WLAN im Büro – realisiert mit FON
Nach langer Zeit des Überlegens habe ich mich für eine WLAN-Strategie im Büro entschieden. Die Problematik trifft ja viele Admins, daher hier meine Erfahrungen.
Fakt ist, ein offenes WLAN im Büro ist keine Lösung. WEP und selbst WPA sind “verhältnissmäßig einfach” zu knacken, wenn auch der Zeit-Faktor bei WPA erheblich höher ist als bei WEP.
Ein guter Lösungsansatz ist es, die APs per bridge in ein spezielles Netz zu legen, von dem aus nur eine Verbindung auf ein VPN-Gateway aufgebaut werden kann, um so das interne Netz zu erreichen. Schwierig wird es jetzt allerdings einem Besucher Zugang zum WLAN zu geben, da dieser ja grade nicht ins interne Netz soll (gut, auch hier kann uns iptables helfen).
Mein Lösungsansatz besteht aus mehreren Foneras, die gemeinsam in einem eigenen VLAN sitzen, komplett isoliert von den internen Netzen. Das Gateway ins Internet ist ein PacketPro, der die Kommunikation von und in dieses VLAN verbietet, jedoch die Foneras ins Internet verbinden lässt. Somit ist sicher gestellt, daß ein Besucher genauso wie ein Mitarbeiter das WLAN nutzen kann – eine einmalige Registrierung bei FON vorrausgesetzt. Auf dem selben PacketPro werden die internen VPNs terminiert, wodurch jeder Mitarbeiter sein VPN über das WLAN ins interne Netz aufbauen kann, sobald er sich am FON-Netzwerk angemeldet hat.
Warum ich mich für FON entschieden habe? Es ist einfach. Sowohl für den Benutzer als auch für den Administrator des Netzes. Außerdem wird dem Admin ein Feature geboten, was ich allen Konkurenten vermißt habe: eingebaute Bandbreitenbeschränkung. So kann extrem einfach konfiguriert werden, daß Besucher im freien Netz auf z.B. 2 MBit/s begrenzt werden, die Mitarbeiter aber – durch das zweite WLAN-Signal – ohne Bandbreitenbegrenzug auf die Datenreise begeben können. Ja, auch das kann anders gelöst werden, und wer lieber alles selbst konfiguriert und bastelt, dem sei iptables und chillispot ans Herz gelegt – aber diese Arbeit wollte ich FON überlassen.
