2
CaptivePortal-Frage zu Ubiquiti und FritzBox
Hallo zusammen,
ich komme gerade nicht weiter. Ich möchte den Ubiquiti-Hotspot mit Voucher-Anmeldung in folgender Konstellation nutzen:
Die Unifi-AccessPoints strahlen zwei Netze aus, einmal INTERN und einmal GAST.
Für das wLAN GAST sind die Gastrichtlnien, also vor allem das CaptivePortal aktiviert.
INTERN gehört zum Netzwerk DEFAULT und GAST zum Netzwerk GASTNETZ mit der vLAN-ID 40
Das Netzwerk Default hat den IP-Bereich 10.200.0.0/22 und wird an einem entsprechend konfigurierten Port eines Unifi-Switches auf Port 2 der FritzBox ausgegeben.
Das Netzwerk Default hat den IP-Bereich 192.168.179.0/24 und wird an einem entsprechend konfigurierten Port eines Unifi-Switches auf Port 4 der FritzBox ausgegeben. Auf der FritzBox ist Gastzugang auf LAN4 aktiviert.
Für beide Netzw spielt die FritzBox den DHCP-Server.
Der Unifi-Cloudkey als Controller hängt an einem Port eines Unifi-Switches, der beide vLANs ausgibt.
Wenn ich mich nun mit einem Tablet mit dem wLAN GAST verbinde, zeigt Android korrekt an, dass dafür eine Anmeldung erforderlich ist. Aber er zeigt dann die Captive-Portal-Anmeldeseite nicht an - vermutlich, weil ich durch die Verbindung mit GAST eine IP aus dem Gastnetz (192.168.179.0/24) erhalten habe, der Cloudkey, auf dem das CaptiovePortal gehostet wird, aber eine IP im internen Netz hat (10.200.0.100).
Ich bin sicher, dass es dafür eine Lösung gibt, denn dass das Gastnetz einen anderen IP-Adressbereich hat als das interne Netz ist ja normal. Aber welchen?
Alternativ Kann ich in der FritzBox einstellen, dass aus dem Gastnetz heraus eine einzelne IP-Adresse im internen Netz (nämlich der Cloudkey) erreichbar ist?
Danke im Voraus,
Sarek \\//_
ich komme gerade nicht weiter. Ich möchte den Ubiquiti-Hotspot mit Voucher-Anmeldung in folgender Konstellation nutzen:
Die Unifi-AccessPoints strahlen zwei Netze aus, einmal INTERN und einmal GAST.
Für das wLAN GAST sind die Gastrichtlnien, also vor allem das CaptivePortal aktiviert.
INTERN gehört zum Netzwerk DEFAULT und GAST zum Netzwerk GASTNETZ mit der vLAN-ID 40
Das Netzwerk Default hat den IP-Bereich 10.200.0.0/22 und wird an einem entsprechend konfigurierten Port eines Unifi-Switches auf Port 2 der FritzBox ausgegeben.
Das Netzwerk Default hat den IP-Bereich 192.168.179.0/24 und wird an einem entsprechend konfigurierten Port eines Unifi-Switches auf Port 4 der FritzBox ausgegeben. Auf der FritzBox ist Gastzugang auf LAN4 aktiviert.
Für beide Netzw spielt die FritzBox den DHCP-Server.
Der Unifi-Cloudkey als Controller hängt an einem Port eines Unifi-Switches, der beide vLANs ausgibt.
Wenn ich mich nun mit einem Tablet mit dem wLAN GAST verbinde, zeigt Android korrekt an, dass dafür eine Anmeldung erforderlich ist. Aber er zeigt dann die Captive-Portal-Anmeldeseite nicht an - vermutlich, weil ich durch die Verbindung mit GAST eine IP aus dem Gastnetz (192.168.179.0/24) erhalten habe, der Cloudkey, auf dem das CaptiovePortal gehostet wird, aber eine IP im internen Netz hat (10.200.0.100).
Ich bin sicher, dass es dafür eine Lösung gibt, denn dass das Gastnetz einen anderen IP-Adressbereich hat als das interne Netz ist ja normal. Aber welchen?
Alternativ Kann ich in der FritzBox einstellen, dass aus dem Gastnetz heraus eine einzelne IP-Adresse im internen Netz (nämlich der Cloudkey) erreichbar ist?
Danke im Voraus,
Sarek \\//_
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671619
Url: https://administrator.de/forum/captiveportal-frage-zu-ubiquiti-und-fritzbox-671619.html
Ausgedruckt am: 25.02.2025 um 17:02 Uhr
2 Kommentare
Neuester Kommentar
Moin,
über die Fritz!Box: nein. Das ist ja gerade der Sinn, dass die Fritz!Box das Gastnetz vom übrigen Netz abschirmt und nur Verkehr zum WAN/Internet durchlässt.
Da muss also vorher in der Kette ein Routing stattfinden.
