Gast-WLAN mit Controller-Version 6

Da ich mit dem Gast-Wal unter Controller-Version 5.x doch noch Probleme habe (siehe mein Beitrag vom 23.01.2021 - zwei Clients bekommen keinen Zugang zum Internet), habe ich die aktuelle Controller Version 6.0.45 installiert und habe jetzt ein Verständnis-Problem:

Muss ich zum Betreiben von zwei WLAN-Netzwerken (Firma und Gast) zwei Netzwerke definieren? Wenn ja: Welche Einträge sind für VLAN (ich habe keine VLANs, es wird aber der Eintrag eine VLANs gefordert) und Gateway IP/Gastnetz vorzunehmen?

Hier meine derzeitige Konfiguration:

• Netzwerk 192.168.20.x mit LanCom-Router als Gateway
• DHCP-Server ist ein Microsoft-Server 2016
• Unifi AP nanoHD mit aktueller Firmware
• UniFi Controller 6.0.45 auf Microsoft-Server 2016
• Netzwerk: LAN
  • Verwendung: Unternehmen (ist das richtig oder muss man hier "Gast" wählen?)
  • DHCP-Modus: Keine
  • Gateway/IP: 192.168.1.1/24
  • Domainname: localdoamin
  • Beschränkungen nach der Anmeldung: 192.168.0.0/16 und 172.16.0.0/12 und 10.0.0.0/8 (muss ich hier das Netzwerk 192.168.20.1/24 hinzufügen?)

• Gast-WLAN eingerichtet mit folgenden vom Default abweichenden Einstellungen:

  • "Gastrichtlinien anwenden" enabled

  • Netzwerk: LAN

  • Sperrung von LAN zu WLAN Multicast- und Broadcast-Verkehr: Enabled

    • Ausgenommene Geräte: Mac-Adressen von DHCP-Server und Router (LanCom)

Mein aktuelles Verständnis-Problem ist: Wie richte ich parallel ein Firmen-WLAN ein (siehe oben)?

Vielen Dank - Michael

Ich habe weder eine USG noch eine UDM.

Mein Verständnis bisher war, dass ich auch ohne Ubiquiti-Router und ohne Definition von VLANs zwei WLAN-Netze aufspannen kann (Firma und Gast, beide über das Firmen-Netzwerk) und dass "Gastrichtlinien anwenden" sicherstellt, dass das Gast-WLAN (fast) keinen Zugriff auf das Firmen-Netzwerk hat. Ist dieses Verständnis falsch?

Danke - Michael

Ich habe jetzt die "einfache" Variante getestet:

• WLAN "Gast" definiert:
  • Als LAN das Default-LAN zugeordnet
  • "Gastrichtlinien anwenden" aktiviert
  • Sperrung von LAN zu WLAN Multicast- und Broadcast-Verkehr: Deaktiviert
  • DHCP-Einstellung: Kein DHCP

Funktioniert auf Anhieb (in meiner Testumgebung) und aus dem Gast-WLAN kann ich das Firmen-LAN auch nicht erreichen (was aus Sicherheitsgründen genauso gewollt ist). Jetzt muss ich das nur in der Produktion testen (dort hatte ich mit der Controller-Version 5 Probleme mit einem iPad und einem alten Lenovo-Laptop: Keine Verbindung zum Internet, weil die beiden Geräte keine interne IP-Adresse und kein Gateway erhalten haben).

Das scheint der LANCOM zu machen. Ich bekomme im Gast-WLAN eine IP-Adresse aus dem Firmen-LAN-Bereich, kann aber - so wie es sein soll - nicht auf die Ressourcen des Firmen-LAN zugreifen (meinem Verständnis nach ist das "Client Isolation"), habe aber einen Internet-Zugang.

Auf dem Win-Server ist kein DHCP-Server aktiviert (nach meinem Verständnis darf es in einem Netz nur einen DHCP-Server geben).

Einen eigenen IP-Bereich bekomme ich m.E. nur über VLANs hin, und das wollte ich mir ersparen. Das Lease-Thema ist zum Glück bei mir keines (1 AP mit max. 8 Nutzern).

Sorry, das war falsch: DHCP macht der Win-Server, und der LanCom macht keins.

Sauberer mit VLANs: Gebe ich Dir recht, aber ich kann nach meinen Tests keine Sicherheitslücken bei "meiner" Lösung entdecken.

Und um die Wahrheit zu gestehen: Ich bin mit LanCom nicht so vertraut, dass ich Gast-LAN und VLAN so im Griff habe, dass ich das in 30 Minuten realisiert habe.