Meraki die ik thuis heb, is een MR12 (http://www.meraki.com/products/wireless/mr12 - kostprijs : 339 USD). In deze prijs zit reeds een licentie van 3 jaar. Voor de jaren daarna moet je nog een licentie betalen : 150USD. Je Meraki zal blijven werken zonder licentie maar je kan geen aanpassingen meer maken...

Elke maand krijg je ook een uitgebreide mail met alle gegevens over het verbruik op je hotspot. Welke SSID gebruiken ze, wat OS draaien ze, etc... In attachment zit het zo een report die ik heb gekregen voor één van de locaties waar een Meraki hangt (Drive Up Safety - vrijwilligersorganisatie voor verkeersveiligheid te Gent). Dit report gaat over de maand augustus.

Meraki-DUS report.pdf

[silencer]

Als je gewoon verschillende vlans gebruikt met ander ssid bekom je hetzelfde resultaat. Ik zou pfsense eens bekijken (captive portal of enkel de shaper), heb je meteen een goede analyse van het probleem (ntop,...).

Wat Meraki betreft : deze kan alles wat je wenst zonder enig probleem. Echter...goedkoop zal het zeker niet worden!
Voor een volledig blik over wat je allemaal kan en niet kan met meraki : zie http://www.meraki.com/form/demo . Even deze form invullen en je krijgt toegang tot het panel. Het grote gemak van meraki is dat je alles goed zet, en de configuratie (via internet, er komt dus niks bij kijken) gewoon kopieert naar de andere ap's. Automatisch uitschakelen/inschakelen kan je ook doen met deze ap's. Je kan bvb meerdere ssid's in de lucht sturen (één voor de leerlingen, internaatbeheerder, ...) met elk hun eigen rechten. Zo kan je de ssid internaatbeheerder continue in de lucht laten, terwijl ssid leerlingen verdwijnt om 22u30 en om 8u30 plots weer online schiet. Eventueel zelfs deze in de weekdagen online zetten, en in weekend uit.

Of anders als je zo min mogelijk zorgen wilt hebben, neem eens contact op met http://www.studenteninternet.be. Deze voorzien studentenkoten van internet en gaan naar mijn mening vrij ver met hun oplossingen.

Mocht je eens Meraki willen testen : ik heb eentje liggen die je wel een weekje mag gebruiken anders

PS :
PS : Dashboard demo :

[ubremoved_539]

Als je gewoon verschillende vlans gebruikt met ander ssid bekom je hetzelfde resultaat.

Tja, dan moet je AP's hebben die meerdere SSID's en VLAN's ondersteunen...

[silencer]

<100eur/stuk.

[ubremoved_539]

Aan 2 a 3 per verdiep... da's maar 6 a 900 euro dus... terwijl er niet echt een nood voor is.

Z'n bestaande AP's zijn goed als hij een router kan vinden met de juiste mogelijkheden.

Meraki oplossingen zijn mooi... maar de kost is ook per AP... en daarna nog de jaarlijkse kost (redelijk duur dus).

De vraag is of de TS iets echt kant en klaar wil... of wil "werken" aan z'n oplossing... het verschil zit hem in de prijs.

[Ken]

Ik gebruik een ZyXEL USG100 @work, 's nachts na sluitingsuren en in weekend wordt alle traffic van de AP's niet meer toegelaten. Tijdens kantooruren dienen gasten in te loggen op de guest AP en dan nog eens te authen op de ZyXEL vooraleer ze online kunnen. Voor de office AP ook auth indien MAC adres niet gekend.

Wat je zou kunnen doen is bvb met zo'n ZyXEL traffic toelaten op de normale uren, daarna traffic enkel toelaten met authenticatie, en die opvoeder zou telkens het wachtwoord kunnen doorgeven aan de studenten die het nodig hebben...

[krisken]

Aan 2 a 3 per verdiep... da's maar 6 a 900 euro dus... terwijl er niet echt een nood voor is.

Z'n bestaande AP's zijn goed als hij een router kan vinden met de juiste mogelijkheden.

Meraki oplossingen zijn mooi... maar de kost is ook per AP... en daarna nog de jaarlijkse kost (redelijk duur dus).

De vraag is of de TS iets echt kant en klaar wil... of wil "werken" aan z'n oplossing... het verschil zit hem in de prijs.

Meraki is zeker niet goedkoop, zal je mij ook nooit horen beweren

[silencer]

Z'n bestaande AP's zijn goed als hij een router kan vinden met de juiste mogelijkheden.

Pfsense (Pentium2-3 met 256MB ram) of RouterOS (niet gratis) doet dat probleemloos.

[krisken]

Zou dan eerder gaan voor RouterOS, PFSense zou ik eerder laten draaien op een atom moederbord (bvb een atom230) ipv een pentium 2/3 omwille van het stroomverbruik.

[silencer]

Verbruik rond de 30W voor P3 800 1GB ram, de atom setup zal al evenveel verbruiken als een dual core.
Pfsense kan ook draaien op embedded x86 hardware he.

[Ramaht]

Zou dan eerder gaan voor RouterOS, PFSense zou ik eerder laten draaien op een atom moederbord (bvb een atom230) ipv een pentium 2/3 omwille van het stroomverbruik.

Een school kijkt daar niet naar...

[ubremoved_539]

Pfsense (Pentium2-3 met 256MB ram) of RouterOS (niet gratis) doet dat probleemloos.

Onlangs stond er hier een Mikrotik router met RouterOS te koop voor 40 euro... en die dingen nemen helemaal geen stroom.

[Studenteninternet]

En ik kom op 72 uit, wat serieus overkill is (ik had gedacht aan 1 per gang. (in het midden van het gebouw.)

72 is inderdaad overkill (en nog geen beetje) , Eéntje per verdieping ga je 't ook niet mee redden als die gang 80x20m is. Afhankelijk van de bouwconstructie en indeling kamers zou ik zeggen 3 tot 6 AP's per verdieping, maar dit moet ter plaatse bekeken worden. Laat u niet verleiden door verkooppraat mbt high power ap's. Wifi is tweerichtingsverkeer, de laptop moet ook terug tot aan het AP geraken met zijn signaal, dus meer dan de wettelijke 100mw pushen is dus gewoon zinloos en vaak zelf contraproductief.

Verder, is mijn inziens de beste oplossing gewoon via een RADIUS/NAS opstelling waarbij elke user een aparte useraccount krijgt. Dan kan je desgewenst elke user afzonderlijk gaan shapen op de gewenste bandbreedte en voorzien van de tijd- en/of volume restricties die je wenst, onafhankelijk van de hardware die de user gebruikt. Desgewenst kan ik u volledig vrijblijvend een gratis proefsetup van een maand aanbieden.

Mvg
Yves

PS Kan die internetlijn niet geupgrade worden?