6
Sicherer Gastnetz- Zugang mit Ubiquiti Unifi APs
Hallo Admins,
ich betreibe ein Accesspoint- Netz aus 6 Ubiquiti Unifi Accesspoints auf 3 Gebäude verteilt.
Weiter ist ein LAN vorhanden dessen Backbone aus 4 gestackten HP 2920-48G besteht. (2 weitere in den Nebengebäuden)
Und es gibt 3 DSL Anschlüsse. Einer ist mit einem anderen Subnetz verbunden.
Nun betreibe ich mit den Unifi APs auch einen WLAN Gastzugang, welchen ich über den Unifi Controller eingerichtet habe. (Für Gäste und eigene Devices der Kollegen)
Allerdings bedienen sich die WLAN Gäste auch von meinem Domain- DHCP Server und stehen somit im selben Subnetz wie auch mein Produktivnetz.
Natürlich betreibe ich keine Hochsicherheitsfirma und das Gast Netz ist ja genau wie das Firmen WLAN verschlüsselt, dennoch würde ich gerne eine möglichst gute Trennung der beiden Netzen erreichen.
Mit der App Network Utility von First Row kann ich vom Gast Netz aus alle Rechner mit IP und Herstellerdaten sehen. Das geht mir nun schon etwas zu weit und deswegen bitte ich hier um Hilfe.
Zu meiner Frage:
Wie kann ich mit der vorhandene Hardware erreichen oder was bräuchte ich noch an Hardware, damit Gast Netz und Produktivnetz möglichst gut von einander getrennt sind. (vLAN?)
Optimal wäre es, wenn ich getrennte Subnetze, DHCP Server und DSL Anschlüsse verwenden könnte. Ich würde die Gebäude ja auch mit 6 weiteren APs ausstatten aber leider wäre der Aufwand sehr groß die benötigte Infrastruktur zu schaffen.
Kann mir Jemand helfen, Licht ins Dunkel zu bringen?
Danke
Gruß
Enrique
ich betreibe ein Accesspoint- Netz aus 6 Ubiquiti Unifi Accesspoints auf 3 Gebäude verteilt.
Weiter ist ein LAN vorhanden dessen Backbone aus 4 gestackten HP 2920-48G besteht. (2 weitere in den Nebengebäuden)
Und es gibt 3 DSL Anschlüsse. Einer ist mit einem anderen Subnetz verbunden.
Nun betreibe ich mit den Unifi APs auch einen WLAN Gastzugang, welchen ich über den Unifi Controller eingerichtet habe. (Für Gäste und eigene Devices der Kollegen)
Allerdings bedienen sich die WLAN Gäste auch von meinem Domain- DHCP Server und stehen somit im selben Subnetz wie auch mein Produktivnetz.
Natürlich betreibe ich keine Hochsicherheitsfirma und das Gast Netz ist ja genau wie das Firmen WLAN verschlüsselt, dennoch würde ich gerne eine möglichst gute Trennung der beiden Netzen erreichen.
Mit der App Network Utility von First Row kann ich vom Gast Netz aus alle Rechner mit IP und Herstellerdaten sehen. Das geht mir nun schon etwas zu weit und deswegen bitte ich hier um Hilfe.
Zu meiner Frage:
Wie kann ich mit der vorhandene Hardware erreichen oder was bräuchte ich noch an Hardware, damit Gast Netz und Produktivnetz möglichst gut von einander getrennt sind. (vLAN?)
Optimal wäre es, wenn ich getrennte Subnetze, DHCP Server und DSL Anschlüsse verwenden könnte. Ich würde die Gebäude ja auch mit 6 weiteren APs ausstatten aber leider wäre der Aufwand sehr groß die benötigte Infrastruktur zu schaffen.
Kann mir Jemand helfen, Licht ins Dunkel zu bringen?
Danke
Gruß
Enrique
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 364629
Url: https://administrator.de/contentid/364629
Ausgedruckt am: 24.11.2024 um 12:11 Uhr
6 Kommentare
Neuester Kommentar
Moin,
kurzform (die techn. Umsetzung lässt sich sicherlich via Handbuch/ der Forensuche hier umsetzen):
In SUmme hast du nur die einfache Menge an APs, kannst aber "x-Beleibig" viele SSIDs aufspannen.
Schaue mal noch, ob/ wie der Ubiquity-Controler agiert, bei Cisco kann man den Traffic der APs direkt am Switch ausbrechen lassen oder aber der Traffic wird über einen Tunnel bis zum Controller geleitet und vort dann auf die einzelnen VLANs "losgelassen". Kenne mich mit den Ubiquity-Dingern nicht aus...
