Laptop-Zugang in Instituten

Der folgende Text enthält (derzeit noch immer] Fragen und Antworten aus verschiedenen Phasen des LaptopLAN-/WLAN-Ausbaus.

Abschnitte sind: Welchen Accesspunkt sollen wir kaufen? - Uniweites wireless-/Laptop-LAN in Instituten - Einsatz des Laptop-LAN - Wireless-Netz im Hausnetz - Laptop-Zugang zum Hausnetz

Wireless: Welchen Accesspunkt sollen wir kaufen?

• F: Welchen Accesspunkt empfiehlt das URZ?
   
• A: Seit Oktober 2010 empfehlen wir, in die 802.11n Technologie zu investieren: Cisco AIR-LAP1142N-E-K9 mit 2x3 multiple-input multiple-output (MIMO).

• Achtung! Bitte achten Sie bei Bestellung, Auftragsbestätigung und natürlich bei der Lieferung auf die genaue Bezeichnung für Dual-Band 2 und den Ländercode E: AIR-LAP1142N-E-K9
  
  Am Anschlussort sollte ein "single-Insert" vorhanden bzw. möglich sein, um die Strumzufurh per PoE (Power-over-Ethernet)  aus dem Verteilerschrank zu ermöglichen: Man spart u.a. die Kosten für die Verlegung eines zusätzlichen Stromanschlusses!
  Für diese Lösung immer AIR-PWRINJ4= (extra Netzteil wird gebraucht: AIR-PWR-B= ) oder PD-9001G/AC mit integriertem Netzteil (mehr dazu siehe unten).

• Lieferant und aktuelle Preise können Sie bei der zentralen Beschaffungsstelle erfragen. Seit Sommer 2011 gibt es einen Rahmenvertrag mit der Firma NextiraONE.

• Falls spezifische "Ausleuchtungskeulen" mit externen Antennen benötigt werden, ist die Modellreihe 1260 empfohlen.
  Auch in diesem Fall auf Dual-Band und Ländercode Bezeichnung achten: Cisco AIR-LAP1262N-E-K9

• Bei einer schwierigen Umgebung mit vielen Störungen durch andere Radio Frequencies (z.B. privaten APs) empfehlen wir die etwas teuren Modelle mir Clean Air Technology:  Cisco AIR-CAP3502I-E-K9

• F: Warum keine anderen Hersteller?

  A: Mit der Inbetriebnahme der zentralen Controller-Lösung ist klar, dass nur die vom URZ empfohlenen Geräte des passenden Herstellers künftig unterstützt werden können. Daneben gibt es die auch vorher schon guten Gründe: zentrale Wartbarkeit, bekannter und guter Online-Support, stabile gute Hardware, gute Funkeigenschaften.

Uniweites wireless-/Laptop-LAN in Instituten

• Frage: Gibt es in Heidelberg eine stadtweite Möglichkeit, als Uni-Mitarbeiter seinen PC ans Uni-Netz anzuschliessen? Alternativ käme natürlich auch eine LAN-Verbindung mit 10/100mbit in Frage.

  Antwort: Im Prinzip ist das möglich, wenn auch nicht "stadtweit". Wir bieten beide Varianten an, sowohl mit Funknetz als auch mit normaler Netzwerkkarte. In den Links dort finden sich auch die jeweiligen Ausbaustände. Man kann also bereits an vielen Standorten mit seinem Laptop arbeiten, ohne es umkonfigurieren zu müssen.

  In unserem dezentralen kooperativen EDV-Konzept ist es Sache der Institute zu entscheiden, ob eine derartige Anbindung erwünscht ist. Die Beschaffung der Geräte sowie die eventuelle Verlegung neue Leitungen soll auch durch das Institut erfolgen.

• HINWEIS: die Aufstellung von AccessPunkte muß trotzdem zuerst vom URZ und Bauamt genehmigt werden!

  Bei der Auswahl sowie beim Aufbau und der Anbindung ist das URZ gerne behilflich. Wir empfehlen dringend die Einbindung in unser übergreifendes Konzept und die Beschaffung der vom URZ empfohlenen (s. u.) Geräte.

