Gäste WLAN im eigenen Netz

Es gibt 16 Antworten in diesem Thema, welches 5.137 mal aufgerufen wurde. Der letzte Beitrag () ist von S1XK1ll3r.

    Hallo liebes Forum,


    ich komme bei meinem Projekt nicht weiter. Ich habe zwei Internetzugänge, die von zwei WLANS bedient werden sollen:

    • WLAN1 im LAN1 172.17.0.0/16 DHCP und authentifiziert mit Radius. Geräte müssen einen Account haben.
    • WLAN2 im LAN2 10.102.100.1/24 DHCP und VLAN 27 ist für Gäste gedacht, die bekommen dann einen Voucher für einen befristeten Zugang.


    Beide Netze haben einen getrennten Internetzugang über eigene Router. Das muss aus rechtlichen Gründen so sein.


    der Controller ist unter Ubuntu im 172er, hat aber auch eine Strippe zum 10er - also zwei Netzwerkkarten zu beiden LAN.


    WLAN1 und LAN1 funktionieren prächtig. Aber die Einrichtung von WLAN2 im VLAN2 gelingt mir nicht. Ich habe das Gästeportal eingerichtet und es funktioniert auch - aber eben noch im LAN1. Wie genau muss ich vorgehen, damit das im VLAN2 getrennt läuft ? Konkrete Fragen:


    • muss ich im LAN1 auch ein VLAN einrichten oder kann das so bleiben ?
    • was muss ich im unifi Controller genau einrichten, ein VLAN im LAN2 alleine reicht nicht. Entweder sind die Clients im falschen VLAN oder das Gäasteportal ist im falschen Netz.


    vielleicht gibt es sogar irgendwo eine Anleitung für so ein Szenario ?


    VIelen Dank,

    Darth Weber

  • Zum Hilfreichsten Beitrag springen

    Hallo DarthWeber ,


    willkommen an Bo(a)rd!


    Würdest du uns bitte mitteilen, welche UniFi-Komponenten Du außer dem Controller auf einem Ubuntu-System im Einsatz hast?


    Außerdem möchte ich Dich dringend bitten sinnvolle Tags an Deine Frage zu heften.


    Danke für Deine Unterstützung bei der Wahrung der Übersicht.

    Hallo und Willkommen,

    ich fange mal an.

    Ich weiß zwar nicht was für Router Du hast und ob Du "Herr" dieser bist, aber Du brauchst einen Router der VLAN-fähig ist (passend zu Deinen AP´s wäre das dann USG oder (besser) UDMpro wegen dem Durchsatz) und der diese beiden Netzwerke bereitstellt.


    In der jetzigen Konstellation mit dem Controller auf einem Rechner wird das nicht funktionieren.

    Der Controller hängt, wie Du selber festgestellt hast, entweder in einem Netz oder im anderen Netz. Der Controller macht nicht die VLAN´s sondern der Router.

    Weiter kannst Du die AP´s nur an einen Controller anmelden und deshalb können die auch nur das Netz ausstrahlen wo sich der Controller befindet.

    Vielleicht gibt es noch irgend einen Workaround aber ICH hab dazu keine Idee in dieser Konstellation.


    Vielleicht musst Du Dich noch mal belesen mit den rechtlichen Vorgaben - was wird denn da genau verlangt, wir kennen ja Deinen Anwendungsfall nicht.

    Wenn das nur die Vorgabe für die getrennte Ausstrahlung von WLAN´s ist, dann ist es gängige Praxis die Netze voneinander abzutrennen.

    Ich kenne einige Firmen die auch 2 Anbindungen haben, aber am Ende landet es alles auf einer Firewall oder einem Router wovon der Rest verteilt wird.

    Wenn Du bisschen mehr Infos zu Deiner Anwendung und Deinen Geräten gibst, kommt vielleicht noch die eine oder andere Idee für Dein Vorhaben.

    • Offizieller Beitrag

    Außerdem können die UniFi-Komponenten folgendes NICHT - mWn:

    dem VLAN10 (Bsp.) das Internet von WAN1 zur Verfügung stellen und dem VLAN20 (Bsp.) das Internet von WAN2 zur Verfügung stellen.

    Wenn es funktioniert, dann gibt es zusätzlich zu Fail-Over noch die LoadBalancing-Funktionalität. Mehr nicht.

    Vielleicht lässt sich das mit anderen Geräte von Ubiquiti lösen, aber eben nicht mit UniFi.

    Danke soweit, ich versuche mal, das Ganze etwas anwendungsbezogener zu formulieren - ich dachte, mir fehlt nur eine Kleinigkeit mit den VLANs, aber es ist wohl doch komplizierter und vielleicht sogar der falsche Ansatz.


    Es geht um eine Schule. Der Provider hat uns eine Firewall zur Verfügung gestellt, wenn man denen sagt, was man will, dann richten die das ein. Derzeit nutze ich da einen Internet-Zugang ohne DHCP, also feste IP. Es sind aber noch weitere Zugänge möglich. Dazu haben wir einen Schulserver, der macht DHCP und Radius. WiFi-Geräte benötigen prinzipiell einen Zugang - entweder über Radius mit User/KW oder per WPA2, dazu muss aber die MAC vorher freigegeben sein. Das ist so gewollt, damit Schülergeräte nicht "ungefragt" ins Internet kommen. So weit funktioniert alles sehr gut.


