Atlassian uses cookies to improve your browsing experience, perform analytics and research, and conduct advertising. Accept all cookies to indicate that you agree to our use of cookies on your device. Atlassian cookies and tracking notice, (opens new window)
govroam knowledge base
stichting govroam wiki - welkom / welcome
govroam (Wi-Fi)
Results will update as you type.
  • govroam processen
  • govroam Tips & Tricks
    • Netwerkvalkuilen
    • govroam configureren voor eindgebruikerscertificaten
    • govroam roaming: Clearpass RADIUS server instellingen
    • WPA3-Enterprise
    • Example: UniFi govroam settings (SP only)
    • govroam en UDP fragmentatie
    • Samen in één gebouw
  • govroam FAQ
    You‘re viewing this with anonymous access, so some content might be blocked.
    /
    Samen in één gebouw
    Updated 17-09-2025

      Samen in één gebouw

      Soms maken meerdere organisaties gebruik van hetzelfde gebouw en hebben beide govroam uitgerold. Dat kan voor eindgebruikers soms vervelende verschijnselen opleveren.

       

      Stel dat zowel Organisatie A als Organisatie B in één gebouw werken, elk met hun eigen Wi-Fi-netwerk. Beiden zijn aangesloten op govroam en hebben op hun netwerk het SSID ‘govroam’ aangezet. Ambtenaren die te gast zijn worden geauthentiseerd via de RADIUS verbinding met Stichting govroam bij hun thuisorganisatie. Wanneer de login succesvol is, krijgt de roamende ambtenaar toegang tot internet via een gastennetwerk. Beide organisaties hebben elk een eigen gastennetwerk gemaakt, met daarop een specifieke reeks IP-adressen en elk hun eigen publieke IP-adres waarmee het verkeer van de gebruikers naar het internet gaat. Er zijn organisaties die ook hun eigen medewerkers binnen hun gebouw gebruik laten maken van govroam, waarmee ze bijvoorbeeld bij interne IT-bronnen kunnen komen. Het onderstaande diagram laat zien hoe een standaard govroam-implementatie globaal uitziet voor beide organisaties:

      image-20250815-092252.png

      Wanneer nu een medewerker van Organisatie A door het gebouw loopt, kan het gebeuren dat deze ongemerkt in het dekkingsgebied van Organisatie B komt. Het signaal van een Wi-Fi Access Point van Organisatie B is op die plek sterker dan het signaal van het Wi-Fi netwerk van Organisatie A. Het mobiele apparaat van de eindgebruiker (de laptop of smartphone) associeert dan met het Access Point van Organisatie B en gaat dus ‘roamen’ op het Access Point van Organisatie B. Dat kan ook gebeuren met een ambtenaar van Organisatie C die te gast is bij Organisatie A, en in dekkingsgebied van Organisatie B komt. In feite is sprake van overlap in gebruik van Wi-Fi kanalen waardoor de netwerken met elkaar concurreren. Je kent dat wel van je mobiele telefoon- of 5G-verbinding als je langs een landgrens rijdt en ineens bericht krijgt dat je gebruik maakt van het mobiele netwerk in het buurland.

       

      Het resultaat is dat de medewerker van Organisatie A niet meer bij de interne IT-faciliteiten kan, en naar internet gaat via een ander IP-adres. Onderstaand plaatje laat zien hoe het verkeer van deze medewerker via het netwerk van de buren verloopt:

      image-20250815-092303.png

      Uitdagingen

      Wanneer de medewerker van de ene organisatie roamt bij de andere, verbreken de sessies met bijvoorbeeld webpagina’s waarmee de medewerker bezig was, en in sommige gevallen is het zelfs nodig opnieuw in te loggen.

      De gevolgen zijn dus een tijdelijke onderbreking van de verbinding, niet meer kunnen bereiken van ‘interne’ IT-bronnen en onderbrekingen of zelfs compleet verbreken van sessies met applicaties op het internet.

      Het overschakelen van het ene govroam-netwerk naar het andere kost per definitie tijd. Het mobiele apparaat moet opnieuw authentiseren (via govroam) en een nieuw IP-adres krijgen, dus applicaties op de laptop denken even dat ze offline zijn, en daarna dat het verkeer van de medewerker vanaf een ander stukje internet komt (wat ook klopt). Er bestaat geen ander mechanisme dan roaming via RADIUS zoals govroam dat biedt om tussen verschillende Wi-Fi netwerken naadloos over te gaan.

