Gast Wlan für die Schulen

  • Hallo,

    wir haben an unseren Schulen überall die Fritzbox <-> Unifi Cloudkey Controller <-> AccessPoints Lite/Pro im Einsatz.


    Zukünftig sollen an den Schulen VHS Kurse stattfinden und die Möglichkeit geschaffen werden, Gast Wlan Zugänge einzurichten. (Bestenfalls zeitlich begrenzt und oder mit eigenen Zugangsdaten).


    Funktioniert dies mit der o.g. Infrastruktur? Welche Möglichkeiten der Konfiguration stehen mir hier zur Verfügung?


    VG
    Michael

  • Ich vermute, dass das genau der Anwendungsfall für den Guest Hotspot ist, den man mit Unifi auch einrichten kann. Da man dafür ein zweites Netz einrichten würde, bräuchtet ihr in eurer Infrastruktur vermutlich noch ein Gateway (USG 4 oder UDM-P).


    Genaueres kann ich dazu aber nicht sagen, da ich den Hotspot nie verwendet habe. Stattdessen nutze ich Freifunk, um rechtssicher Gästen WLAN zur Verfügung stellen zu können.

  • Moin Zusammen.


    Das Gateway brauchst du nicht unbedingt, wenn du VLAN fähige switche hast geht es auch nur mit der FB - so bei Freunden schon umgesetzt


    KURZANLEITUNG


    Aktiviere auf der FritzBox das Gastnetz auf LAN 4

    Erstelle ein VLAN (zB 42)

    speise das Gastnetz von FB-LAN4 in dein VLAN 42 über eine Switch ein.

    Erstelle im CK ein Gast Wifi welches das VLAN 42 verwendet.

    Konfiguriere das Gastportal im CK nach dienen wünschen (zB mit Vouchern)


    Fertig

  • Ich glaube, das funktioniert so nicht :(


    IST Stand:

    Fritzbox -> Schulserver Portal -> internes Lan mit eigenen Subnetz. Hier befindet sich halt auch der Unifi Controller und die APs.


    Also mein Spielraum befindet sich ausschließlich im internen Lan innerhalb des Subnetzes vom Schulserver.


    Gibt es sonst noch Möglichkeiten oder Alternativen?

  • Geht glaube ich dennoch


    kannst du einmal aufzeigen wie deine Architektur ist.


    Also welche switche (mit Typ) ihr verwendet ?

    Wenn du die Managebaren Switche hast geht das Gastnetz am Server vorbei

  • Moin, noch ein Tipp für die Voucher, wir verwenden in einem Kundennetz diese Möglichkeit. Kannst den Gästen einen zeitlich begrenzten Zugang über das Gastportal geben.

    Grüße Andreas


    Mein privates Setup

    Vigor165 | USG 4 | UCK Plus - USW-24-PoE - USW-16-PoE | UBB | UAP-AC-Pro - UVC-G3-FLEX | UVC-G3-Bullet - UVC-G4-Bullet | UVC G4 Doorbell | UFP-Viewport

    G3 Instant, UA-PRO (zum Testen)

    Smarthome: LOXONE Miniserver | LOXONE Audioserver

  • Ich betreibe das Gastnetz auch mit Unifi APs und dem CK2 - ohne Unifi Switch und ohne VLANS.


    Im Controller eröffnest du ein Gastnetz (Achtung: In der neuen Controller-Version am besten über die neue moderne Ansicht) und dort kannst du dann auch entscheiden wie du den Zugang regeln willst (Gutscheine, Passwort, free). Kannst auch ein Gast-Portal mit Nutzungsbedingungen vorschalten. Unten auf der Seite kannst du dann noch einschränken auf welches Netzwerk die "Gäste" nicht zugreifen könnnen bzw. sollen. Wenn du dort den dormalen Netzwerk-Bereich einträgst, steht den Gästen nur eine reine Internetverbindung zur Verfügung. Das Netzwerk kann natürlich auch nur zu bestimmten Zeiten aufgespannt werden, wenn beispielsweise VHS-Kurse anstehen.


