12
Getrenntes Gäste WLan mit L3 Switch
Hallo,
ich habe zurzeit ein Problem bzw weiß ich nicht genau wie ich es angehen soll.
Ich habe 4 Ubiquiti Unifi AP AC Lite Acces Points. Diese strahlen neben dem normalen WLan Netz noch ein Gastnetz aus. Momentan ist es so, das die Client alle im selben Netz landen und externe (fremde) Personen meine Systeme erreichen könnten.
Ich habe als Switch einen TL-SG108E von TP-Link und als Router einen Speedport Hybrid.
Den einzelnen WLan´s kann ich VLAN-ID´s zuordnen.
Wie richte ich es am besten ein, dass das Gäste WLan komplett abgeschottet ist und nur ins Internet kommen? Ich hoffe dafür reicht meine Hardware aus denn eig will ich nicht nochmal Hardware dazukaufen.
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Diesen Artikel habe ich schon gelesen nur leider habe ich keine seperate Firewall sondern nur den Switch den Router und die AP´s.
Ich hoffe ihr könnt mir helfen.
MFG
ich habe zurzeit ein Problem bzw weiß ich nicht genau wie ich es angehen soll.
Ich habe 4 Ubiquiti Unifi AP AC Lite Acces Points. Diese strahlen neben dem normalen WLan Netz noch ein Gastnetz aus. Momentan ist es so, das die Client alle im selben Netz landen und externe (fremde) Personen meine Systeme erreichen könnten.
Ich habe als Switch einen TL-SG108E von TP-Link und als Router einen Speedport Hybrid.
Den einzelnen WLan´s kann ich VLAN-ID´s zuordnen.
Wie richte ich es am besten ein, dass das Gäste WLan komplett abgeschottet ist und nur ins Internet kommen? Ich hoffe dafür reicht meine Hardware aus denn eig will ich nicht nochmal Hardware dazukaufen.
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Diesen Artikel habe ich schon gelesen nur leider habe ich keine seperate Firewall sondern nur den Switch den Router und die AP´s.
Ich hoffe ihr könnt mir helfen.
MFG
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 315246
Url: https://administrator.de/contentid/315246
Ausgedruckt am: 22.11.2024 um 07:11 Uhr
12 Kommentare
Neuester Kommentar
Moin,
schon mal über die Gasnetz Funktion Deiner APs nachgedacht und die Anleitung gelesen? Oder hier: UniFi – WiFi Management System
Unterstützt Dein Router ein separiertes Gastnetz? Dann geht es, habe nur keine Lust mich Durch die Anleitung die dann u. U. nicht mehr zu der bei Dir laufenden Firmware passt zu lesen.
-teddy
schon mal über die Gasnetz Funktion Deiner APs nachgedacht und die Anleitung gelesen? Oder hier: UniFi – WiFi Management System
Unterstützt Dein Router ein separiertes Gastnetz? Dann geht es, habe nur keine Lust mich Durch die Anleitung die dann u. U. nicht mehr zu der bei Dir laufenden Firmware passt zu lesen.
-teddy
Die Gäste WLan Funktion ist schon aktiv und stellt das Gästeportal und alles. Nur mein Router unterstützt keinen seperaten LAN Port als extra Gast Lan sonst wüsste ichs wie ichs mach.
Die AP´s unterstützen aber diese Funktion nicht, ein eigenes Netz für Gäste mit Internetzugang bereitzustellen.
Die AP´s unterstützen aber diese Funktion nicht, ein eigenes Netz für Gäste mit Internetzugang bereitzustellen.
Moin,
habe hier die aktuelle beta 5.2.5 als Controller am laufen und der unterstützt das sehr wohl, welche Version läuft bei Dir?
habe hier die aktuelle beta 5.2.5 als Controller am laufen und der unterstützt das sehr wohl, welche Version läuft bei Dir?
Ich habe 5.1 stable. Ich kann zwar die Gäste in ein eigenes Netz werfen lassen nur dann:
1. Vergibt ihnen mein DHCP Server trotzdem eine Adresse aus meinem normalen Netz
2. Die Clients haben ja dann keinen Internetzugriff.
Im Anhang sind zwei Screenshots von der jetzigen Config. Und egal in welches ich joine, ich bekomme immer eine normale IP aus der DHCP Range von meinem Hauptnetz .2.0/24 und kann alles anpingen und machen wie ich will.
1. Vergibt ihnen mein DHCP Server trotzdem eine Adresse aus meinem normalen Netz
2. Die Clients haben ja dann keinen Internetzugriff.
Im Anhang sind zwei Screenshots von der jetzigen Config. Und egal in welches ich joine, ich bekomme immer eine normale IP aus der DHCP Range von meinem Hauptnetz .2.0/24 und kann alles anpingen und machen wie ich will.
