Heimvernetzung (I) – der Traum jedes Nerds ist längst Notwendigkeit

Die Vernetzung des eigenen Wohnraums war früher als noch recht einfach als Spielerei für Hobbyadministratoren abzutun, inzwischen jedoch ist die Ethernet-Buchse an immer mehr Geräten zu finden, welche ohne einen Internetanschluss unter durchaus nennenswerten Funktionseinbußen zu leiden haben.

Leider hängt die passende Infrastruktur in Wohngebäuden diesem Trend stark hinterher – Ethernet-Verkabelung in Wohngebäuden ist noch längst nicht Standard, man behilft sich mit Krücken wie WLAN und DLAN.

Dabei ist es längst Zeit zu handeln.

Ein Internetzugang ist Standard

Inzwischen ist es normal daheim einen Internetanschluss zu haben. Und nicht nur immer mehr Software ist ohne Internetanschluss praktisch nicht verwendbar obwohl man selbige nicht verwenden möchte um etwas „online zu machen“ – als Beispiel sei neben der Online-Aktivierung zahlreicher Programme auch die Spieleplattform Steam genannt oder die „Creative Cloud“ Produkte von Adobe – auch zahlreiche Geräte aus dem Unterhaltungsbereich wie z.B. Fernseher, BluRay Player, Spielekonsolen, AV-Receiver, Stereoanlagen verlangen nach einem Internetanschluss damit sie ihren vollen Funktionsumfang preis geben.

Der Datenverkehr beschränkt sich aber nicht nur auf den Weg vom Endgerät ins Internet, auch die Kommunikation der Geräte untereinander ist ein Thema. So kann z.B. der Fernseher ein Video abspielen oder Bilder anzeigen die sich auf dem PC oder einem NAS befinden.

IP für alles

So ziemlich jede digitale Datenübertragung lässt sich prinzipiell über IP und somit sowohl über das Internet als auch über Heim- und Firmennetzwerke abwickeln. Grundvoraussetzung ist dass die verfügbare Bandbreite und die auftretenden Latenzen das erlauben.

Als eines der ältesten elektronischen Kommunikationsmedien hat das Telefon den Sprung auf IP in Form von VoIP bereits geschafft. Auch die Provider wie z.B. die Deutsche Telekom sind bereits dabei die Telefonie komplett auf VoIP umzustellen um die ATM-Infrastruktur langfristig komplett abschalten zu können.

Auch das Fernsehen hat schon seinen Weg nach IP gefunden – in Form von IPTV und Sat>IP.

Passende Infrastruktur in Wohngebäuden – Fehlanzeige

Leider hinkt die nötige Infrastruktur in Wohngebäuden diesem Trend immer noch stark hinterher. Eine LAN-Verkabelung ist in Bürogebäuden selbstverständlich, in Wohngebäuden muss man dergleichen mit der Lupe suchen. Wenn bei Wohnungsneubauten nicht gerade der zukünftige Bewohner selbst auf eine Ethernet-Verkabelung im zukünftigen (Eigen-)heim besteht wird dergleichen in den seltensten Fällen umgesetzt.
Dabei ist jetzt schon klar: im Prinzip löst die flächendeckende LAN-Verkabelung auch in Wohngebäuden die Telefonverkabelung ab, das gleiche gilt für die Sat-Verkabelung und mit Sicherheit auch in naher Zukunft das Kabelfernsehen.

Auf Krücken

Mangels Verkabelung behilft man sich in der Praxis mit fliegender Verkabelung, WLAN und DLAN.

Die Nachteile sind offensichtlich: Stolperfallen, niedrige Bandbreiten und Verbindungsabbrüche.

Dabei wird der Stellenwert einer zuverlässigen Netzwerkinfrastruktur mit ausreichend Bandbreite und geringen Latenzen durch die zunehmende Fülle wichtiger Dienste zu Hause immer größer.

Gestiegene Anforderungen

Mit den steigenden Anforderungen durch immer mehr Dienste die das Heimnetzwerk in Anspruch nehmen halten auch immer mehr technische Maßnahmen Einzug die selbiges am Laufen halten.

Quality of Service (QoS) muss z.B. dafür Sorge tragen dass ein laufender Datei-Download Telefongesprächen nicht in die Quere kommt.
IGMP kümmert sich darum dass das Fernsehprogramm nur an die Geräte im Netzwerk gesendet wird die es auch tatsächlich benötigen und nicht das komplette WLAN blockiert wird.

Außerdem sind die Anforderungen an die Zuverlässigkeit der Netzwerk-Infrastruktur natürlich grundsätzlich höher je mehr Dienste darüber abgewickelt werden. Das betrifft insbesondere die aktiven Komponenten wie Router und Switches.

Im Bereich der Heimvernetzung muss dringend ein Umdenken statt finden. Heimnetzwerke sind kein Spielzeug und nicht mehr nur zur Nutzung des Internetzugangs vom PC wichtig.

Das Heimnetzwerk ist das wichtigste Bindeglied zwischen allen Geräten im Haushalt und dem Internet und hat längst begonnen nicht nur die Telefonverdrahtung abzulösen.

neues WLAN

Da mein Linksys WAP610N leider an einem nicht unbekannten Bug mit der aktuellen Firmware 1.0.02 (build 3) leidet und aus dem WPA2 verschlüsselten WLAN keine DHCP Requests mehr zum DHCP Server im LAN durchlässt habe ich ihn kurzerhand ersetzt.

