Hallöchen, ein Bekannter hat eine Firma mit ein paar Arbeitsplätzen. 2 Leute machen relativ langweilige Handarbeit in extra Räumen. Die möchten jetzt gerne mit ihren Handys etwas surfen und Musik hören ohne das Sie ihr Datenvolumen aufbrauchen. Wie mach man das so sicher das Sie nicht auf das interne Netzwerk kommen?
In grösseren Firmen wird auf eine SSID ganz einfach ein "richtiger" Zugang ins Internet konfiguriert. In anderen Firmen habe ich auch schon gesehen, dass vom Abteilungsleiter einfach ein "DSL" bestellt wird. Also quasi wie zu Hause. WLAN fällt da dann nebenbei ab. Internet wird in beiden Szenariena als nötige Grundversorgung angesehen und auch so praktiziert. Natürlich gibt es da dann Deppen die unbedingt darüber die letzten Filme ziehen müssen und für Ärger sorgen. In ganz grossen Firmen geht sowas natürlich nicht.
Jawoll! schrieb: > In grösseren Firmen wird auf eine SSID ganz einfach ein > "richtiger" Zugang ins Internet konfiguriert. Was ist ein richtiger Zugang? > In anderen Firmen habe ich auch schon gesehen, dass vom > Abteilungsleiter einfach ein "DSL" bestellt wird. > Also quasi wie zu Hause. WLAN fällt da dann nebenbei ab. Dafür extra DSL ist nicht drin.
kenne zyxel nicht aber bei den Fritzboxen z.B. kannst du n Gast Wlan aufmachen, das keine Verbindung zu anderen Geräten hat sondern nur Internet. Vielleicht geht das bei dem Teil auch...
Jawoll! schrieb: > Natürlich gibt es da > dann Deppen die unbedingt darüber die letzten Filme ziehen > müssen und für Ärger sorgen. Dazu lässt man die Leute vorher einen Wisch unterschreiben dass sie keine illegalen Dinge tun. Im Falle von Abmahnungen hat man so die Verantwortung abgewälzt. HyperMario schrieb: > Da hängt ein Zyxcel Modem und ein Hub, wie macht man das? Was für ein Hub? Ein Ethernet-Hub? Die gibt's noch? Was für ein Modem genau?
HyperMario schrieb: > Die möchten jetzt gerne > mit ihren Handys etwas surfen und Musik hören ohne das Sie ihr > Datenvolumen aufbrauchen. > > Wie mach man das so sicher das Sie nicht auf das interne Netzwerk > kommen? Moin, geht z.B. mit einem Freifunk Router und ggf eine kleine Spende an die örtliche Freifunk-Initiative. Grüße Michael
HyperMario schrieb: > Da hängt ein Zyxcel Modem und ein Hub, wie macht man das? Welches Modem, welcher Hub? Derzeit gibt es noch gar kein WLAN? Eventuell reicht es schon, einen WLAN-Router zu verwenden, wenn dieser interne IPs nicht routet.
Wenn das bestehende Netz so bleiben soll, könnte man auch z.B. einen Raspberry-Pi mit WLAN (Model 3) nehmen und "normal" per Kabel ins Firmen-Netz bringen. Dann per hostapd einen WLAN-Access Point aufmachen, per dnsmasqd DNS und DHCP zur Verfügung stellen, und NAT konfigurieren. Mit solchen Firewall-Regeln (angenommen 192.168.0.X ist das Firmen-LAN):
1 | iptables -A FORWARD -i wlan0 -d 192.168.0.0/24 -j DROP |
2 | iptables -t nat -A POSTROUTING -o eth1 \! --dest 192.168.0.0/24 -j MASQUERADE |
dafür sorgen, dass man aus dem WLAN nur ins Internet kommt, aber nicht ins Firmennetz. Klingt erstmal etwas kompliziert, der Aufwand hält sich aber letztendlich in Grenzen.
Sorry OT, aber wieder einmal frage ich mich, wieso alle immer "auf" der Arbeit sind und nicht "bei" der Arbeit? Ich finde das "auf" hört sich dämlich an. Ich kann "auf" einem Schiff, einem Turm, einer Brücke sein, aber Arbeit?
... und die Kosten? Das Einfachste ist Freifunk. Router/Accesspoint besorgen. Einmal einstellen Bandbreitenbegrenzung, usw. Fertig. Mit nichts etwas zu tun. Stichwort Störerhaftung Haben auch alle etwas davon.