Gruß
em-pie
kurzform (die techn. Umsetzung lässt sich sicherlich via Handbuch/ der Forensuche hier umsetzen):
- ein (weiteres) VLAN aufspannen, meinetwegen VLAN 1 für das interne, VLAN 100 für das Gäste Netz
- an allen Switchen untereinander das VLAN 100 auf tagged setzen
- die APs bzw. die SSIDs ebenfalls den VLANs zuordnen.
- die Switchports, an denen die APs angeschlossen sind, erhalten ein untagged VLAN1 UND ein tagged VLAN 100
- Ab hier zwei Varianten:
- 1: Du richtest an einem Switch (Core) das Routing ein, setzt passende ACLs und aktivierts den DHCP-Helper, sodass anfragen für DHCP aus dem VLAN 100 an deinen DHCP-Server weitergeleitet werden
- 2: du nutzt von einem der drei DSL-Router den integrierten DHCP-Server, setzt diesen untagged in das VLAN 100 und der verteilt dann IPs, DNS sowie Default-Gateway-Daten an deine Gäste Clients
In SUmme hast du nur die einfache Menge an APs, kannst aber "x-Beleibig" viele SSIDs aufspannen.
Schaue mal noch, ob/ wie der Ubiquity-Controler agiert, bei Cisco kann man den Traffic der APs direkt am Switch ausbrechen lassen oder aber der Traffic wird über einen Tunnel bis zum Controller geleitet und vort dann auf die einzelnen VLANs "losgelassen". Kenne mich mit den Ubiquity-Dingern nicht aus...
Gruß
em-pie
Wie man ein sicheres Gastnetz mit automatischen Vouchers usw. einrichtet unabhängig von Hersteller Funktionen erklärt dir dieses Praxis Tutorial im Detail:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Oder hier via einer VLAN Lösung mit MSSID fähigen Accesspoints:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Oder hier via einer VLAN Lösung mit MSSID fähigen Accesspoints:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
bei Cisco kann man den Traffic der APs direkt am Switch ausbrechen lassen
Jeder andere Hersteller lässt das auch zu weil die Tunnel Option wenig skalierbar und Performance bremsend ist.
Hallo em-pie,
vielen Dank für die schnelle Antwort und den kurzen Umriss.
Ich denke, daraus lässt sich was machen.
Ich lasse Dich / Euch wissen, wenn es fertig ist.
Gruß
Enrique
vielen Dank für die schnelle Antwort und den kurzen Umriss.
Ich denke, daraus lässt sich was machen.
Ich lasse Dich / Euch wissen, wenn es fertig ist.
Gruß
Enrique
Hallo Aqui,
auch Dir vielen Dank für die Links. Ich schaue es mir gleich mal an.
Gruß
Enrique
auch Dir vielen Dank für die Links. Ich schaue es mir gleich mal an.
Gruß
Enrique
Hallo em-pie,
es hat jetzt etwas gedauert, weil ich nun doch einige Änderungen in unserem Netz durchführen musste, um im Prinzip Deine Lösung umzusetzen.
Ich habe mir dazu allerdings einen Ubiquiti Switch (PoE+) gekauft (Modell US16-150W) gekauft, damit ich keine Änderungen in meinem Switchstack machen muss. Mit dem vLAN fähigen Ubiquiti Switch breche ich dann den Netzverkehr auf (Gastnetz ist vLAN100) und leite den Gastnetzverkehr somit auf einen Router, welcher an einem gesonderten DSL Anschluss hängt und meine Gäste mit IP Adressen versorgt (DHCP).
Somit habe ich eine saubere Trennung beider Netze und keinerlei Übersprechen mehr.
Vielen Dank für die Anregung. Das war genau das was ich gesucht hatte.
Gruß
Enrique
es hat jetzt etwas gedauert, weil ich nun doch einige Änderungen in unserem Netz durchführen musste, um im Prinzip Deine Lösung umzusetzen.
Ich habe mir dazu allerdings einen Ubiquiti Switch (PoE+) gekauft (Modell US16-150W) gekauft, damit ich keine Änderungen in meinem Switchstack machen muss. Mit dem vLAN fähigen Ubiquiti Switch breche ich dann den Netzverkehr auf (Gastnetz ist vLAN100) und leite den Gastnetzverkehr somit auf einen Router, welcher an einem gesonderten DSL Anschluss hängt und meine Gäste mit IP Adressen versorgt (DHCP).
Somit habe ich eine saubere Trennung beider Netze und keinerlei Übersprechen mehr.
Vielen Dank für die Anregung. Das war genau das was ich gesucht hatte.
Gruß
Enrique
Top.
Danke für dein Feedback
Danke für dein Feedback