• In einem Institut der Uni-Klinik oder in anderen Instituten, die besonderen Wert auf Sicherheit legen, kann es zudem mit dem Datenschutz bzw. der hausinternen Sicherheits-Policy zu Schwierigkeiten kommen. (Dies gilt übrigens auch für einen eventuellen Anschluss des Laptops an das normale Hausnetz bzw. das geschützte Kliniknetz. Fragen Sie hierzu bitte unbedingt Ihren EDV- oder Netzbeauftragten. )

• F: Das auf der RZ-Homepage angebotene wireless LAN für Laptops scheint in seiner Reichweite ja stark begrenzt zu sein.

  A: Da die Universität Heidelberg viele weit verstreute Standorte hat, ist es mit einigen wenigen Funk-Accesspunkten leider nicht getan. Daher kann dann von "stadtweit" leider nicht die Rede sein, obwohl schon sehr viele Bereiche im Uni-Gebiet zumindest partiell abgedeckt sind.

  Wir sind zudem, was die konkreten Anschlußmöglichkeiten angeht, derzeit auf das Interesse der jeweiligen Institute angewiesen, solche Zugänge im jeweiligen Haus anbieten zu wollen und die entsprechenden Geräte auch selbst zu beschaffen. Sollten Sie für Ihr Institut eine solche Installation befürworten, wenden Sie sich damit gerne an Ihren EDV- oder Netzbeauftragten.

• F: Grundsätzlich wären wir natürlich auch an einem Laptop/wireless-Zugang interessiert. Mit welchen Investitionen müssten wir da rechnen, und wie viel zusätzlicher administrativer Aufwand käme auf uns zu?

  A: Voraussetzungen am Institut:

  • entsprechende Sitz-/Arbeitsplätze für Studenten mit Laptop
  • Hub / Switch / Medienkonverter (je ca. EUR 50-500)
  • Accesspunkte für wireless-Zugang: Reichweite ca. 1 großer Raum oder 10-30 Meter, durch Wände stark gebäudeabhängig, Kosten je ca. EUR 300-500.
  • Anschlussmöglichkeit an einen vom URZ gemangten Switchport.

  Eventueller administrativer Aufwand im Institut:

  • Bereitlegen von Anleitungen: Hier als Hilfe unser Poster mit Kurzanleitung, Sicherheitshinweisen und Verbreitungsgebiet. Im Textmodus kann auch die Laptop-Lan-Startseite als Kurzanleitung verwendet werden.
  • Fragen zur Netzkarteninstallation und VPN-Client-Installation (Es wäre gut, wenn auch vor Ort jemand Bescheid wüsste, wie das geht)
  • Ab und zu bei Bedarf: Neustart eines Gerätes, Zustandskontrolle der TP-Anschlusskabel

  Vorstellungen des Konzeptes für die in den Instituten zuständigen EDV- und Netzbeauftragten haben über die Jahre mehrfach stattgefunden. Anmerkung zu den Voraussetzungen: Die Kosten können recht günstig ausfallen, wenn die Infrastruktur dies zulässt. Nicht immer ist ein neuer großer Switch nötig.

• F: Ich möchten das Laptop-LAN im Institut anbieten. Ich habe den VPN-Client bereits ausprobiert, habe die Anleitungen gesehen und mir schon überlegt, wo und wie die Arbeitsplätze bzw. die Accesspunkte angeschlossen werden. Was muss ich jetzt tun?
  
  TEAM-NETZINFRASTRUKTUR@URZ.UNI-HEIDELBERG.DE kontaktieren, um die Aufstellungsorten der Accesspunkte zu klären bzw. abzustimmen.
  Über den für das Institut zuständigen Mitarbeiter im Dezernat 3 der ZUV einen Antrag ans Bauamt stellen, wenn neue WLAN-Anschlüsse verlegt werden müssen.
  Wichtig: Klären, wer welche Kosten trägt.
  Auch wenn die Anschlüsse schon vorhanden sein sollten, muss ein Antrag ans Bauamt gestellt werden, um die Geräte fachgemäß durch eine Elektrofirma installieren zu lassen.
  
  
• F: Wir haben unseren Accesspunkt gekauft und wissen auch, welcher Port am Switch mit dem Laptop-LAN konfiguriert ist. Was müssen wir nun im Accesspunkt eintragen?

  A: Falls Sie einen Cisco-Accesspunkt gekauft haben, reicht eine Mail an die Team-Adresse, wir konfigurieren den Accesspunkt dann für Sie. Andere Hersteller werden von uns nicht mehr unterstützt und sind unerwünscht.

