Gast-Netzwerk Fragen vor Aktivierung

Hallo zusammen,

möchte gerne ein Gastnetzwerk alleine für den Außenbereich aufsetzen, das nur von einem einzigen Außen-AP verbreitet werden soll. Dabei möchte ich tunlichst vermeiden, Fehler beim Thema Sicherheit zu machen, weshalb ich meine Konfiguration hier posten möchte:

- eigenes VLAN mit WiFi mit starkem Passwort erstellt

- Gast-WiFi auf "AUTO" settings, dadurch leider kein WPA3 und keine White-List für MAC-Adressen aktivierbar

- Zone-based Firewall und Zuordnung des Gastnetzes in Zone "Hotspot"

- "Isolate Netword" aufgrund Zuordnung zum "Hotspot" nicht aktivierbar

- Geräte sollen untereinander nicht sprechen können

- dem Switch-LAN-Port des einzigen Gast-Access-Points habe ich das Gast-VLAN zugeordnet und "Block all" konfiguriert

- kein ACL aktiviert

Würde mich freuen, wenn mal jemand draufschaut... Am Ende sollen nur 2 Geräte und nur über einen speziellen Access Point (U7 Outdoor) einzig auf das Internet zugreifen können.

Andere sollen keinerlei Chance haben, in mein internes Netz zu gelangen oder über mein WiFi surfen zu können.

Dazu würde ich gerne auch die Reichweite vom AP beschränken. Transmit Power steht momenten auf "AUTO". Was passiert, wenn ich nun auf Medium schalten ? Funkt er dann stets auf bspw. 50% Power oder regelt er dann, je nach Nutzung, zwischen 0% und 50% ? Möchte den Energiekonsum neben der Reichweite in Schranken halten.

Konstruktive Ratschläge wären nett...

Quote from DoPe

Warum überhaupt ein Gast WLAN, wenn es für genau 2 Geräte genutzt wird? Da kannst Du auch einfach ein normales WLAN manuell konfigurieren mit sepparatem VLAN, in Firewall trennen. Dann kannst Du WPA3, MAC Filter und und und einstellen ... Keine Chance wäre bei WPA2 auch nicht korrekt formuliert...

Schau dir mal die zulässigen Sendeleistungen an... da wirst Du nicht nennenswert Energie sparen, denn der Hauptteil des Energiebedarfs wird von CPU, Speicher, Ethernet verwendet.

Wollte es mir mit einem Gast-WLAN eher einfacher machen. Es wird doch der Hotspot-Zone zugeordnet. Dort müsste nur der externe Zugriff zulässig sein, nicht auf andere VLANs und auch nicht auf das Gateway.

Quote from Networker

Zunächst: Einstellige VLAN-IDs machen bei Unifi gerne mal Probleme. Nimm am besten Nummer von 20 an aufwärts.

Das wird wohl nicht funktionieren, der AP muss meine ich immer auch Teil des Management-Netzwerks sein.

Nach meinem Verständnis würde "0%" bedeuten, dass der AP für Endgeräte gar nicht mehr hörbar ist und es demensprechend niemals zu einer Initialverbindung kommen könnte, aufgrund dieser der AP dann seine Leistung wieder hochregelt. Ich gehe davon aus, dass eine 50%-Einstellung auch dauehaft diesen Wert hält, vielleicht weiß das jemand anderes aber mit Gewissheit. Wenn Du Strom sparen willst würde sich ja aber anbieten, eines der beiden Bänder ganz abzuschalten. Wenn Du nur genau zwei Clients ansprechen willst, kennst Du deren WLAN-Fähigkeiten ja sicherlich gut.

Welche Einstellung genau soll das sein? WPA3 würde ich schon aktivieren, wenn die beiden Clients das können.

Mit den einstelligen IDs habe ich noch nichts gehört. Ändere ich diese in den VLAN-Konfigs, ändert sich das aber wohl nicht selbständig durch. Meine, dann müsste ich die fixen IPs selbständig ändern.

Den AP setze ich dann wieder auf das Management-LAN. Möchte mit dem Blockieren auf das Gast-LAN nur erreichen, dass sich nicht jemand den Ethernet-Stecker holt und damit ins Management-LAN kommt. Wie sollte man das sonst verhindern ?

0% Sendeleistung macht keinen Sinn, da hast Du Recht... ich muss nochmal klären, welche Standards die WiFi-Module der Geräte unterstützen - guter Hinweis.

Bei meinen jetzigen Einstellung müsste ich doch auch WPA3 etc aktivieren können, wenn ich dem WiFi sage, es soll sich manuell anstatt automatisch ("advanced" / "AUTO") konfigurieren. Dort dann eben manuell konfigurieren, oder ?

Wie würdet Ihr sonst ganz genau ein Gast-WLAN aufsetzen, das eben jeden anderen draußen hält ? Es soll möglichst einfach aufzusetzen sein. Macht es ggf. Sinn, es nicht der Zone Hotspot zuzuordnen, um "Isolate network" aktivieren zu können ? Oder ist es nicht dasselbe, weil man in der Zone "Hotspot" sowieso auf nichts anderes außer extern zugreifen kann ? Bin mir nicht ganz sicher, ob Hotspot innerhalb des eigenen VLAN untereinander sprechen kann.