Crazy H. schrieb: > Sorry OT, aber wieder einmal frage ich mich, wieso alle immer "auf" der > Arbeit sind und nicht "bei" der Arbeit? Ich finde das "auf" hört sich > dämlich an. Ich kann "auf" einem Schiff, einem Turm, einer Brücke sein, > aber Arbeit? Man kann auf der Arbeit sein, in der Arbeit oder ins Geschäft gehen. Für mich hört sich "bei der Arbeit" wiederum dämlich an ;) Zum Thema: Zyxel-Modem durch eine FritzBox ersetzen. Die kann ein Gastnetz aufmachen, sowohl per LAN als auch per WLAN. Wenn die WLAN-Reichweite nicht reicht dann eben ein Netzwerkkabel verlegen und am Ende eine (ältere) FritzBox oder Access Point hinschrauben.
Man könnte ein VLAN auf einem Port anlegen (Admin fragen, managed Geschäftsswitche können sowas), dort nen WLAN AP einstöpseln der nur Port 80 erlaubt und nur die Route direkt ins WAN/Internet.
Mops4711 schrieb: > der nur > Port 80 erlaubt und nur die Route direkt ins WAN/Internet. Damit bloß keiner seine Daten sicher überträgt (HTTPS, Port 443)?
Also meine Fritzbox 7272 (12,50€ gebraucht bei ebay) trennt Gastnetz vom Hauptnetz, wobei man fürs Gastnetz noch einiges filtern und beschränken kann. Die Smartphones können sich dann einfach per WPS-Pushbutton o.ä. anmelden.
ich schrieb: > kenne zyxel nicht aber bei den Fritzboxen z.B. kannst du n Gast Wlan > aufmachen, das keine Verbindung zu anderen Geräten hat sondern nur > Internet. Vielleicht geht das bei dem Teil auch... Guter Tipp, leider lässt sich das Zyxcel nicht ersetzen (soll nicht viel . Kosten und weil da noch andere Sachen -z.B. internes ISDN- dranhängen). Mops4711 schrieb: > Man könnte ein VLAN auf einem Port anlegen (Admin fragen, managed > Geschäftsswitche können sowas), dort nen WLAN AP einstöpseln der nur > Port 80 erlaubt und nur die Route direkt ins WAN/Internet. Der switch kann angeblich Vlan, aber wie konfiguriert man das. Weiteres Problem ist wenn da mal jemand was umsteckt (kein eigener IT Raum). Dr. Sommer schrieb: > Wenn das bestehende Netz so bleiben soll, könnte man auch z.B. einen > Raspberry-Pi mit WLAN (Model 3) nehmen und "normal" per Kabel ins > Firmen-Netz bringen. Guter Tip, danke für das Beispiel mit der Konfig. Reicht der von der Kapazität ? batman schrieb: > Also meine Fritzbox 7272 (12,50€ gebraucht bei ebay) trennt Gastnetz vom > Hauptnetz, wobei man fürs Gastnetz noch einiges filtern Meine FB macht das auch, aber ich muss ja von der Fritzbox über das Firmennetz noch zum Zyxcel Router (hab ich vergessen zu schreiben, Sorry) Dr. Sommer schrieb: > Was für ein Hub? Ein Ethernet-Hub? Die gibt's noch? Was für ein Modem > genau? Ein switch kein Hub, Sorry. Ein relativ dickes Ding von HP Jan H. schrieb: > Welches Modem, welcher Hub? Derzeit gibt es noch gar kein WLAN Modem ist ein Speedlink 65xx (genauer hab ich das nicht) und es gibt noch kein Wlan
HyperMario schrieb: > batman schrieb: >> Also meine Fritzbox 7272 (12,50€ gebraucht bei ebay) trennt Gastnetz vom >> Hauptnetz, wobei man fürs Gastnetz noch einiges filtern > > Meine FB macht das auch, aber ich muss ja von der Fritzbox über das > Firmennetz noch zum Zyxcel Router (hab ich vergessen zu schreiben, > Sorry) Ja, indem du sie an den Switch steckst und in der FB einstellst "Internetzugang über LAN". Die FB arbeitet dann nur als WLAN-AP/Router. Problem?
batman schrieb: > Ja, indem du sie an den Switch steckst und in der FB einstellst > "Internetzugang über LAN". Die FB arbeitet dann nur als WLAN-AP/Router. > Problem? Klingt gut, aber "sieht" man dann im Wlan nicht den Rest vom Netz? Dr. Sommer schrieb: >> Reicht der von der Kapazität ? > > Für einen Spotify-Stream oder so bestimmt. auch für zwei?