    Jetzt kommen Gäste, z.B. Eltern oder Sozialbetreuer, die wollen für die Zeit ihres Besuchs mit ihrem eigenen Gerät mal eben ins Internet. Derzeit mache ich das mit eigenen APs von TPLink, die werden per LAN Kabel mit dem Schulnetz verbunden. Die MAC-ID des TPLink ist natürlich freigegeben, der macht sein eigenes WiFi-Netz auf, die Gäste machen dann eine Verbindung zu diesem Gatsnetz und das geht auch. Es ist bloß nich sehr schön, denn erstens müssen sich Gäste erst diesen TPLink mitnehmen und rumschleppen, zweitens eine LAN-Dose finden und dann mit diesem Gäste-WLan verbinden.


    Schöner wäre das natürlich über das Voucher-System von Unifi. Das Problem ist:

    - per Radius geht es nicht gut. Ich kann natürlich im Radius einen Dummy-Account einrichten, aber dann braucht man neben dem voucher-Code auch den Zugang dieses Dummys, und dessen KW müsste auch regelmäßig geändert werden.

    - per WPA geht es auch nicht, denn dann fehlt die entsprechende MAC-ID im Schulserver und das Gerät wird fürs INternet nicht freigegeben sein.


    ich muss also mit meinem Voucher-WLAN irgendwie um unseren Schulserver drumrum, aber wie ? Ich hatte die Hoffnung, das mit den VLANs gebastelt zu bekommen, aber das scheint ja nicht so ohne weiteres möglich zu sein.

    Moin,


    ich würde folgendermaßen vorgehen.


    Du legst ein Gast Netzwerk an, daraufhin legst du ein Wifi an welches du deinem Gast Netzwerk zuweist sowie den Punkt verwende Gast Richtlinien anwählst.

    Damit kannst du ein voucher portal aufsetzen.


    Dein so entstandenes Gastnetz ist vollkommen frei vom Hauptnetz.


    Wenn du das ganze jetzt aber nur auf deinem zweiten Internet Anschluss haben willst KÖNNTE das wie folgt erweitert werden (nicht getestete Vermutung)


    Du erstellst ein VLAN only Netzwerk - weißt diesem einem Switchport zu welchen du mit deinem zweiten Modem/ Router für den Gastzugang verbindest.

    Das Gast Wifi erstellst du wie oben beschrieben nimmst dort aber dein VLAN Netzwerk statt dem Gastnetzwerk, du aktiviest dennoch die Gastrichtlinien.

    Damit solltest du jetzt ein Voucher Portal haben mit der zweiten internetleitung.


    Wie gesagt der zweite Punkt ist nicht getestet sollte aber funktionieren - kann ich zur zeit leider nicht nachstellen da ich nicht an meinen AP rankomme

    Mein Projekt

    Gefällt mir 1
    Zitat von amaskus

    Du erstellst ein VLAN only Netzwerk - weißt diesem einem Switchport zu welchen du mit deinem zweiten Modem/ Router für den Gastzugang verbindest.

    Vielen Dank - was ich noch nicht kapiere - wie verbinde ich einen Switchport mit dem zweiten Router ? Wo trage ich den zweiten Router ein ? Der hängt am unifi Switch wie der erste Router auch, natürlich an einem anderen Port. Der zweite Router läuft im VLAN 27.


    Ich habe in den Controller zwei Netzwerkkarten gesteckt - eher aus Verzweiflung. Eben eine für VLAN 0 und eine für VLAN 27 - brauche ich das überhaupt ?

    Also wenn du dein VLAN only Netzwerk erstellt hast dann geht es mit folgenden Schritten weiter

    • Du solltest zu dem VLAN Netzwerk ein passendes Switchport Profil erstellt bekommen haben
    • du wählst den Port aus an dem dein Router am switch angeschlossen werden soll.
    • Hier wählst du nun das Switchportprofil aus was zu dem VLAN gehört (VLAN 27 in deinem fall)


    Bei den Wireless Netzwerken erstellst du ein Neues Netzwerk

    • Aktivierst du gastregularien
    • Wählst als Netzwerk dein VLAN 27 Netzwerk aus
    • Stellst die SSID ein
    • Passt die Voucher Einstellungen an


    In diesem fall macht der zweite Router das DHCP

    Der Router darf NICHT am WAN 2 hängen.


    Deinem Controller ist das VLAN 27 egal - das Management Interface der Switche hängt auf dem VLAN 1


    Nachteil: Dein Router2 lässt sich jetzt nur aus dem neuen Gast-Wifi administrieren - das könnte man aber auch noch anpassen, wenn du das umgesetzt hast und es soweit funktioniert

    Mein Projekt

    • Hilfreich

    Stimmt amaskus , VLAN only - damit habe ich noch nichts gemacht.