Und noch eine ganz blöde Frage. Wie wichtig ist der Punkt "Networks" ? Weil ich da von Anfang an nichts geändert habe und die Daten zu meinem Netzwerk nicht stimmen und trz alles funktioniert.
Hallo,
Sicher, dass dein Switch ein L3 ist?
Falls ja, dann regelst du das einfach über ACLs am Switch.
Falls nein:
ich kenne die Unifi APs nicht aber ich kann mir nicht vorstellen, dass du ohne einen Router oder eine Firewall die mit VLANs umgehen kann dein Ziel bewerkstelligen kannst.
Mit einem 35€ Mikrotik allerdings kein Problem wenn du dich ein Bisschen damit auseinander setzt.
Gruß
Sicher, dass dein Switch ein L3 ist?
Falls ja, dann regelst du das einfach über ACLs am Switch.
Falls nein:
ich kenne die Unifi APs nicht aber ich kann mir nicht vorstellen, dass du ohne einen Router oder eine Firewall die mit VLANs umgehen kann dein Ziel bewerkstelligen kannst.
Mit einem 35€ Mikrotik allerdings kein Problem wenn du dich ein Bisschen damit auseinander setzt.
Gruß
Moin,
dein Switch ist kein L3 Gerät und der Speedport kann keine statischen Routen oder VLANs. Das sind grundsätzlich erstmal schlechte Voraussetzungen und ohne neue Hardware wird das nichts.
Dir bleibt deshalb nichts anderes übrig als einen kleinen Router (z.B. Mikrotik) zu holen und diesen zwischen Switch und Speedport zu klemmen. Dann musst du leider sowohl das Gastnetz als auch dein internes Netz per NAT hinter dem Mikrotik verstecken da der Speedport wie gesagt keine statischen Routen kann.
In dieser Konstellation kann es dann sein, dass du ein 3-faches NAT hast (LTE-CG-NAT, Speedport, Mikrotik).
Nicht optimal, sollte aber funktionieren.
VG
Val
dein Switch ist kein L3 Gerät und der Speedport kann keine statischen Routen oder VLANs. Das sind grundsätzlich erstmal schlechte Voraussetzungen und ohne neue Hardware wird das nichts.
Dir bleibt deshalb nichts anderes übrig als einen kleinen Router (z.B. Mikrotik) zu holen und diesen zwischen Switch und Speedport zu klemmen. Dann musst du leider sowohl das Gastnetz als auch dein internes Netz per NAT hinter dem Mikrotik verstecken da der Speedport wie gesagt keine statischen Routen kann.
In dieser Konstellation kann es dann sein, dass du ein 3-faches NAT hast (LTE-CG-NAT, Speedport, Mikrotik).
Nicht optimal, sollte aber funktionieren.
VG
Val
Ubiquiti sperrt einfach den Zugriff auf das interne LAN außer dem Standardgateway, somit kommst Du raus aber nicht auf Geräte im LAN siehe auch mein Link, dort nach "Public-WiFi" suchen.
Habe das mal kurz für mein Netz aktiviert und ausprobiert.
-teddy
Habe das mal kurz für mein Netz aktiviert und ausprobiert.
-teddy
Das funktioniert bei mir nicht so wirklich. Die Frage ist auch wer den Clients Adressen gibt, weil in dem Subnet ja kein DHCP existiert.
nur leider habe ich keine seperate Firewall sondern nur den Switch den Router und die AP´s.
Dann kannst du dein Konzept eines sicheren Gäste WLANs unmöglich umsetzen. Das ist dann technisch unmöglich.Du brauchst ja wenigstens einen Router mit einem kleinen Captive Portal für die Gäste.
Dafür reicht dir auch ein 35 Euro Mikrotik RB750 oder ein hexLite:
http://www.mikrotik.com.my/hotspot-server-with-captive-portal-and-walle ...
https://www.youtube.com/watch?v=dfVNQZaCupw
usw.
Wie man das dann in ein ESSID / VLAN Konzept strikt ist hier zu sehen.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Kapitel: "Praxisbeispiel" !
Ok danke für eure Antworten. Ich hätte vielleicht einfach mal darüber nachdenken sollen.
Bei den Guest Options gibt es einen Punkt in dem man ein oder mehrer Netze/Subnetze eintragen kann auf die, die Gäste keinen Zugriffen haben und das funktioniert perfekt.
Bei den Guest Options gibt es einen Punkt in dem man ein oder mehrer Netze/Subnetze eintragen kann auf die, die Gäste keinen Zugriffen haben und das funktioniert perfekt.
wo genau hast du das eingestellt ?