      Terugschakelen naar het ‘eigen’ netwerk is lastig, want het mobiele apparaat ziet maar één keer het Wi-Fi netwerk ‘govroam’, ook al zijn er meerdere Access Points die dit uitstralen. De medewerker kan niet kiezen om op één specifiek Access Point in te loggen. Nog vervelender is dat sommige leveranciers ervoor kiezen om een mobiel apparaat zo lang mogelijk met één Access Point te laten verbinden, zelfs als inmiddels een ander Access Point een sterker signaal biedt (‘stickiness’). Daardoor duurt het langer voordat de medewerker weer in het netwerk van de eigen organisatie online kan komen.

      Wanneer de medewerker hierover een hulpvraag wil neerleggen, moet de helpdesk terdege onderzoeken of de medewerker op het moment van verbindingsproblemen wellicht aan het roamen was.

      Voor tijdelijke gasten die via govguest toegang krijgen, kan dit fenomeen extra ondoorgrondelijk zijn. Er zijn organisaties die gekozen hebben om bij het gebruik van de govguest dienst te filteren op gastaccounts die uitsluitend door henzelf zijn uitgereikt. Wanneer deze gast per ongeluk in het dekkingsgebied van de andere organisatie komt, werkt het govroam gastaccount helemaal niet.

      Oplossingen

      Onderbrekingen in de verbinding zullen niet te voorkomen zijn zolang mobiele apparaten het signaal van de andere organisatie kunnen ‘zien’. Er bestaan wel technieken voor soepele overgangen tussen Access Points binnen hetzelfde netwerk, zogenaamde handovers, maar bij de overgang naar een Access Point dat door een andere organisatie is ingericht, is roaming (via RADIUS) onvermijdelijk.

       

      Om de verschillende govroam-implementaties zo weinig mogelijk te laten interfereren, kunnen de organisaties wellicht samenwerken.

       

      Ze kunnen op zijn minst hun dekkingsgebied afstemmen. Een goede Wi-Fi-planning is opgebouwd uit ‘cellen’ die elk een eigen Wi-Fi kanaal gebruiken. Deze worden geplaatst met zo weinig mogelijk overlap en een zo groot mogelijke afstand tussen Access Points die hetzelfde kanaal gebruiken. Deze kanaalindeling is een specialistische klus. Met speciale software kan de optimale plaatsing van Access Points in de driedimensionale ruimte worden berekend. Niet alleen kan het signaal door muren, maar kan ook via trapgaten of een vide op andere verdiepingen zichtbaar zijn. Optimalisatie is in de praktijk lastig. Met name binnen de 2.4 GHz band zijn weinig kanalen beschikbaar die ten volle gebruikt kunnen worden. Bovendien gaat een 2.4 GHz signaal beter door muren dan signalen in de 5 of 6 GHz band. Inzet van bredere kanalen (80 MHz i.p.v. 40 MHz) maakt het nog lastiger om de kanaalindeling op elkaar af te stemmen.

      Bovendien levert de berekening wellicht locaties voor de Access Points op waar (nog) geen bekabeling aanwezig is.

       

      Een rigoureuze oplossing is om elektromagnetische barricades op te werpen. Het eenvoudigs is een ‘air gap’. De organisaties spreken dan af dat tussen hun dekkingsgebieden een zone is waar beiden niet hetzelfde SSID uitstralen. Dat is niet altijd haalbaar, zeker niet voor de relatief verdragende frequenties in de 2.4GHz band. Een kostbare maar effectievere oplossing is om tussen de zones geleidend materiaal op de muren aan te brengen, liefst geaard. Dat houdt radiosignalen tegen, net als in een kooi van Faraday. Er bestaat nog steeds kans dat het signaal van de buren via de ramen binnentreedt, maar dat zal dan veel zwakker zijn. Het is raadzaam te controleren of de plaatsing niet ten koste gaat van andere, gewenste radiosignalen zoals 4G en 5G.

       

      De technisch optimale oplossing is, wanneer één partij govroam levert voor het hele gebouw, of in elk geval de gemeenschappelijke ruimtes. Dat kan zo ingericht worden dat de leverende organisatie de complete Wi-Fi infrastructuur beheert voor het hele gebouw. In dat geval kan ook een optimale radioplanning worden gemaakt met maximale bandbreedte voor alle gebruikers.