    Ziemlich easy!

  • borsel


    Da bezweifle ich ob das wirklich getrennt ist ohne eigenes Netz (VLAN)


    Meines Wissens nach musst du da dennoch ein eigenes Netz mit aufbauen. für mich klingt das gerade nur nach zweitem Wifi ohne Trennung vom Hauptnetz

  • WER die Trennung vornimmt kann ich dir nicht sagen. Jedenfalls sind alle Geräte im Gast-Netzwerk nicht aus dem Netzwerk erreichbar (in allen Varianten getestet) und diese können auch keine Clients im Netzwerk erreichen. Es geht NUR ein normaler Internetzugang wenn man mit dem Gast-WLAN verbunden ist.


    Und das ist genau das was ich erreichen wollte.

  • mit VLAN lässt sich auch das Gast netz der FB verwenden (siehe post #3)


    Für Privat mag das reichen aber bei ner Schule würde ich da ne saubere Trennung vornehmen (IMHO)

  • Eine Verständnisfrage hätte ich zu dem von dir genannten Aufbau aber noch. Wenn die Controler-Software (samt Gast-Portal) auf einem CK2 im Netzwerk läuft und das Gast-Wlan ein VLAN am LAN4 der Fritzbox nutzt ... ist der CK2 und damit das Gast-Portal dann noch aus dem VLAN erreichbar? Oder kann man dem Switch irgendwie sagen, dass der Port, dan dem der CK2 hängt, aus beiden LANs erreichbar sein soll?

  • Ja das geht.


    In der Firma geht das Folgendermaßen ab


    Der AP selbst liegt in einem Management Netz (in diesem sind zur Zeit nur die APs)

    Der Controller läuft auf einer Debian VM im Server Netz

    Der AP sendet zwei Netze (Business und Gast) aus - jeweils mit eigenen IP Bereichen auf eigenen VLANs


    Das Management übernimmt der Controller zusammen mit der Firewall


    Auf dem Switchport zum AP laufen dann die drei VLANs (Nativ/tagged management - untagged Business und Gast)


    Ein Unifi AP kann in der Theorie 5 VLANs - eins für sich selbst (Netz des APs) sowie 4 Wifis (also 4 verschiedene VLANs)

  • Waaaaaaaa .... ??? =O


    Mach mal bitte langsam für Anfänger ...... also:


    AP würde bei mir zwei WLANs senden. Eins für meine Familie und eins für Gäste. Das für die Familie nutzt das Haupt-LAN 1 und das für die Gäste das neu erstellte VLAN. (Einstellung: "nur VLAN")


    Ich verkabel den LAN4 der FritzBox mit einem Port des Unifi-Switches und belege den Port im Controller mit dem VLAN Gäste. Dadurch bekommen alle im Gäste-WLAN den IP-Adressbereich, den die FritzBox für den LAN4 vorsieht. Richtig?


    Aber was muss ich zusätzlich einstellen, damit das Gast-Portal (Controller = anderer LAN-Port am Switch) aus dem VLAN erreichbar ist? Bzw. soll der Controller fürs Management ja auch aus dem Haupt-LAN 1 erreichbar sein.

  • Mach mal bitte langsam für Anfänger ...... also:

    Sorry - mach ich doch gern

    AP würde bei mir zwei WLANs senden. Eins für meine Familie und eins für Gäste. Das für die Familie nutzt das Haupt-LAN 1 und das für die Gäste das neu erstellte VLAN. (Einstellung: "nur VLAN")

    Ja genau - das nennst du Gast und vergibst eine VLAN ID (NICHT die ID 1 [Das ist das default Netz])


    Danach erstellst du dein Gast Wifi (falls noch nicht geschehen) und stellst es auf das netz Gast mit der VLAN ID (Die ID ist in Klammern hinter dem Namen)

    Ich verkabel den LAN4 der FritzBox mit einem Port des Unifi-Switches und belege den Port im Controller mit dem VLAN Gäste. Dadurch bekommen alle im Gäste-WLAN den IP-Adressbereich, den die FritzBox für den LAN4 vorsieht. Richtig?