• F: Die beratende Kommission zur Verteilung von Studiengebühren am [Institut] hat beschlossen, das [Institut] mit WLAN-Access-Points auszustatten. Ich wurde dazu ausgesucht, mich um diese Sache zu kümmern bzw. zunächst einmal herauszufinden, wie viele Geräte gebraucht werden und wo sie am besten installiert werden sollten, [...], deswegen möchte ich hiermit zunächst mal ganz allgemein nachfragen, was Sie mir dazu sagen können.

  A: Zunächst einmal empfehlen wir Ihnen die Zusammenarbeit mit dem Instituts- EDV- und Netzbeauftragten, zu finden z.B. über http://www.urz.uni-heidelberg.de/bin/searchbeavon.pl. Dieser ist der eigentliche Ansprechpartner des Instituts in EDV-Fragen und kennt die Beschaffungswege etc. an der Uni.

  Zu bedenken wäre dann die Frage: Was bedeutet es für Sie bzw. die Kommission, "das Institut mit WLAN-Accesspoints auszustatten"?

  1. in der Bibliothek und an einzelnen anderen Orten (Seminarräume) soll WLAN sein
  2. überall im Haus (in den Häusern) soll WLAN sein, jeder Mitarbeiter soll am Arbeitsplatz WLAN erreichen
  3. WLAN soll wirklich überall sein, z. B. der Hausmeister/die Hausmeisterin soll ein WLAN-Telefon haben und überall (also auch im UG und draußen) erreichbar sein
  4. WLAN soll so sein, dass auch bei vollem Hörsaal noch jeder supergut "ins Netz" kommt...

  Wir schlagen vor, mit Punkt 1 zu beginnen.

  Es ist auf jeden Fall nützlich, sich (elektronische) Grundrisspläne des Hauses zu besorgen (Feuerwehr-Fluchtwegeplan sollte im Haus aushängen, digital abfotografieren, Bauamt?) oder selbst grob zu skizzieren: Schon die Dokumentation der Funk-Kanäle fällt Ihnen (bzw. uns) dann leichter, ebenso Lokalisierung und Fehlersuche.

  An welchen Orten soll der Funkempfang besonders gut sein? Kann man dort einen Accesspunkt aufhängen? Ist dort eine Netzwerkdose in der Nähe? Muss noch eine dorthin gelegt werden? Doppelinsert mit Strom-Steckdose oder Single-Insert mit Power-over-Ethernet? Sitzt dort kein Mitarbeiter (täglich 8 Stunden) in der Nähe, der sich vom Funk gestört fühlen könnte?

  Ist das LAN gerätetechnisch vorbereitet? (Sind an den benötigten Verteilerstandorten bereits zentral gemanagte Cisco-Switches, sind noch freie Ports vorhanden, werden weitere Switchports benötigt, reicht das Geld auch dafür?)

  Für Ziel-Punkt 2 hängt man die Accesspunkte besser in die Flure, wo aber in der Regel noch keine Netzwerkdosen vorhanden sind. Neue Netzwerkdosen werden vom Institut in einer Nutzungsanforderung beschrieben, vom URZ befürwortet, an das Bauamt weitergegeben, von dort beauftragt. (Auch hier ist eine Grundriss-Skizze nützlich.;-)

  Für Punkt 3 werden noch einige Accesspunkte mehr benötigt, es müssen weitere Netzwerkdosen verlegt werden. Für Punkt 4 müssen in den "hot spots" bei Bedarf mehrere Accesspunkte installiert werden.

  Andere als die ganz oben genannten Geräte könne von uns nicht mehr im Uninetz akzeptiert werden. Sie können sich bei uns einen Accesspunkt und ein langes TP-Kabel ausleihen, falls Sie vor der Beschaffung oder zur Planung Ausleuchtungstests machen wollen.

• Wie sollen die Accesspunkte am besten montiert werden?

  Wir empfehlen, separate Kabel/Anschlüsse für APs in den Flurbereich zu verlegen. Es sollten alle 8 Drähte belegt und Single-Inserts verwendet werden. Damit kann Power-over-Ethernet (PoE) gemacht werden und Gigabit-Uplink für 802.11n. Mit dem AP muss dann entweder ein "Power-Injector" mitbestellt werden, so dass das (beim AP nicht mitgelieferte) Netzteil im Verteilerschrank aufgestellt wird, oder (bei mehreren APs im gleichen Verteiler) ein entsprechendes Injector-Netzeil oder gar ein PoE-Switch/-Modul.