    Auch wieder was dazu gelernt. :smiling_face:


    Aus Interesse habe ich das mal mit einer alten Fritte nachvollzogen. Diese in einem Port am Switch eingespeist, durchgeroutet und über WLAN ausgestrahlt. Es hat gut funktioniert.

    Was ich nicht hin bekommen habe, das weder das Handy noch das Notebook auf die Website der Gastanmeldung gegangen ist. Ich habe die Gastrichtlinie dann mal für mein Gastnetz eingeschalten, das hat funktioniert.

    Kann es sein das es eine Internetverbindung in diesem Netz braucht? Das hatte die FB jetzt natürlich nicht.

    Aber darum kann man sich ja kümmern wenn das Netz erst mal steht.


    DarthWeber

    Voraussetzung ist natürlich wenigstens ein managebarer Switch an dem das "zweite" Netz eingespeist wird. Du hast noch nicht verraten was Du für Switche hast. Die zweite Netzwerkkarte brauchst Du demzufolge nicht in dem Controller- Rechner.

    Einrichten müsstest Du das in der "alten" Ansicht. Ansonsten wie amaskus es schon gut beschrieben hat.

    Gefällt mir 1

    Vielen Dank für die ausführlichen Infos, das werde ich nächste Woche mal probieren. Das gesamte unifi hängt ausschließlich an unfi-Switchen, und auch der Router 2 hängt am unifiy Switch.


    Ich muss am Netz mit Router1 nichts ändern, hab ich das richtig verstanden ? Da habe ich kein VLAN eingetragen, auch keine 0.


    Ich verstehe noch nicht, wie die Gäste im VLAN27 dann an das voucher kommen, das macht doch der Controler - muss der dazu nicht auch im VLAN27 sein ? Aber vielleicht geht es ja, dann muss ich das ja auch nicht verstehen. Oder muss ich da bestimmte IPs noch whitelisten ?


    Ich bin sehr gespannt und werde berichten, aber wohl nicht vor Pfingsten.

    Zitat von DarthWeber

    Ich muss am Netz mit Router1 nichts ändern, hab ich das richtig verstanden ? Da habe ich kein VLAN eingetragen, auch keine 0.

    Dann ist das VLAN 1 (steht nur nicht dran :winking_face: )


    da die Switche und APs in deinem Basisnetz hängen kommunizieren die alle über VLAN 1. Daher muss der Controller nicht in VLAN 27 sein. Sonst bräuchte ich demnächst einen Controller mit 10 LAN Karten :grinning_squinting_face:


    Das Vouchersystem läuft über den Controller (also VLAN 1) - unter umständen muss du noch einen IP Bereich im Vouchersystem einstellen.


    Wie ist den die Gaststeuereung eingestellt ?

    Mein Projekt

    Gefällt mir 1


    Aber kannst die USG-Pro auch als DHCP nutzen wenn du magst so läuft es bei mir nur das bei mir ein 2 DSL Anschluss läuft für meine Mutter anstatt Gast. Dazu musst halt einfach dem Router für das Gastnetzwerk eine IP z.b *.*.*2 geben weil auf der *.*.*.1 ja das Gateway läuft und den DHCP auf dem Gast Router ausschalten bei mir steht unter DHCP Namensserver auch noch die 192.168.20.2 drin das habe ich weil hier ein AD Server läuft. Also bei dir würde die 1.1.1.1 reichen und vielleicht die 8.8.8.8. Habe mal 2 Bilder von der Konfig beigefügt bei dir halt dann mit dem VLan 27. Bei DHCP Gateway IP dann die Adresse von dem Gast Router das die Gäste dann auch ins Internet können.

    Kleiner Zusatz: Dann muss das ganze nur als Netzwerk und nicht VLAN angelegt werden

    Mein Projekt

    Gefällt mir 1

    Im oberen Teil habe ich beschrieben, dass das Netz als VLAN only eingerichtet wird. Dann ist kein DHCP möglich, daher müsste das dann Als "Unternehmen" angelegt werden.


    Ein VLAN Tag haben natürlich beide

    Mein Projekt

    Gefällt mir 1


    Ach so meinst du das. Ja klar. Durch Anklicken auf "Gast Richtlinien" passt das dann auch wieder :grinning_squinting_face:. Mal ein Beispiel von meiner Konfig der Netze. Was das schöne halt an dieser Konfig ist das man das Verwalten der Gäste halt komplett mit der USG machen kann eventuell feste IP etc. vergeben. Bei den VLAN Only muss mal halt auch immer am anderen Router rum Frickeln. So muss der nur das Internet zu Verfügung stellen und gut ist. Habe für das Wlan halt 3 Netze. Einmal ein Radius für die Gäste und Familie der in die richtigen Vlans verteilt auch der Gast Zugang. Einmal ein Netz für mein IoT Zeugs und einmal IoT Zeugs für meine Mum und Bro. Leider können die IoT Geräte kein Firmen Wlan sonst könnte alles über ein Netz abgedeckt werden :grinning_squinting_face: