wlanner
Goto Top

Asus RT-AC66 als AP mit Gastzugang

Hallo,

ich habe den Asus RT-AC66 hinter der Fritzbox als Access Point, funktioniert soweit wunderbar. WLAN wie auch LAN werden durchgereicht. Wenn ich jetzt jedoch das Gast-WLAN zuschalte, funkioniert dies auch - jedoch mit vollem Zugriff auf das komplette Heimnetz.

Woran liegt das und gibt es eine Möglichkeit, ein völlig isoliertes Gast-WLAN zu schalten?

Danke schonmalface-smile

Content-ID: 269050

Url: https://administrator.de/forum/asus-rt-ac66-als-ap-mit-gastzugang-269050.html

Ausgedruckt am: 25.12.2024 um 01:12 Uhr

Commulive
Commulive 13.04.2015 aktualisiert um 18:15:58 Uhr
Goto Top
Hi,

hast du denn bei den Einstellungen fürs Guest Network "Intranet" auf Disable gesetzt?

LG
wlanner
wlanner 13.04.2015 aktualisiert um 18:17:14 Uhr
Goto Top
Nein, die Option zeigt mir der Router gar nicht an..
Ich glaube, dass liegt daran, dass das Gerät als Access Point arbeitet und nicht als Router.

Was ich nicht verstehe, ist, wieso das Gastnetzwerk scheinbar wirkungslos ist. Irgendwie muss ich doch die privaten IP's blocken können?
Commulive
Commulive 13.04.2015 um 18:19:07 Uhr
Goto Top
Welche Firmware hast du drauf?
119944
119944 13.04.2015 aktualisiert um 18:20:29 Uhr
Goto Top
Hi,
hast du denn bei Einstellungen fürs Guest Network Intranet auf Disable gesetzt?
Solange der Asus nur als AP verwendet wird, ist diese Option sowieso absolut sinnlos weil die Fritzbox ja Router spielt und alle im gemeinsamen L2 Netzwerk sind.

Weder der Asus noch die Fritzbox unterstützen VLANs womit sowas realisiert wird.
Entweder du verwendest den Asus als Router, verwendest das Fritzbox Gast WLAN oder du musst dir ordentliche Hardware dafür besorgen.

VG
Val
wlanner
wlanner 13.04.2015 um 18:27:34 Uhr
Goto Top
Es muss auch keine wasserdichte Lösung sein; wegen der räumlichen Anordung kann da nix getauscht werden.

Kann man bei dem Asus mit der DD-WRT dass so einstellen, dass im GastWlan einfach alle Zugriffe auf einen IP-Block gesperrt werden?
Oder würde dass hier funktionieren : http://tips.desipro.de/2013/12/06/guest-wifi-setup-dd-wrt/ ?
119944
119944 13.04.2015 um 20:05:17 Uhr
Goto Top
Dein Link läd bei mir leider nicht.
Solange du alles im selben L2 Netzwerk laufen hast kannst du nur die Firewalls an den Geräten selbst verwenden.

Lies dich zum Thema Netzwerkdesign einfach mal etwas ein.

Was spricht gegen das Gast WLAN der Fritzbox?
Sonst 2 günstige Mikrotik Router und du kannst das Problemlos abdecken.

VG
Val
wlanner
wlanner 13.04.2015 aktualisiert um 22:29:26 Uhr
Goto Top
Hypothese: Ich aktiviere Gästenetzwerk auf LAN4 der FB, dann stecke in ein Kabel von LAN4 in LAN3.
Jetzt sind zwei getrennte IP-Netze in einem Kabel.
Am anderen Ende im Access Point mache ich zwei WLAN's, eins mit der normalen IP und eines mit der Gästenetzwerk-IP.
Ist das so machbar?

Gegen das Gast-WLAN der FB: Der FB steht nicht in dem Bereich, wo Gast-WLAN gebraucht wird, nur der AP. Dort muss aber das Gast-WLAN hin.
119944
119944 14.04.2015 um 07:05:07 Uhr
Goto Top
Jetzt sind zwei getrennte IP-Netze in einem Kabel.
Ach komm jetzt wird lächerlich...

Sowas funktioniert nur mit Vlans!
Du kannst höchstens noch einen 2. AP an das Gastnetzwerk der Fritzbox hängen.

