Jak zařídit wifi v učebně?
Nejsem síťař a nemám to na starosti. Zato bych to chtěl používat.
Současný stav:
Situace je taková, že do učeben je zavedena lan síť přes klasickou kabeláž (konektor RJ45). V každé učebně je jedno PC (Win XP / Win 7) a to je připojeno k síti/internetu tímto způsobem. Tj. místní síť je současně připojená k internetu.
Požadovaný stav:
Přidat do několika učeben wifi síť, aby se k ní mohly připojit další zařízení (tablety, mobily, notebooky).
Nápad č. 1: PC bude zapnutý, v USB vložena USB síťová wifi karta nakonfigurovaná (jak?) jako wifi hotspot.
Nápad č. 2: Před PC se zapojí miniaturní wifi router tak, aby byl pro lan průchozí; tj. ze vstupu by měl konektivitu do sítě lan a dva výstupy - jeden opět klasická kabeláž (směr PC) a druhý výstup wifi síť. Napájení routeru z prodlužovačky, která je ve zamykatelném stolku kde je i PC.
Mohli by se k tomu místní znalci vyjádřit? K výhodám/nevýhodám, k realizaci, ... Plus předložit lepší řešení?
Díky!
Musi to byt zapojené do toho PC ?
Alternativa :
Da se te resit i repeterem/Wifi ruter, do kterého bude zapojen LAN a bude vysilat Wifi (tyto zarizeni funguji i jako DHCP server, nastaveni zabezpeceni etc obsahuji).
* Jsem tak nejakou dobu pouzival jeden NETAGAR, kde jsem chytal po podniku WIFI a z repeteru jsem mel zapojen do PC pres LAN, ty budes prakticky provadet opak, pres LAN budes vysilat WIFI).
Jo, to jsem nezdůraznil: na PC musí být internet trvale funkční.
ad 2) použít rb-941, má uvnitř dost výkonného brouka.
režim asi bridge, i když by mohla být v každé učebně jiná vlan. nebo aspoň bude každý poskytovat jiný rozsah dhcp, kdybys chtěl mít trochu přehled.
ale jsou tu znalejší lidi.
otázka je, jak moc bezpečné to mám být?
Nápad č.1 je blbost, tím čas vůbec neztrácej a (sorry) je to výplod chorého mozku![]:)](https://static.poradna.net/images/smiley/evilsmile.gif)
Nápad č.2 je realizovatelný, nicméně určitě NE router, ale čisté AP. Brtník navrhl řešení, které se nabízí pro jednoduchou implementovatelnost. Problém je zabezpečení. Všechny PC, mobily i tablety budou v jedné síti, bez kontroly, prostě svinčík. A protože nevíme, k čemu je to dál připojené a kdo všechno a s čím se bude připojovat, tak bych se na takovou partyzánskou akci díval s velkou nedůvěrou. Jako minimum bych volil oddělení "cizinců" do separátní VLAN, ale to předpokládá hlubší revizi celé sítě.
Nezanedbateľné je, aby taký nápor zvládol obslúžiť aj hlavný router. Neviem aká je to veľká škola, ale keď cez prestávku všetky decká vytiahnú mobily
Já věděl že to nebude tak jednoduchý a potvrdilo se mi to.
Nu, narazil jsem na nějaký články ve smyslu - možný to je. Jako nesíťař jsem se před položením dotazu zamyslel, abych taky vyvinul nějakou aktivitu.
Nápad č. 2 - říkáš AP, ale bude potřeba, aby byl k síti připojen i ten PC; umí tedy obecně AP na výstupu opět lan konektivitu?
Jo, bezpečnost je důležitá, chápu i když detailům nerozumím.
Potom by to mělo být nějak takto (to je samozřejmě nejjednodušší model, který nezohledňuje např. rozdělené wifi pro učitele a žáky):
Možná by nebylo nutné to řešit ani pomoci VLAN.
Pokud není třeba, aby byl přes wifi přístup do privátní školní sítě, tak Mikrotiky za 500,- Nakonfigurovat na nich WiFi pro hosty, zabránit z ní přístup do vnitřní sítě a omezit ji rychlostně tak, aby to neomezovalo chod školy.
Zapnout WiFi client isolation, aby na sebe WiFi klienti neviděli.
Mikrotiky VLAN zvládají, tam problém není. Z vlastní zkušenosti vím, že haranti mají tendence "zkoušet" a VLAN je nejnižší možné zabezpečení (o těch už málokdy vědí a jejich kinderhackerské nástroje to moc neznají).
Zásadní problém bude ten centrální switch a router.
A jak je to treba s omezenim portu u tveho reseni. Bych treba na te wifi omezil internet jen na HTTP(S).
omezení aplikuješ na firewallu. Tam se všechny sítě vyústí. Lze tam nastavit např. že VLAN100 může koukat do VLAN200, ale obráceně ne. Lze omezit odchozí protokoly např. jen na HTTP(S), lze to selektivně prohnat squidem nebo nějakou jinou proxy a vytřídit např. nevhodné stránky.
Ako bolo povedane 1 je blbost, takze do uvahy prichadza uz len napad c.2.
Nekomplikoval by som to vlanmi, mam po skolach nasadenych desiatky MT (941, 951) a vsetky su v rezime bridge.
Vzhladom na to, ze zdaleka nie vsetky switche v skolach su managovatelne treba ist cestou jednoducheho odporu, takze bridge a nic viac.
Dve siete ako navrhoval JaFi su sice mozne, ale zbyocne.
Navyse heslo k wifi pravidelne unikalo (vsade, aj vo firmach, nielen v skolach), takze sa osvedcilo previazanie mac adries na IP a zakaz vsetkym ostatnym pristup na net.
Tw bude sice namietat, ze z dovodu bezpecnosti a bla bla, ale ja zase z praxe viem, ze dnesne deti, na tom vobec nie, co sa tyka sietovych znalosti bohvieako a vo firmach som zatial tiez neriesil takyto bezpecostny incident. Maximalne sa vzdy riesilo, ze prepusteny zamestnanec si zobral nejake dat so sebou, ci nieco zmazal, ale to je otazka nastavenia pristupovych prav k datam.
Děti na tom znalostně nejsou bůhvíjak, ale dnes jim stačí použít google a postupovat podle "hackerské kuchařky". A pak musíš řešit věci jako útoky na poštu apod. protože dnes (zejména s lacinými nemanagovatelnými switchi) lze provést útok MITM na HTTPS docela snadno. Jediná "obrana" jsou pak prohlížeče, které (konečně) začaly výrazně upozorňovat, že certifikát není podepsaný/platný. Bohužel i toto se dá za určitých okolností obejít...
Pokud bude WiFi pouze pro žáky, není třeba zřizovat WiFi pro hosty, stačí na straně firewallu zajistit, že se WiFi do sítě nedostane.
A určitě bych nastavil pro WiFi jiný rozsah (myslím úplně jiný) než pro vnitřní síť.
Co se týká hesla na WiFi, přece není problém heslo pravidelně měnit. A na Mikrotikovi si můžeš (pokud bude ve třídách) nastavit (snížit) výkon tak, aby mimo třídu prostě signál nebyl.
Teda chlapi, díky moc za rady a připomínky! Dám to přečíst odpovědnýmu pracovníkovi ve škole, aby se na to koukl a vyjádřil se.