HyperMario schrieb: > auch für zwei? Probier's aus... So gigantisch ist die Investition für einen R-PI nicht. Ich denke aber dass 1 Mbit/s locker drin sein sollten, was 3 Spotify-Premium-Streams entspricht. Wenn da natürlich Maschinen sind welche WLAN stören könnten sieht das ggf. anders aus.
HyperMario schrieb: >> Ja, indem du sie an den Switch steckst und in der FB einstellst >> "Internetzugang über LAN". Die FB arbeitet dann nur als WLAN-AP/Router. >> Problem? > > Klingt gut, aber "sieht" man dann im Wlan nicht den Rest vom Netz? Wenn man den Zugang auf das Gastnetz beschränkt, eben nicht. Da wird nur zwischen WAN(Internet) und Gästen geroutet. Man kann sich die FB natürlich sparen, falls das Zyxel schon die Funktion bietet (weiß ich nicht).
batman schrieb: > HyperMario schrieb: >>> Ja, indem du sie an den Switch steckst und in der FB einstellst >>> "Internetzugang über LAN". Die FB arbeitet dann nur als WLAN-AP/Router. >>> Problem? >> >> Klingt gut, aber "sieht" man dann im Wlan nicht den Rest vom Netz? > > Wenn man den Zugang auf das Gastnetz beschränkt, eben nicht. Da wird nur > zwischen WAN(Internet) und Gästen geroutet. Gute Idee. > > Man kann sich die FB natürlich sparen, falls das Zyxel schon die > Funktion bietet (weiß ich nicht). Hat es leider nicht.
Bin mir jetzt aber gar nicht sicher, ob die FB automatisch die lokalen von WAN-Adressbereichen unterscheidet oder ob man da evt. noch Filter einstellen muß.
batman schrieb: > Bin mir jetzt aber gar nicht sicher, ob die FB automatisch die lokalen > von WAN-Adressbereichen unterscheidet oder ob man da evt. noch Filter > einstellen muß. Wie kann man das einstellen?
batman schrieb: > HyperMario schrieb: >>> Ja, indem du sie an den Switch steckst und in der FB einstellst >>> "Internetzugang über LAN". Die FB arbeitet dann nur als WLAN-AP/Router. >>> Problem? >> >> Klingt gut, aber "sieht" man dann im Wlan nicht den Rest vom Netz? > > Wenn man den Zugang auf das Gastnetz beschränkt, eben nicht. Da wird nur > zwischen WAN(Internet) und Gästen geroutet. Naja, aber wenn die FB eben hinter dem Router hängt ist "WAN" ja bereits alles zwischen FB und dem Zyxel? Dann sollte man doch, bspw. durch Angabe der IP, in dieses Netz zugreifen können?
Die Adressbereiche LAN/WAN-IP sind ja, zumindest offiziell, getrennt. Aber ich weiß eben auch nicht, wie der Router das handhabt.
HyperMario schrieb: > ein Bekannter hat eine Firma mit ein paar Arbeitsplätzen. 2 Leute machen > relativ langweilige Handarbeit in extra Räumen. Die möchten jetzt gerne > mit ihren Handys etwas surfen und Musik hören ohne das Sie ihr > Datenvolumen aufbrauchen. Schon an die GEMA gedacht? Die wird nämlich bei ihrer unendlichen Gier Geld sehen wollen. Dass alle auf der Arbeit die Musik hören können ist gar nicht so einfach, ohne GEMA Kosten wird das kaum möglich sein. Man könnte sich natürlich auf GEMA freie Musik beschränken, aber ich glaube nicht, dass das das ist, was die Mitarbeiter wollen. Auf jeden Fall sollte der Chef seinen Anwalt fragen um nichts falsch zu machen und sich rechtlich abzusichern. > Wie mach man das so sicher das Sie nicht auf das interne Netzwerk > kommen? Mit einem VLAN geht das. Man könnte das interne Firmennetz aber auch in eine VPN legen, das schützt dann auch gegen versehentliches umstöpseln. Kerberos und durchgängige Verschlüsselung der Protokolle für Kerberos fähige Dienste wären auch eine Lösung, aber die Gastrechner sollte man trotzdem in ein separate VLANs stecken. Letzten Endes sollte heutzutage ein Firmennetzwerk sowieso auch gegen Angriffe von Innen abgesichert sein. Das man das eigene Firmennetz als sicher und vertraulich ansieht ist nicht mehr zeitgemäß.