    Erst den Port des Switches auf das VLAN stellen und danach verkabeln - Sonst laufen zwei DHCP Server (einmal normal und einmal Gast) und das wollen wir nicht

    Aber was muss ich zusätzlich einstellen, damit das Gast-Portal (Controller = anderer LAN-Port am Switch) aus dem VLAN erreichbar ist? Bzw. soll der Controller fürs Management ja auch aus dem Haupt-LAN 1 erreichbar sein.

    Nein das macht der AP mit dem Controller aus - Dein AP hängt ja eh im Hauptnetz daher sieht er den Controller. Der soll gerade nicht ins Gastnetz damit keiner an die Einstellungen kommt (das Gastportal geht dennoch)

  • Sorry, aber das verstehe ich immer noch nicht.

    Erst den Port des Switches auf das VLAN stellen und danach verkabeln - Sonst laufen zwei DHCP Server (einmal normal und einmal Gast) und das wollen wir nicht

    Wieso zwei DHCP-Server? Woher sollen die zwei kommen? DHCP macht doch die FritzBox. Einmal normal und einmal Gast? Das wollen wir nicht? Warum? Aber genau so macht es die FritzBox doch wenn ich LAN4 nutze. Das verstehe ich nicht ...


    Nein das macht der AP mit dem Controller aus - Dein AP hängt ja eh im Hauptnetz daher sieht er den Controller. Der soll gerade nicht ins Gastnetz damit keiner an die Einstellungen kommt (das Gastportal geht dennoch)

    Es ist also so, dass das Gast-Portal, das auf einem Gerät im Haupt-LAN läuft, aus dem Gast-WLAN (inkl. eigenem VLAN) erreichbar ist? Und dann soll bei diesem Aufbau von einer strikten Trennung die Rede sein? :/


    Bin gespannt, ob das wirklich so funktioniert ...

  • Wieso zwei DHCP-Server? Woher sollen die zwei kommen? DHCP macht doch die FritzBox. Einmal normal und einmal Gast? Das wollen wir nicht? Warum? Aber genau so macht es die FritzBox doch wenn ich LAN4 nutze. Das verstehe ich nicht ...

    Ja wollen wir ist auch richtig - du musst nur erst den Port auf VLAN schalten und danach das Kabel anstecken - anders herum kann es zu Problemen kommen (Das war die einzige aussage dahinter.


    Es ist also so, dass das Gast-Portal, das auf einem Gerät im Haupt-LAN läuft, aus dem Gast-WLAN (inkl. eigenem VLAN) erreichbar ist? Und dann soll bei diesem Aufbau von einer strikten Trennung die Rede sein? :/

    Das gast portal prüft quasi nur die Berechtigung des Nutzers ab das Netzwerk zu benutzen - danach schaltet es erst den Zugang zum Gastnetz frei - und der verkehr ist Komplet isoliert von deinem eigenen Netz

  • Ja, dass der Verkehr dann isoliert ist, ist mir klar. Das verstehe ich.


    Aber um diese Berechtigung abzufragen, muss ein Gerät in einem Netzwerk (hier: Haupt-LAN 1) erreicht werden, dass eigentlich isoliert sein sollte ... verstehst du meine Bedenken bei der Sache? Ich frage mich wofür ich getrennte Netzwerke aufmache, wenn dann doch das Gastportal im LAN 1 angepsrochen wird. Wenn es dennn dann so ist. Bin gespannt ...


    Also nochmal: Ich muss den CK2 nicht zusätzlich ins VLAN Gast bringen. Ich lasse ihn im Haupt-LAN 1 und das Gastportal ist dennoch aus dem Gast-WLAN erreichbar. Richtig? Also stelle ich nur den Port auf das VLAN Gast, an dem die FritzBox mit Port 4 hängt.