  Vorteile bei Verwendung von PoE:

  • an die Wand muss nicht zusätzlich 220V verlegt werden (das macht die Verlegung billiger)
  • ein harter Neustart des APs kann aus dem Verteilerschrank ohne Leiter bewerkstelligt werden
  • weniger Kabelei an der Wand sieht schöner aus

Einsatz des Laptop-LAN

• Accesspunkt am Controller: Nutzung von WEBACCESS oder eduroam
  [Früher galt: "Bei Tagungen kann auf Antrag seitens des EDV- Netwerkbeauftragter die ACL so erweitert werden, dass Email-Lesen und Web-Surfen an den Accesspunkten und Netzwerkdosen des Laptop-LAN auch ohne Authentifizierung möglich ist." Ein Login ohne Authentifizierung ist nicht mehr erwünscht.]
   
• F: Wir möchten das Laptop- bzw. Wireless-Lan in Prüfungen einsetzen, dazu dürfen dann aber nur die von uns gewollten Webseiten erreichbar sein.

  A: Eine Einschränkung auf bestimmte Webseiten ist mit dem URZ-Laptop-Konzept nicht möglich, da es ja prinzipiell für alle Gruppen an der Universität offen und nutzbar sein soll.

  Von einem derartigen Konzept, das auf die Einschränkung der Zugangsmöglichkeiten bei _studentischen_ Laptops in Prüfungen abzielt, können wir außerdem nur abraten: man kann weder garantieren noch feststellen, welche Inhalte jemand auf dem Laptop vorbereitet hat, noch ist es möglich zu verhindern, dass ein Student z.B. mit einer (nicht erkennbaren) eingebauten Funklankarte und einem Partner außerhalb sich beliebige Inhalte/Hilfen auf sein Laptop verschafft.

  Wenn Prüfungen "ohne Internetwissen" am PC stattfinden sollen, dann am besten auf einheitlich ausgestatteten, "neu installierten", institutseigenen Rechnern.

• Link zu einer "drohenden Gefahr" bei WLAN-Vollausstattung: The Fight for Classroom Attention: Professor vs. Laptop

Wireless-Netz im Hausnetz

• F: Bestehen von Seiten des URZ irgendwelche Bedenken dagegen, in einem Institut einen WLAN-Accesspoint aufzustellen, zu dem nur die im Haus bekannten MAC-Adressen Zugang bekommen? Wir haben nicht vor, einen Hotspot zu betreiben, das Ganze sollte nur dazu dienen, unsere Verkabelungsengpässe zu überbrücken.

  A: Es bestehen erhebliche Bedenken. Hier bitten wir Sie, die folgenden Punkte zu beachten und zu bedenken:

  • Wir bitten um Absprache mit dem URZ bezüglich der Einstellung des Kanals im Accesspunkt.
  • In Konfliktfällen muss klar sein, dass einer uniweiten Infrastruktur der Vorrang einzuräumen ist.
  • Bitte beachten Sie ausserdem:
    • Vor allem bei Verwendung von WEP/WPA/TKIP-Verschlüsselung haben Sie damit noch KEINE Sicherheit: Der Verkehr kann auch mit all diesen Einstellungen abgehört werden, speziell bei einer Installation, wo zumindest die Broadcasts des Institutsnetzes immer auch über WLAN transportiert werden, ist genug Verkehr, um ausreichend Pakete mitzusniffern.
    • Die Einstellung der WLAN-Konfiguration mit allen notwendigen Sicherheitskonfigurationen ist komplexer als ein "normaler" Festnetzanschluss, und auch komplexer als Download und Installation des VPN-Client.
    • Warum verwenden Sie - wenn es WLAN sein muss - nicht das URZ-Konzept, mit dem vermutlich ebenfalls Zugang zu Ihren Daten ermöglicht wird? Weitere Vorteile: Die Mitarbeiter finden so überall an der Uni dieselben Bedingungen vor, und können das VPN-Konzept auch weltweit nutzen. Studentische Nutzung ist möglich, DHCP, VPN/IPsec- statt WEP-Verschlüsselung, einfachere Konfiguration für Funkkarten und Accesspunkt, Beratung bei Installationsproblemen.
    • Es handelt sich um ein "shared" Medium, die nutzbare effektive Datenrate (ca 40-60% der nominalen) wird auf die Anzahl der Clients im Funknetz aufgeteilt.
    • Eine solche Anbindung steht im Widerspruch zu unserem derzeitigen Umbauprojekt, in dem wir die Institutsanbindung auf 100/1000 MBit/s im Rahmen eines geswitchten Netzverbundes erhöhen. Damit kann dann jedes Endgerät via Festnetz mit 100 MBit/s angebunden werden.
  • Außerdem möchten wir auf Folgendes hinweisen:
    • Es handelt sich bei der Frage vor allem um eine Gebäude-/Institutsanbindung.
    • Da uns im allgemeinen eine Festanbindung lieber ist als eine Funkanbindung, sollte vor dem Ergreifen weiterer Schritte die Möglichkeit einer Festanbindung unbedingt nochmals abgeprüft werden.
    • Wenden Sie sich hierzu am besten per Email an die Team-Adresse(unten). 
  • Wenn sie es partout nicht lassen können, empfehlen wir folgende Einstellungen:
    • Verwendung einer eigenen ESSID (nicht UNI-HEIDELBERG oder eine andere unserer SSIDs).
    • Verwendung von WPA2/AES (bzw. WPA2/CCMP) mit eigenem Key. (WPA/TKIP (bzw. WPA/RC4) oder WPA2/TKIP (/RC4) gelten als schnell zu knacken!)
    • Open-network-Authentifizierung.

• F: Die Installation und der Start des VPN-Client kommt einigen Kollegen im Haus zu kompliziert vor, wir möchten den Accesspunkt direkt im Hausnetz anbinden.

  A:

  • Für mobile Institutsmitarbeiter ist die Installation des VPN-Client doch auf jeden Fall wichtig, um aus fremden Netzen Zugriff auf das HD-Net erhalten zu können.
  • bei einer VPN-Lösung hat jeder Mitarbeiter WLAN-Zugriff auf dem gesamten Campus, bei einer "Spezial-Lösung" nur im Haus.
  • Bitte beachten Sie auch die Hinweise zur vorhergehenden Frage.
  • Bechten Sie bitte auch die weitergehenden Angebote von WEBACCESS und eduroam.

Laptop-Zugang zum Hausnetz

• F: Soll ich Studenten erlauben, das Laptop im Hausnetz zu verwenden?

  A: Beliebigen studentischen Laptops sollte kein Zugang ins Hausnetz eines Institutes ermöglicht werden. Insbesondere sollten unbenutzte (aber beschaltete) Netzwerk-Dosen in öffentlichen Räumen vermieden werden. Es ist sehr einfach, beliebige unverschlüsselte Passwörter mitzulesen, wenn man mit einem Rechner im LAN verbunden ist.

  Wer Studenten mit Laptops den Zugang zum Internet anbieten will, sollte in öffentlichen Räumen das uniweite "Laptop-Netz" bereitstellen, eventuell auch in Form des Funk-Lans, was dann auch von Mitarbeitern genutzt werden kann. Insbesondere durch die VPN-Verschlüsselung wird hier ein Mitlesen von Passwörten im Ansatz vermieden.

• F: Soll ich Besuchern erlauben, ihr Laptop mit einer IP-Adresse im Haus-LAN einzubinden?

  A: Bei Besuchern des Institutes sind dieselben Gefahren des Mitlesens von Passwörtern und anderem gegeben, weil auch hier der Rechner nicht der im Institut üblichen Konfiguration entspricht. Hier hängt es von den institutsinternen Sicherheitsregeln ab, ob man es Besuchern des Instituts ermöglichen will, Zugang zum Hausnetz zu haben.

  Wenn man Besuchern das vom URZ angebotene Laptop-LAN anbieten will, ist zu beachten, dass der Besucher sowohl einen URZ-Account benötigt, als auch den Cisco-VPN-Client installieren muss.

• Mehr zum Thema Gästezugang findet man hier.
• Zugangsmöglichkeiten ohne VPN-Client: WebVPN, freigegebene Dienste, Captive Portal: UNI-WEBACCESS, eduroam.