Meine Wahl fiel auf den HP V-M200. Dabei handelt es sich um ein Produkt das für kleine und mittlere Unternehmen konzipiert ist und somit auch einige Features unterstützt die man im Consumerbereich so nicht findet.

Z.B. ist es möglich 4 SSIDs gleichzeitig zu verwalten (auf dem selben Kanal, allerdings teilen diese sich dann auch die Bandbreite). Diese lassen sich LAN-seitig per VLAN auftrennen.

Außerdem ist natürlich auch eine Authentifizierung über RADIUS möglich.

Der V-M200 unterstützt auf WLAN Seite maximal 300 MBit/s nach 802.11n Standard und auf LAN-Seite (gegenüber der Angabe in vielen Onlineshops) 1 GBit/s.

Außerdem mit an Board ist ein Iperf Server der als Gegenstelle zur Durchsatzmessung dienen kann. SNMP spricht er auch.

Die WebGUI ist der E-Serie (z.B. MSM410, MSM460) sehr ähnlich und bietet zusätzlich einen Quick-Setup Assistenten. Eingefleischte Netzwerker sollten diesen natürlich nicht benötigen aber er kann natürlich ein wenig Zeit sparen.

RADIUS Server zur WLAN-Absicherung unter Windows Server 2003 einrichten

Motiviert durch die Lektüre des Artikels WLAN sichern mit RADIUS bei heise Netze wollte ich das ganze mal unter Windows Server 2003 nachbauen.

Ich möchte das Thema hier bewusst nicht erschöpfend behandeln. Wer gewisse Grundkenntnisse zum Thema RADIUS hat oder es einfach mal so probieren möchte sollte mit meiner Beschreibung aber einigermaßen dazu in der Lage sein ein einfaches Setup aufzubauen.
Jedem der sich für das Thema ernsthaft interessiert möchte ich die Lektüre des verlinkten Artikels bei heise Netze übrigens dringend empfehlen. Dieser schadet übrigens auch als Grundlage für meinen Kurztrip nichts.

Prinzip

Kurz umrissen verwendet man bei der RADIUS Authentifizierung an einem WLAN kein WLAN Passwort das für alle gültig ist sondern individuelle Zugänge. Bei meiner Umsetzung in Verbindung mit Active Directory ist idr. das eine Userkennung oder ein Computerkonto im AD.

Dabei nimmt der AP die Loginanfrage entgegen und authentifiziert diese gegen den RADIUS Server der dann die Freigabe gibt sodass der RADIUS-fähige WLAN AP die Freigabe gibt und den Client ins Netz lässt – oder eben nicht. Wer sich genauer für die Funktionsweise und gebräuchlichen Begrifflichkeiten interessiert kann sich darüber ebenfalls im oben verlinkten Artikel bestens informieren.

Voraussetzung

Voraussetzung für die Umsetzung ist ein WLAN AP der RADIUS kann. Mein Linksys WAP610N kann RADIUS in Verbindung mit WPA2 Enterprise.

Installation & Konfiguration

Auf dem Server der RADIUS-Server werden soll installiert man zuerst (unter Systemsteuerung -> Software -> Windows-Komponenten hinzufügen/entfernen) den „Internetauthentifizierungsdienst“ (unter „Netzwerkdienste“).

Diesen findet man anschließend unter „Systemsteuerung -> Verwaltung“ wieder.

In der MCC-basierten Verwaltung legt man nun im Knoten „RADIUS-Clients“ den AccessPoint an.
Vorsicht: die Bezeichnung „RADIUS-Client“ mag etwas irreführend klingen. Gemeint sind hier nicht die Clients die sich später per RADIUS ins WLAN einklinken sondern die „Authenticators“, also der WLAN AP selbst der Verbindungsanfragen beim RADIUS Server prüft.

Wichtig sind hier die Angaben „Adresse“ (ich verwende in solchen Fällen gern die IP-Adresse weil DNS-Störungen dann keinen Einfluss auf die Funktion haben) und „Gemeinsamer geheimer Schlüssel“. Der gemeinsame geheime Schlüssel ist ein Passwort das im Zusammenhang mit RADIUS auf dem AP ebenfalls eingetragen werden muss damit sich der AP gegenüber dem RADIUS Server Authentifizieren kann.

Der nächste ausschlaggebende Punkt sind die RAS-Richtlinien.
An dieser Stelle werden Regelsätze festgelegt nach denen Verbindungsanforderungen geprüft und erlaubt oder verweigert werden.

Ich habe die Standardrichtlinie gelöscht und mir eine eigene gebaut. Am einfachsten geht das mit der Verwendung des Assistenten die ich im folgenden mit Screenshots dokumentiert habe.

Die Verbindungsanforderungsrichtlinien unter dem Knoten Verbindungsanforderungsverarbeitung sind vor allem dann interessant wenn Verbindungsanfragen unter bestimmten Umständen (oder immer) an andere RADIUS Server weitergegeben werden sollen.

Für Setups im einfacheren Umfang sind diese Regeln nicht wichtig und es ist auch nicht notwendig hier Änderungen vorzunehmen da die Standardrichtlinie für das einfache Szenario dass der eben installierte RADIUS Server alle Verbindungsanfragen bearbeitet bereits korrekt konfiguriert ist.

Fehlerbehandlung

Sämtliche Fehler- und Erfolgsmeldungen auf dem RADIUS-Server tauchen in der Ereignisanzeige auf dem RADIUS-Server im Protokoll System unter der Quelle IAS auf.