      Een tussenvorm is ook mogelijk, waarbij de andere medebewonende organisatie toch nog hun eigen Access Points en netwerk beheren. Zij stellen dan het ‘govroam’-SSID zodanig in dat de RADIUS-verzoeken via de leverende organisatie verlopen. Ook moeten zij zorgen dat verkeer van de gebruikers die op govroam inloggen (via een VLAN doorzetten naar de leverende organisatie. Deze werkwijze vereist afstemming over dienstverlening en technische raakvlakken (RADIUS, VLANs), en natuurlijk ook over de kanaalindeling.

       

      Wanneer het niet mogelijk of gewenst is om de draadloze aspecten van de verschillende govroam-implementaties op elkaar af te stemmen, kan de IT-afdeling er in elk geval voor zorgen dat, wanneer de verbinding weer tot stand komt, de sessies waarbinnen medewerkers aan het werk zijn bestand zijn tegen onderbrekingen:

       

      • Selecteer applicaties die het ‘end to end’-beveiligingsprincipe hanteren. Dat principe gaat ervan uit dat niet (alleen) het netwerk waarin het apparaat van de gebruiker zich bevindt de basis is om een medewerker toe te laten. Juist een versleutelde verbinding tussen de applicatie (de internetbrowser) op het mobiele apparaat enerzijds en het applicatiefrontend (een webapplicatie) anderzijds. Toegang moet (uiteraard) op basis van MultiFactorAuthenticatie (MFA) worden verleend. Tegenwoordig werken de meeste cloudapplicaties op deze manier. Bij de overgang van een netwerk naar een ander zal de browser de draad (de sessie) gewoon weer oppakken.

      • Bied geen interne bronnen zoals fileshares aan eigen medewerkers rechtstreeks via Wi-Fi aan. Dat geldt niet alleen voor toegang via govroam maar ook via eigen Wi-Fi netwerken. Wi-Fi maakt nu eenmaal gebruik van het gedeelde medium ‘lucht’ en signalen kunnen door malafide types elders binnen of buiten het gebouw opgepikt worden. Hoezeer we ook op de beveiliging van het gebruik van WPA2-Enterprise kunnen vertrouwen, het is sowieso niet verstandig om gevoelige interne informatie draadloos te ontsluiten zonder additionele maatregelen zoals end-to-end versleuteling. Toegang tot interne bronnen kan het beste via een ‘bastion’ worden verleend (zonering), liefst met een additionele authenticatie-slag. Voorbeelden van zo’n tweetrapstechniek zijn virtuele desktops of VPN, bijvoorbeeld via govVPN, of zoals al beschreven: end-to-end versleuteling. Bijkomend voordeel is dat ook bij thuiswerken de medewerker via zo’n bastion bij de interne bronnen kan. Maak interne bronnen met gevoelige informatie, die niet additioneel beveiligd zijn, alléén bedraad toegankelijk. Organisaties die uiterst strenge informatiebeveiligingscriteria hanteren, maken per definitie gebruik van dit principe van zonering en staan uitsluitend bedrade toegang toe. Een organisatie die uitsluitend cloudapplicaties gebruikt zal geen last hebben van het feit dat gebruikers niet bij interne bronnen kunnen.

      • Bied govroam ook bedraad aan, bijvoorbeeld in vergaderruimtes die grenzen aan de andere organisatie.

       

      Wij van de Stichting govroam adviseren natuurlijk govroam. We stimuleren het gebruik van govroam als hét Wi-Fi netwerk, ook voor intern gebruik. In uiterste gevallen, wanneer geen van bovenstaande oplossingen mogelijk of gewenst is, is er altijd nog de mogelijkheid om een alternatief, ‘eigen’ Wi-Fi te hanteren voor de interne medewerkers. Het is óók dan zeer de moeite waard om de Wi-Fi kanaalindeling met de buren af te stemmen, want nog steeds bestaat het risico dat het gebruik van dezelfde kanalen voor beiden voor slechtere prestaties zorgt.

       

      Let wel: wij adviseren niet over hoe je als organisatie je applicatielandschap inricht. Vaak zijn ‘legacy’-toepassingen een bottleneck. De genoemde suggesties zijn niet bedoeld om bepaalde oplossingen zoals VDI of cloud-only werken te promoten. Het ontwerp van het Wi-Fi netwerk, nog los van de implementatie van govroam, moet ingebed zijn in een architectuur die de interactie tussen netwerkinrichting en applicatielandschap goed afstemt.

       

      Dit artikel bevat diverse technische termen en afkortingen die ook worden uitgelegd op onze wiki-pagina.

      {"serverDuration": 66, "requestCorrelationId": "03012a9d42264c01819146a383c88ab3"}