Bzw. eventuell mit DD-WRT 2 VLANs auf den Asus legen und je ein Kabel vom normalen sowie vom Gastnetz der Fritzbox mit einem VLAN verbinden.
Dann erstellst du 2 SSIDs und legst diese jeweils auf ein VLAN.
Bin mir nicht sicher ob das funktioniert aber so würde ich das mal probieren.

VG
Val
aqui
aqui 14.04.2015 um 08:46:08 Uhr
Goto Top
Du musst beide Netze Privat und Gast trennen !
DD-WRT auf den Asus flashen das löst dein problem im Handumdrehen.
Beispiele dazu findest du hier mit den Grundlagen:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
und wie man es auf VLAN Basis realisiert (Praxisbeilspiel) hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Wenn dir das zuviel Aufwand ist benutzt du einfach einen 35 Euro Mikrotik 750er Router. Der hat ein fertig eingebautes Captive Portal mit Userverwaltung was du nur per Mausklick im Setup aktivieren musst und gut iss:
Mikrotik RB750 - Quick Review
http://varia-store.com/Wireless-Systeme/Fuer-den-Innenbereich/MikroTik- ...
http://wiki.mikrotik.com/wiki/Hotspot_server_setup
und diverse YouTube Filmchen dazu.
wlanner
wlanner 14.04.2015 um 20:39:39 Uhr
Goto Top
Also es ist so, die FB (welche Internet bereitstellt) und der Asus(AccessPoint) sind mit einem Kabel verbunden, mehr gibt's nicht.
Jetzt möchte ich, dass der Asus zwei mal WLAN bereitstellt, wie bekannt.
Bei VLAN muss ich wohl mehr Geräte zukaufen, da z.B. die FB dies nicht kann. Auch soll es kein Captive Portal sein, da ja sonst noch ein Server permanent laufen muss und mehr aufwand für Gäste und mich.

Anderer Ansatz:
An der Internetanschluss-Seite sind 2 Internetrouter an 2 DSL-Anschlüssen.
Kann ich den einen Router für das private Netz benutzen, den anderen Zugang für das Gäste-Netz?
Dann würde ich Router 1 mit 192.168.1.1 als DHCP, DNS, Gateway benutzen und im Router 2 stelle ich 192.168.2.1 nur als Gateway.
Die zwei Router werden per einfachem Switch verbunden, dann geht ein Kabel zum Asus.
Im Asus stelle ich jetzt ein privates WLAN ein und erstelle (mit DD-WRT) ein zweites, virtuelles WLAN.
Jetzt kann man ja bei dem Asus das zweite, virtuelle WLAN so einstellen, dass alle Leute, die sich über das virtuelle WLAN einklinken, eine IP von dem DHCP-Server des Asus bekommen (der nur für die virtuelle Schnittstelle gilt und IP_Adressen von 192.168.2.2 aufwärts verteilt.)
Ich habe es hinbekommen, dass die Geräte bei dem privaten ganz normal über ...1.1 vermittelt werden, die Gäste bekommen auch IP-Adressen von ...2.1 vermittelt. Leider hakt es bei der Verbindung des virtuellen WLAN's mit dem Router nicht richtig. (Stichwort Bridging?)
aqui
Lösung aqui 15.04.2015, aktualisiert am 16.04.2015 um 23:22:42 Uhr
Goto Top
Jetzt möchte ich, dass der Asus zwei mal WLAN bereitstellt, wie bekannt.
Das geht einzig nur wenn der ASUS ein Multi SSID fähiger Accesspoint ist, also über eine Hardware mehrere WLANs aufspannen kann !!
Bei VLAN muss ich wohl mehr Geräte zukaufen, da z.B. die FB dies nicht kann.
Jein, ein kleiner 25 Euro VLAN Switch genügt eigentlich !
Auch soll es kein Captive Portal sein, da ja sonst noch ein Server permanent laufen muss und mehr aufwand für Gäste und mich.
Das ist auch Schwachsinn, sorry, denn das kann z.B. gleich eine Firewall mitmachen oder ein 35 Euro Router.
Einfache Beispiele dazu findest du hier und hier.
Vergiss niemals das in D die Störerhaftung gilt ! Machen Gäste also juritisch relevanten Unsinn haftest du vollumfänglich als Anschlussinhaber !! In so fern ist es essentiell wenigstens die Gastuser zu tracken und den Zugang wasserdicht zu kontrollieren !
Kann ich den einen Router für das private Netz benutzen, den anderen Zugang für das Gäste-Netz?
Ja das geht natürlich !
Das entbindet dich aber nicht zur Kontrolle und Nachweis der Gastbenutzung. Thema wieder: Störerhaftung !
Die zwei Router werden per einfachem Switch verbunden, dann geht ein Kabel zum Asus.
Das ist natürlich wieder Blödsinn und funktioniert so nicht. Du kannst ja nicht einfach zwei unterschiedliche IP Segmenten ohne Router auf einen Draht zusammenstecken. Jeder IT Azubi lernt das im ersten Lehrjahr.
Das ist nicht nur dumm sondern auch fahrlässig, denn so mischst du komplett Gäste und privat...todlich aus Sicherheitssicht !
IP Netze routet man. Siehe hier.
Leider hakt es bei der Verbindung des virtuellen WLAN's mit dem Router nicht richtig. (Stichwort Bridging?)
War zu erwarten wenn man solchen Netzwerk technischen Unsinn verzapft. Ist so als wenn du einen Wasserhahn an die Gasleitung schraubst und in einem Installateur Forum nachfragst warum es nicht geht !

