Frage zur Gaststeuerung

Willkommen im neuen Forum!
Wir freuen uns, euch hier begrüßen zu dürfen! Uns ist bewusst, dass viele Funktionen noch nicht vollständig verfügbar sind und dass es hier und da einige Fehler gibt. Seid versichert, dass wir daran arbeiten, diese Probleme nach und nach zu beheben.
Euer Feedback ist uns wichtig, also zögert nicht, uns eure Anmerkungen und Vorschläge mitzuteilen. Vielen Dank für eure Geduld und euer Verständnis!
Viel Spaß im Forum!

Feedback Thread
Changelog Thread
Design Feedback Thread

    Hallo in die Runde,

    ich hoffe, ich bin mit meinem Thema in diesem Bereich richtig:

    ich bräuchte mal eine Hilfestellung zur Konfiguration der Gaststeuerung.

    Die Umgebung habe ich mal graphisch dargestellt:

    Erläuterung:

    • Die Unifi-AccessPoints strahlen zwei Netze aus, einmal INTERN und einmal GAST. INTERN gehört zum Netzwerk DEFAULT und GAST zum Netzwerk GASTNETZ mit der vLAN-ID 40
    • Das Netzwerk Default hat den IP-Bereich 10.200.0.0/22 und wird an einem entsprechend konfigurierten Port eines Unifi-Switches auf Port 2 der FritzBox ausgegeben.
    • Das Netzwerk Default hat den IP-Bereich 192.168.179.0/24 und wird an einem entsprechend konfigurierten Port eines Unifi-Switches auf Port 4 der FritzBox ausgegeben.
    • Auf der FritzBox ist Gastzugang auf LAN4 aktiviert (Netztrennung).
    • Für beide Netze spielt die FritzBox den DHCP-Server.
    • Der Unifi-Cloudkey als Controller hängt an einem Port eines Unifi-Switches, der beide vLANs durchlässt.

    Solange GAST ein normales, WPA2-verschlüsseltes wLAN ist, funktioniert alles so wie es soll! Das Ziel ist aber, das wLAN GAST über die Gaststeuerung zu regeln - also den Zugriff mit Voucher-Codes zu steuern. Sobald ich aber die Gaststeuerung für dieses wLAN aktiviere, ist es nicht mehr nutzbar. Wenn ich mich nun mit einem Tablet mit dem wLAN GAST verbinde, zeigt Android korrekt an, dass dafür eine Anmeldung erforderlich ist. Aber er zeigt dann die Anmeldeseite des Captive Portal nicht an.

    Das Problem ist meines Erachtens der Zugriff auf den CloudKey (IP-Adresse aus dem internen Netz) vom Gastnetz aus. Da findet offenbar kein Routing statt, so dass die Clients im Gast-wLAN den CloudKey, der ja die Captive-Portal-Begrüßungsseite ausliefert, nicht erreichen. angezeigt wird.

    Gibt es irgendwo im Controller eine Möglichkeit, da ein Routing zu aktivieren, so dass der CloudKey aus dem Gastnetz erreicht wird? Oder braucht man da weitere Hardware (z.B. das Security-Gateway)?


    Danke im Voraus,

    Andreas

    Moin ZdLM

    Ich weis das die UCK (EOL) ziemlich kastriert ist und denke das sie dein Vorhaben nicht unsterstützt. Nebst deiner USW würde isch eine UCG oder UDM-SE eine gute Figur machen wenn du Protect behalten möchtest

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.

    LG

    ⢀⣴⠾⠻⢶⣦⠀ Debian - The universal operating system user
    ⣾⠁⢠⠒⠀⣿⡁ https://www.debian.org
    ⢿⡄⠘⠷⠚⠋⠀
    ⠈⠳⣄⠀

    :right_arrow: Dumme Gedanken hat jeder, nur der Weise verschweigt sie. (Wilhelm Busch) :left_arrow:

    🔗 ISP

    :small_orange_diamond:Free SAS (Proxad) 2x 10GigaBit/s FTTH

    🔗 UniFi OS Console

    :small_orange_diamond:Dream-Machine-Special-Edition

    🔗 Switching

    :small_orange_diamond:3x USW-Lite-8-PoE-EU

    🔗 Wi-Fi

    :small_orange_diamond:2x U6-Pro

    :small_orange_diamond:9x UAP-AC-PRO-EU

    🔗 Protect

    :small_orange_diamond:7x UVC-G4-INS-EU

    :small_orange_diamond:1x UVC-G5-Flex Early Access

    Quote from ꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂

    Ich weis das die UCK (EOL) ziemlich kastriert ist und denke das sie dein Vorhaben nicht unsterstützt. Nebst deiner USW würde isch eine UCG oder UDM-SE eine gute Figur machen wenn du Protect behalten möchtest

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.

    Wenn ich "Protect behalten möchte"??