OT: Mein ehemaliger Chef hätt jetzt gesagt, die sollen arbeiten, keine Mucke hören und wissen, welche Stellung in der Hierarchie die innehaben!
Musik kann man immer noch ganz normal über UKW hören. Und extra für 2 Hanseln ein WLAN einrichten, würde mir zu weit gehen. Internetzugang haben nur die Leute mit PC-Arbeitsplatz und Login.
Die Frage nach mehreren Spotify-Streams klang ein bisschen so als würden die Kollegen jeweils einzeln per Kopfhörer hören. Dann ist das keine Vorführung mehr.
Peter D. schrieb: > Musik kann man immer noch ganz normal über UKW hören Wenn man unter Musik "der Schrott auf dem kleinsten gemeinsamen Nenner, den irgendwelche Algorithmen zurechtoptimiert haben" versteht, schon. Antenne ${BUNDESLAND} vom Kollegen mithören zu müssen wäre für mich ein Grund zu kündigen ;)
GEZ zahlt man wimre als Unternehmer sowieso inzwischen pauschal pro Arbeitsstätte und MA und nicht pro Gerät.
batman schrieb: > Dann kostet es nochmal GEZ-Gebühr. Nö. Die Höhe des Beitrags richtet sich nach der Anzahl der Betriebsstätten, der Beschäftigtenzahl und der Zahl der betrieblich genutzten Kraftfahrzeuge.
Nano schrieb: > Schon an die GEMA gedacht? GEMA wird nur fällig bei öffentlicher Beschallung, z.B. in Verkaufsräumen.
Ich würde solche Aktionen nur vom IT-Mitarbeiter der Firma oder einem IT-Dienstleister machen lassen. Wenn die Firma keinen richtigen IT-Verantwortlichen hat, würde ich es sein lassen. Ein Firmennetz ist kein Spielkasten. HyperMario schrieb: > Weiteres > Problem ist wenn da mal jemand was umsteckt (kein eigener IT Raum). Das ist schonmal ungünstig. Für den IT-Raum muß eine Zugangskontrolle bestehen. Wenn bei uns Leute in der Pause ihr Smartphone benutzen, dann über ihren eigenen Account. Soviel Datenvolumen kann das ja nicht sein.
Wie siehts denn aus, wenn man ein analoges Radio aufstellt? Damit wäre der IT-Bereich immer noch gesichert.
Dann darf man sich ständig dieselbe Liste Evergreens und Gassenhauer reinziehen.
Thomas schrieb: > Wie siehts denn aus, wenn man ein analoges Radio aufstellt? Dann kann man halt nur das empfangen, was vor Ort empfangbar ist. Und das ist meistens ziemlich grässlich. Allerdings ließe sich das Problem auch anders lösen - man könnte (natürlich nur nach Absprache mit der Geschäftsleitung) ein Internetradio aufstellen. Das mit dem Firmennetz zu verbinden ist, sofern es nicht aus obskurer Quelle stammt, weniger bedenklich als irgendwelche Privatsmartphones der Mitarbeiter ins Firmennetz zu hängen. Entsprechende Geräte gibt es in jeder beliebigen Abstufung zwischen lausig, erträglich und durchaus gut; modernere Stereoanlagen enthalten oft auch entsprechende Funktionalität. Ein alternativer Ansatz wäre es, sich über die Stille zu freuen, aber das ist nicht jedem gegeben ...
HyperMario schrieb: > Die möchten jetzt gerne > mit ihren Handys etwas surfen und Musik hören Wozu sollten die surfen müssen und in welchen Mengen? Die sollen doch arbeiten. Ich sehe das immer öfter, dass nur am Telefon gespielt wird, statt sich auf das Wesentliche zu konzentrieren. Für Dauermusik gibt es digitales Radio und CD-Player und für ein bischen Musik in der Pause wird das Volument wohl reichen. Was ich besonders befremdlich finde ist das sich dauerhafte Abkapseln in seiner eigenen Welt. Fürher gab es den Mist nicht. Da haben Menschen mit einander geredet, die in einem Raum sassen, und dafür braucht es keine Musik.