Wenn du mit mSSIDs arbeitest auf deinem AP also mit Multi SSID MUSST du auch einen VLAN Switch haben, anders geht es nicht !
Andere Option ohne VLANs ist das du das komplett trennst wie oben ansatzweise beschrieben. Dann verlierst du aber die Option 2 WLANs auf dem Accesspoint zu bedienen.
Es geht nur das eine oder andere !!
Fazit: Besorge dir einen Router oder eine kleine Firewall die mit VLANs umgehen kann und setze das damit um.
Idealerweise nimmst du die oben zitierte pfSense_Firewall.
Das wäre die eierlegende Wollmilchsau denn
  • Sie stellt dir dein Gast WLAN und Privat WLAN über einen VLAN Infrastruktur her mit MSSID
  • Sie hat wenn du möchtest ein integrierten Gast Hotspot den man aktivieren kann und bietet rechtssicheres User Tracking
  • Sie kann deine beiden DSL Anschlüsse im Load Balancing aktivierne und Gast und privat Traffic sinnvoll auf diese beiden Anschlüsse mit automatischem Failover realisieren.
  • Sie schafft eine wasserdichte Trennung zwischen Gast und privatem Netz
  • Sie protokolliert alle Verstöße dazu mit
Was will man also mehr ?
Alternativ nimmst du ein 35 Euro Mikrotik Router der auch ALL das Obige bietet allerdings mit etwas mehr Einarbetung in die GUI Konfig. Dafür aber zu einem konkurenzlos günstigen Preis.
Deine Entscheidung ! Mit der richtigen Hardware ist das ein Kinderspiel und erfordert eigentlich keine langwierigen Diskussions Threads in Foren...