    Ein altes UCG habe ich noch herumliegen, habe ich aber nie benutzt. Wie kann das UCG mir helfen, die Gaststeuerung erreichbar zu machen?

    Naja wie soll ich es geklären, die UCK ist ja nicht wirklich ein Gateway und gehört zur Protect Serie. Sie besitzt nen Teil der Network App. Spezielles Routing, VPN ist jedoch nicht möglich. Schliess mal dein UCG an und update das mal. Dann musst du ja das Captive-Portal einrichten und er setzt dir dann auch die richtige route.

    ⢀⣴⠾⠻⢶⣦⠀ Debian - The universal operating system user
    ⣾⠁⢠⠒⠀⣿⡁ https://www.debian.org
    ⢿⡄⠘⠷⠚⠋⠀
    ⠈⠳⣄⠀

    :right_arrow: Dumme Gedanken hat jeder, nur der Weise verschweigt sie. (Wilhelm Busch) :left_arrow:

    🔗 ISP

    :small_orange_diamond:Free SAS (Proxad) 2x 10GigaBit/s FTTH

    🔗 UniFi OS Console

    :small_orange_diamond:Dream-Machine-Special-Edition

    🔗 Switching

    :small_orange_diamond:3x USW-Lite-8-PoE-EU

    🔗 Wi-Fi

    :small_orange_diamond:2x U6-Pro

    :small_orange_diamond:9x UAP-AC-PRO-EU

    🔗 Protect

    :small_orange_diamond:7x UVC-G4-INS-EU

    :small_orange_diamond:1x UVC-G5-Flex Early Access

    Quote from ꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂

    Naja wie soll ich es geklären, die UCK ist ja nicht wirklich ein Gateway und gehört zur Protect Serie. Sie besitzt nen Teil der Network App. Spezielles Routing, VPN ist jedoch nicht möglich. Schliess mal dein UCG an und update das mal. Dann musst du ja das Captive-Portal einrichten und er setzt dir dann auch die richtige route.


    Momentan wüsste ich nicht mal, was ich wo anschließen müsste, die Beschriftung der Anschlüsse ist nicht selbsterklärend - zumal LAN2/WAN2 ein einziger Port sind. Letztlich ist mein Ziel, dass das Gastnetz und das interne LAN sich nicht vermischen - außer eben, dass der CloudKey aus dem Gastnetz erreichbar sein muss, um die CaptivePortal-Startseite mit der Vouchereingabe anzuzeigen. Und die Schnittstelle zum Internet und DHCP zumindest für das interne Netz müssen aus verschiedenen Gründen jenseits der Gastnetz-Konfiguration weiter über die FritzBox laufen, da die hält mehrere VPN-Verbindungen, die auf die Telephonanlage zugreifen müssen.

    Falls nun bei dem Szenario jemand fragt, warum ich oben "privat" angegeben habe: Es geht um eine Kirchengemeinde, da weigere ich mich, das als "gewerblich" zu bezeichnen ...

    CK ist ja eigendlich nur für Unifi Product Devices gedach, welches das feature Netzwerkverwaltung beeinhaltet. Wie schon beschrieben, wenn's aber tiefer in's Routing geht, ist die UCK halt am Limit. Meines erachtens liegt es daran, das VLAN nicht korrekt konfiguriert ist. Parallel schwirrt hier im Forum ein thread rum (hab schon gesucht, finde ihn nicht mehr!) wo DoPe oder Networker das sehr gut beschrieben hat. Deshalb Ansatz von meiner Seite, FB raus und UCG rein.

    LG

    ⢀⣴⠾⠻⢶⣦⠀ Debian - The universal operating system user
    ⣾⠁⢠⠒⠀⣿⡁ https://www.debian.org
    ⢿⡄⠘⠷⠚⠋⠀
    ⠈⠳⣄⠀

    :right_arrow: Dumme Gedanken hat jeder, nur der Weise verschweigt sie. (Wilhelm Busch) :left_arrow:

    🔗 ISP

    :small_orange_diamond:Free SAS (Proxad) 2x 10GigaBit/s FTTH

    🔗 UniFi OS Console

    :small_orange_diamond:Dream-Machine-Special-Edition

    🔗 Switching

    :small_orange_diamond:3x USW-Lite-8-PoE-EU

    🔗 Wi-Fi

    :small_orange_diamond:2x U6-Pro

    :small_orange_diamond:9x UAP-AC-PRO-EU

    🔗 Protect

    :small_orange_diamond:7x UVC-G4-INS-EU

    :small_orange_diamond:1x UVC-G5-Flex Early Access

    Quote from Wolke68

    Wenn Du keinen Controller hast der Dauerhaft läuft funktioniert das nicht. Das Captive Protal läuft auf dem Controller dieser muss dauerhaft für das Captive Portal laufen


    Haben wir ja (den Cloudkey). Die Frage war ja eher dessen Erreichbarkeit aus dem Gast-wLAN


    Quote from ꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂

    CK ist ja eigendlich nur für Unifi Product Devices gedach, welches das feature Netzwerkverwaltung beeinhaltet. Wie schon beschrieben, wenn's aber tiefer in's Routing geht, ist die UCK halt am Limit. Meines erachtens liegt es daran, das VLAN nicht korrekt konfiguriert ist. Parallel schwirrt hier im Forum ein thread rum (hab schon gesucht, finde ihn nicht mehr!) wo DoPe oder Networker das sehr gut beschrieben hat. Deshalb Ansatz von meiner Seite, FB raus und UCG rein.