Gruß
DivideByZero
Alternativ Kann ich in der FritzBox einstellen, dass aus dem Gastnetz heraus eine einzelne IP-Adresse im internen Netz (nämlich der Cloudkey) erreichbar ist?
über die Fritz!Box: nein. Das ist ja gerade der Sinn, dass die Fritz!Box das Gastnetz vom übrigen Netz abschirmt und nur Verkehr zum WAN/Internet durchlässt.
Da muss also vorher in der Kette ein Routing stattfinden.
Gruß
DivideByZero
So ein Szenario ist grundsätzlich HIER beschrieben.
Grundlagen zu einem MSSID AP Setup, wie du es betreibst, findest du HIER.
Ein häufiger Fehler der oftmals begangen wird ist der falsche Umgang mit dem Default VLAN 1 an AP und auch am korrespondierenden Switchport.
Der Anschlussport der APs muss im Trunk Mode konfiguriert sein mit dem PVID 1. Sprich also Traffic vom Default VLAN 1 wird dort UNtagged gesendet aber der Gasttraffic dann mit deinem VLAN 40 Tag in deinem Fall.
Das VLAN 1 darf dort nicht oder fälschlicherweise zum PVID 1 zusätzlich getagged sein, was dann sofort zur Fehlfunktion führt.
Achte also auf die korrekte Konfiguration der AP Ports und der dazu korrespondierenden Switchports.
Da die Fritte keinerlei VLAN Support kennt musst du von der natürlich dann 2 separate Patchstrippen vom LAN und LAN 4 Port auf den VLAN Switch legen. Diese Switchports müssen als reine Accessports also UNtagged mit PVID 1 und PVID 40 gesetzt sein für das Default VLAN und das Gastnetz.
Es macht Sinn diese beiden netze mit einem Test PC am Switch vorab zu testen indem man den PC abwechselnd ins VLAN 1 und VLAN 40 steckt und dabei mit ipconfig checkt ob die IP Adressvergabe korrekt ist. Das stellt sicher das beide Netze sauber in ihren dafür vorgesehenen VLANs arbeiten!
Das Gastnetz sollte man keinesfalls auf einem Router oder Firewall mit einem L3 Interface anbinden. Genau DAS will man ja mit Gastnetzen keinesfalls, weil das dann zusätzlichen Aufwand in der Firewall Konfig erzwingt um dieses Netz wasserdicht von den privaten Netzen zu trennen. Fehler im Regelwerk können dann fatale Folgen haben.
Genau deshalb macht es also sehr viel Sinn dieses VLAN 40 Gastnetz lediglich im Layer 2 über die Switchinfrastruktur "durchzuschleifen" und L3technisch ausschliesslich nur auf der Fritte zu terminieren was dann Regeln per se obsolet macht.
So ist das Gastnetz immer wasserdicht vom privaten Netz getrennt.
Grundlagen zu einem MSSID AP Setup, wie du es betreibst, findest du HIER.
Ein häufiger Fehler der oftmals begangen wird ist der falsche Umgang mit dem Default VLAN 1 an AP und auch am korrespondierenden Switchport.
Der Anschlussport der APs muss im Trunk Mode konfiguriert sein mit dem PVID 1. Sprich also Traffic vom Default VLAN 1 wird dort UNtagged gesendet aber der Gasttraffic dann mit deinem VLAN 40 Tag in deinem Fall.
Das VLAN 1 darf dort nicht oder fälschlicherweise zum PVID 1 zusätzlich getagged sein, was dann sofort zur Fehlfunktion führt.
Achte also auf die korrekte Konfiguration der AP Ports und der dazu korrespondierenden Switchports.
Da die Fritte keinerlei VLAN Support kennt musst du von der natürlich dann 2 separate Patchstrippen vom LAN und LAN 4 Port auf den VLAN Switch legen. Diese Switchports müssen als reine Accessports also UNtagged mit PVID 1 und PVID 40 gesetzt sein für das Default VLAN und das Gastnetz.
Es macht Sinn diese beiden netze mit einem Test PC am Switch vorab zu testen indem man den PC abwechselnd ins VLAN 1 und VLAN 40 steckt und dabei mit ipconfig checkt ob die IP Adressvergabe korrekt ist. Das stellt sicher das beide Netze sauber in ihren dafür vorgesehenen VLANs arbeiten!
Das Gastnetz sollte man keinesfalls auf einem Router oder Firewall mit einem L3 Interface anbinden. Genau DAS will man ja mit Gastnetzen keinesfalls, weil das dann zusätzlichen Aufwand in der Firewall Konfig erzwingt um dieses Netz wasserdicht von den privaten Netzen zu trennen. Fehler im Regelwerk können dann fatale Folgen haben.
Genau deshalb macht es also sehr viel Sinn dieses VLAN 40 Gastnetz lediglich im Layer 2 über die Switchinfrastruktur "durchzuschleifen" und L3technisch ausschliesslich nur auf der Fritte zu terminieren was dann Regeln per se obsolet macht.
So ist das Gastnetz immer wasserdicht vom privaten Netz getrennt.