Für die technische Lösung all dieser Optionen helfen dir die hiesigen ausführlichen Tutorials:
WLANs mit MSSID und VLANs lösen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Gastnetz Grundlagen Infos und Realisierung:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
wlanner
wlanner 15.04.2015 aktualisiert um 20:47:19 Uhr
Goto Top
OK, ich werde es jetzt mit VLAN versuchen.
Ich habe am einen Ende ja die Router und einen Netgear ProSafe Switch für VLAN.
Den Router habe ich so konfiguriert:
Ports 1-6: VLAN ID 1; Untagged(U); Anschluss der Privat-PC's
Port 7: VLAN ID 3; Untagged(U); Anschluss des Gast-Routers
Port 8: VLAN ID 1, zusätzlich ID 3; Tagged (T); Uplink zum Asus. (für Privat und Gastübermittlung)
Jetzt stecke ich doch das Uplink-Kabel vom Netgear VLAN Switch in den WAN des Asus und müsste jetzt die VLAN-Konfig-Tabelle so einstellen:
W (WAN-Anschluss: Tagged, VLAN ID 1 und VLAN ID 3; Bridge to LAN
Port 1-4: VLAN ID 1; Bridge to LAN.
Leider hakt es ab hier, weil dann kein Zugriff mehr auf den Asus möglich ist?
aqui
aqui 16.04.2015 aktualisiert um 23:22:29 Uhr
Goto Top
Netgear VLAN Switch in den WAN des Asus
Nein !
Da liegt dein Fehler ! Es muss der LAN Port sein, denn dein Asus rennt ja nur als simpler WLAN Accesspoint !
Wie man den dafür customized kannst du hier nachlesen:
Kopplung von 2 Routern am DSL Port
Es ist also der LAN Port und deshalb scheitert der Zugriff auf den Asus.
Der Rest ist soweit richtig.
Halte dich bitte ans VLAN Tutorial, da ist alles erklärt.
wlanner
wlanner 16.04.2015 um 22:14:11 Uhr
Goto Top
OK, ich konfiguriere es genau so, wie es beschrieben wird.. zumindest versuche ich es
Ich habe den Switch wie oben genannt konfiguriert in der Hoffnung, dass es hieran nicht liegt.
Jetzt zum Asus:
Ich habe das Kabel jetzt in den LAN1 gesteckt und im Webinterface folgende Einstellungen gemacht:
WAN Disabled
Modus: Router
DHCP: Aus
Gateway & DNS vom Haupt-Router
Die IP Adresse zum ansprechen des Asus im privaten Netzwerk
und jetzt der Knackpunkt VLAN:
Ich gebe in dieser Maske ein:
LAN 1 ist Tagged mit VLAN ID 1 & VLAN ID 3; Alles Briged To Lan
LAN 2,3,4 ist nicht Tagged, VLAN ID 1
WLAN gehört auch zu LAN
jetzt klicke ich auf "Apply" und der Router startet neu.
Internet funktioniert jetzt (privat & nur LAN), der Rest nicht (ist ja noch nicht eingestellt); aber jetzt ist auch das Webinterface dafür nicht mehr unter der IP erreichbar?!
wlanner
wlanner 16.04.2015 um 23:23:58 Uhr
Goto Top
Nach langem suchen nehme ich alles zurück.. Der Grund, warum dass alles trotz scheinbar richtiger Konfiguration nicht funktionierte, war eine Buggy Firmware. Man darf nicht die empfohlene Firmware für den Asus (DD-WRT) nehmen, wenn man VLAN nutzen will; die tut's nicht.
aqui
aqui 17.04.2015 um 10:08:39 Uhr
Goto Top
LAN 1 ist Tagged mit VLAN ID 1
Das ist auch ein Fehler !
Das Default VLAN 1 wird immer untagged übertragen auf Uplink Trunks ! Das darfst du nie taggen, denn damit kann der Router nicht umgehen.
Vermutlich ist das der wahre Fehler...
wlanner
wlanner 17.04.2015 um 19:21:23 Uhr
Goto Top
Dann stimmt entweder die Anleitung in dem o.g. Link nicht oder deine These.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Zitat: "Es wird für die folgenden Beispiele vorausgesetzt das bereits ein VLAN Switch vorhanden ist, der die entsprechenden VLAN IDs eingerichtet hat (IDs 10, 20 30 usw.) und ein Switchport, der sog. Uplink oder "Trunk" Port ist, wo alle VLANs tagged übertragen werden. "

Aber.. Never Change a running system
aqui
aqui 17.04.2015 um 20:24:27 Uhr
Goto Top
WAS bitte kollidiert denn da mit der Aussage von oben ??
VLAN 1 untagged und VLANs 10, 20 30 usw. tagged. Passt doch und ist der Standard.
WO siehst du denn da einen Widerspruch ? Ist jetzt etwas unverständlich....
wlanner
wlanner 17.04.2015 um 20:47:36 Uhr
Goto Top
VLAN 10,20,30 sind Beispiele.. Nach der Anleitung müssen alle VLANs tagged übertragen werden. Zu Alle zähle ich dementsprechend auch die VLAN ID 1
aqui
aqui 17.04.2015 um 23:03:01 Uhr
Goto Top
Nein das ist falsch !
Wenn du dir den RFC zum IEEE Standard 802.1q durchliest der das VLAN Tagging festlegt dann lernst du das das native VLAN (Default VLAN) immer untagged auf einem Trunk Uplink gesendet wird.
Und so macht es auch die überwiegende Mehrzahl der Hersteller. Die Billigheimer sogut wie ausnahmslos.
Nichts anderes steht auch im Tutorial.
Oder auch hier: (gelöst) Accesspoint im VLAN nicht erreichbar