    Rausnehmen kann ich die FrtizBox nicht, da diese FritzBox über VPN mit mehreren anderen FritzBoxen in Kontakt ist. Darüber sind die Gemeindebüros mit der zentralen Telephonanlage am Hauptstandort der Pfarrei verbunden. Aber ich könnte das USG zwischen FrtzBox und Switch hängen.

    Aber wie gesagt: Ich finde nirgends eine (deutschsprachige) Anleitung was dieses USG kann und wie es einzurichten ist.

    Die Fritte würde/dürfte dann aber nicht mehr als Gateway fungieren, die müsstest du in sogg. Bridge Mode versetzen. Sry kenne den anderen Mode nicht, bin mit Fr!tzbox auf Kriegsfuss. Kann aber auch sein, dass das USG einfach nur noch Out ² Date ist. Von von anfang an eine UDM-SE. Hier können dir aber bestimmt andere helfen.

    ⢀⣴⠾⠻⢶⣦⠀ Debian - The universal operating system user
    ⣾⠁⢠⠒⠀⣿⡁ https://www.debian.org
    ⢿⡄⠘⠷⠚⠋⠀
    ⠈⠳⣄⠀

    :right_arrow: Dumme Gedanken hat jeder, nur der Weise verschweigt sie. (Wilhelm Busch) :left_arrow:

    🔗 ISP

    :small_orange_diamond:Free SAS (Proxad) 2x 10GigaBit/s FTTH

    🔗 UniFi OS Console

    :small_orange_diamond:Dream-Machine-Special-Edition

    🔗 Switching

    :small_orange_diamond:3x USW-Lite-8-PoE-EU

    🔗 Wi-Fi

    :small_orange_diamond:2x U6-Pro

    :small_orange_diamond:9x UAP-AC-PRO-EU

    🔗 Protect

    :small_orange_diamond:7x UVC-G4-INS-EU

    :small_orange_diamond:1x UVC-G5-Flex Early Access

    Also ich hab hier den Überblick verloren um was für Hardware es geht... in jedem zweiten Post wird ein anderes Gerät erwähnt ...

    Die Idee ein Gatway zwischen Fritte und Switch zu stecken, mag gehen. ABER Ich lese da was von AVM VPNs und Telefonie ... das würde ich aber dreimal checken bevor plötzlich nix mehr geht.

    Durch einen zusätzlichen IP Bereich und ggf. dem verschieben von Netzen hinter ein zusätzliches Gateway benötigt sicherlich statische Routen u.ä.

    Quote

    Die Idee ein Gatway zwischen Fritte und Switch zu stecken, mag gehen. ABER Ich lese da was von AVM VPNs und Telefonie ...

    Richtig, daher ist es definitiv nicht möglich, die FritzBox ind en BridgeMode zu bringen!


    Quote

    Durch einen zusätzlichen IP Bereich und ggf. dem verschieben von Netzen hinter ein zusätzliches Gateway benötigt sicherlich statische Routen u.ä.

    Frage: Gibt es ein Gerät von Ubiquiti (damit es vom Controller mit programmiert wird), das ich in meiner Konstellation (siehe Graphik im Eingangspost) einbauen kann, welches dieses Routing kann? Jetzt mal außer dem USG, dass hier ja offenbar nicht verwendbar ist.

    Oder muss ich da einen Mikrotik mit reinhängen, der das Routing zwischen den beiden Netzen übernimmt? Würde ich ungern tun, weil der dann eben extra programmiert werden müsste ...

    Quote from ZdLM

    Frage: Gibt es ein Gerät von Ubiquiti (damit es vom Controller mit programmiert wird), das ich in meiner Konstellation (siehe Graphik im Eingangspost) einbauen kann, welches dieses Routing kann? Jetzt mal außer dem USG, dass hier ja offenbar nicht verwendbar ist.

    Dein USG würde diesen Job schon machen können. Da es aber EOL ist, würde ich neue Strukturen darauf nicht mehr unbedingt aufbauen.

    Was Du suchst wäre z.B. das UXG-Lite, damit würdest Du Dir dann sozusagen ein Unifi-Netzwerk hinter der Fritzbox aufbauen.