Ohje, erst sollen sie arbeiten, dann reden.. noch mehr Ideen? Als ob es "früher" keine Musik bei der Arbeit gab. Vor welchem Krieg war das?
batman schrieb: > Als ob es "früher" keine Musik bei der Arbeit gab. Ich hab das früher in vielen VEBs gesehen. Da dudelten in den Hallen ausrangierte Röhrenradios 24/7 vor sich hin. Man hat sie nie ausgeschaltet, der Einschaltstromstoß hätte einen Heizfaden durchbrennen lassen können.
Vielleicht gibt es auch Musikdienste für Unternehmen, bei der Unternehmen eine pauschale Gebühr inkl. Beachtung der GEMA Regelungen bezahlen und dann aus einer großen Sammlung an Musikstücken ihre Firma mit Musik versorgen können und das firmenintern dann über einen Server abgewickelt wird von dem die Mitarbeiter dann ihre Musikstücke beziehen können.
batman schrieb: > Die Adressbereiche LAN/WAN-IP sind ja, zumindest offiziell, getrennt. > Aber ich weiß eben auch nicht, wie der Router das handhabt. Natürlich sind die getrennt. Aber wenn als Beispiel hinter dem Zyxel ein 192.168.14.0 und hinter der FritzBox ein 192.168.178.0 hängt wäre ich mir unsicher, ob man nicht trotz Gastnetz auf das 14er-Netz zugreifen könnte. Eben weil die FB ja der Router dahin ist.
Nano schrieb: > Schon an die GEMA gedacht? Nano schrieb: > inkl. Beachtung der GEMA Die Wiederholung macht Deinen Schwachsinn nicht besser. Informiere Dich, bevor Du schreibst.
Die FB hat ja einen speziellen extra gekennzeichneten LAN-Eingang für den Internet-Zugang. Wenn man die so konfiguriert, liegt der (und was dranhängt) also in keinem LAN aus Sicht der FB. Bin mir da aber nicht mehr sicher, ob man nicht die Route ins Firmennetz noch explizit blockieren muß, wie mit DROP-Policy auf den Adressbereich o.ä. oder ob der Gastmodus das schon macht.
Crazy H. schrieb: > Sorry OT, aber wieder einmal frage ich mich, wieso alle immer "auf" der > Arbeit sind und nicht "bei" der Arbeit? Ich finde das "auf" hört sich > dämlich an. Ich kann "auf" einem Schiff, einem Turm, einer Brücke sein, > aber Arbeit? Na wenn schon, dann "an der Arbeit". Wer nur "bei der Arbeit" ist, der sitzt faul daneben und macht nichts.
> Nano schrieb: >> Schon an die GEMA gedacht? > Nano schrieb: >> inkl. Beachtung der GEMA Das ist ein Missverständnis. das A in der Abkz. steht für Aufführungsrechte und ich wollte keine Veranstaltungen beschallen. Es handelt sich lediglich um einen internen Zugang für das private Smartphone. batman schrieb: > Die FB hat ja einen speziellen extra gekennzeichneten LAN-Eingang für > den Internet-Zugang. Wenn man die so konfiguriert, liegt der (und was > dranhängt) also in keinem LAN aus Sicht der FB. > Danke, hab jetzt eine Fritz Box bestellt. "Refurbished" wie man auf neudeutsch sagt. Werde das so machen und mal schauen wie ich die konfigurieren muss. > Bin mir da aber nicht mehr sicher, ob man nicht die Route ins Firmennetz > noch explizit blockieren muß, wie mit DROP-Policy auf den Adressbereich > o.ä. oder ob der Gastmodus das schon macht. Schätze mal der Gastzugang ist da entsprechend eingerichtet. Es gibt da ja auch die Möglichkeit das die Teilnehmer untereinander kommunizieren können, das kann man auch abschalten. Danke noch mal an alle.
Manfred schrieb: > Nano schrieb: >> Schon an die GEMA gedacht? > Nano schrieb: >> inkl. Beachtung der GEMA > > Die Wiederholung macht Deinen Schwachsinn nicht besser. Informiere Dich, > bevor Du schreibst. Das gilt dann vor allem für dich, denn es gibt auch Firmen die einen öffentlichen Bereich haben. Man denke da nur mal an das Wartezimmer beim Arzt oder die Räume einer Hotelkette.
Nano schrieb: > Das gilt dann vor allem für dich, denn es gibt auch Firmen die einen > öffentlichen Bereich haben. Man denke da nur mal an das Wartezimmer beim > Arzt oder die Räume einer Hotelkette. Darum gehts hier aber offensichtlich nicht...
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.