    Falls Du den CloudKey nur als Controller nutzt, kannst Du auch ein UCG-Ultra kaufen. Das ist nochmal günstiger und hat den Controller direkt eingebaut, der CloudKey könnte also wegfallen.

    Allerdings: Wenn es bei Euren VPN-Verbindungen um mehr als nur Telefonie geht, musst Du genau prüfen, ob diese Umstellungen für Euch funktionieren, da dann die Fritzbox bei Dir ja nicht mehr der einzige Router im Netzwerk ist.

    Quote from Networker

    Falls Du den CloudKey nur als Controller nutzt, kannst Du auch ein UCG-Ultra kaufen. Das ist nochmal günstiger und hat den Controller direkt eingebaut, der CloudKey könnte also wegfallen.


    Das klingt gerade spannend, weil dann der Controller ja in jedem Fall erreichbar wäre.


    Quote

    Allerdings: Wenn es bei Euren VPN-Verbindungen um mehr als nur Telefonie geht, musst Du genau prüfen, ob diese Umstellungen für Euch funktionieren, da dann die Fritzbox bei Dir ja nicht mehr der einzige Router im Netzwerk ist.

    Das ist natürlich das Problem dabei. Die FritzBox ist die Brücke zu den Gemeindebüros - gleichzeitig brauchen die per VPN eingehenden Verbindungen Zugriff auf das interne Netz. Zwei Router für ein Netz ist in der Tat schwierig .. es sei denn das UCG würde kein Standardgateway sein, sondern ausschließlich Anfragen aus dem Gastnetz zum Controller routen.

    DAS bringt mich allerdings auf einen andern Gedanken: Der CloudKey ist ja nun wrklich uralt. Gibt es inzwischen andere Unifi-Geräte, auf denen der Controller läuft, die das Problem besser lösen? Geräte, die vielleicht nativ in beiden Netzen, im Default-LAN und im Gast-LAN sind, so dass das CaptivePortal vielleicht auch mit einer IP-Adresse des Gastnetzes ansprechbar ist?

    Quote from ZdLM

    DAS bringt mich allerdings auf einen andern Gedanken: Der CloudKey ist ja nun wrklich uralt. Gibt es inzwischen andere Unifi-Geräte, auf denen der Controller läuft, die das Problem besser lösen? Geräte, die vielleicht nativ in beiden Netzen, im Default-LAN und im Gast-LAN sind, so dass das CaptivePortal vielleicht auch mit einer IP-Adresse des Gastnetzes ansprechbar ist?

    Den Controller kannst Du Dir als kostenlose Software ("Unifi Network Server") für alle möglichen Betriebsystem herunterladen. Wenn Du ihn auf einem PC mit zwei Netzwerkkarten (bzw. VLAN-Konfiguration) oder einem NAS laufen lässt, wäre es theoretisch in beiden Netzen erreichbar. Theoretisch deshalb, weil ich nicht weiß, inwieweit die Software dies unterstützt. Aber da sie nichts kostet, kannst Du ja damit ohne Reue rumexperimentieren.

    Quote from Networker

    Den Controller kannst Du Dir als kostenlose Software ("Unifi Network Server") für alle möglichen Betriebsystem herunterladen. Wenn Du ihn auf einem PC mit zwei Netzwerkkarten (bzw. VLAN-Konfiguration) oder einem NAS laufen lässt, wäre es theoretisch in beiden Netzen erreichbar. Theoretisch deshalb, weil ich nicht weiß, inwieweit die Software dies unterstützt. Aber da sie nichts kostet, kannst Du ja damit ohne Reue rumexperimentieren.

    Mir kam da noch eine andere Idee, aber ich weiß nicht, ob sie umsetzbar ist. Bei Deinem Usernamen vermute ich aber, dass Du Dich mit Routing und vielleicht auch mit Mikrotik auskennst. Meine Idee wäre diese:

    • Die Gastnetz-Kommunikation (rote Linie) kommt auf Port 3 des Mikrotik an.
    • Die Pakete für den Controller (also die Anfrage nach dem CaptivePortal) - und nur die - werden in das interne Netz (blaue Linie) geroutet, so dass sie den CloudKey erreichen können.
    • Alle anderen Pakete für das interne Netz werden nicht geroutet.
    • Datenpakete für das Internet werden an das Gastnetz der FritzBox (grüne Linie) geroutet.

    Die Frage ist eben,

    1. Ist so ein selektives Routing möglich (idealerweise mit einem hEX RB750Gr3, denn der liegt hier noch rum, oder mit einem anderen günstigen Gerät wie dem RB951UI-2HnD)?
    2. Kann der Mikrotik auch DHCP-Server spielen? Denn in der Konstellation kann die FritzBox ja nicht DHCP-Server für das rote Netz sein.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login