Gast-WLAN für Schulen

Es gibt 40 Antworten in diesem Thema, welches 11.152 mal aufgerufen wurde. Der letzte Beitrag () ist von amaskus.

    Zitat von borsel

    Also nochmal: Ich muss den CK2 nicht zusätzlich ins VLAN Gast bringen. Ich lasse ihn im Haupt-LAN 1 und das Gastportal ist dennoch aus dem Gast-WLAN erreichbar. Richtig? Also stelle ich nur den Port auf das VLAN Gast, an dem die FritzBox mit Port 4 hängt.

    Ja,

    Plus den Port an dem der AP hängt auf Alle (das hatte ich eben vergessen)



    Zitat von borsel

    Aber um diese Berechtigung abzufragen, muss ein Gerät in einem Netzwerk (hier: Haupt-LAN 1) erreicht werden, dass eigentlich isoliert sein sollte ... verstehst du meine Bedenken bei der Sache? Ich frage mich wofür ich getrennte Netzwerke aufmache, wenn dann doch das Gastportal im LAN 1 angepsrochen wird. Wenn es dennn dann so ist. Bin gespannt ...

    Da an dem AP eh mehrere Netze anliegen ist das sicher - das läuft in jeder Firma so (da hängen auch nicht zwei APs an der decke für die unterschiedlichen netze)

    Mein Projekt

    • Offizieller Beitrag
    Zitat von borsel

    Jooooooo, jetzt machts Sinn !!!

    Besser noch: nur die Netze, welche Du auch wirklich an dem Port benötigst (Mgmt, damit der AP den Controller erreicht; Haupt-LAN (VLAN) in einem WLAN und das Gäste-VLAN in einem anderen WLAN.

    Ja so hatte ich es ja auch geschrieben. Familien-WLAN nutzt das Haupt-LAN 1 und WLAN-Gast nutzt das VLAN Gast mit der ID 2, welches am LAN 4 der FritzBox hängt.


    Und auch nur den APs, die das WLAN-Gast aussenden, gebe ich am Switch beide LANs, damit der Controller im Haupt-LAN auch erreichbar ist.



    Richtig?

    borsel


    Ja genau


    razor meinte nur das du wenn du ein Management LAN sowie ein Haupt LAN haben solltest das zusätzlich zum Gast LAN mit an den AP geben musst.


    Bei dir entfällt das, da du nur 2 LANs hast (bei dir fallen management und Haupt in ein Netz zusammen

    Mein Projekt

    Ja so isses. Sehe da für meinen Anwendungsfall keinen Sinn für noch mehr LANs.

    Okay, dann habe ich ja alles richtig verstanden. Anfang nächster Woche trifft meine erster Unifi-Switch ein. Dann wird dieser Aufbau getestet. Bin gespannt ...

    So Leute.

    Es ist soweit. Der Switch ist schon eingetroffen und ruckzuck verbaut. Ich meine ich hätte alles angeschlossen und eingestellt wie hier besprochen . Aber es funktioniert nicht. Das Gast-Portal ist aus dem Gäste-WLAN nicht erreichbar.


    Woran kann das nur liegen?


    Habe folgendes gemacht:

    • SFP Port Switch auf VLAN Gast gestellt
    • LAN 4 Fritzbox an SFP Port Switch
    • AP an Port 1 Switch
    • Port 1 auf ALL LANs
    • CK2 an Port 2
    • Port 2 auf LAN 1
    • WLAN Gast nutzt VLAN Gast
    • Heim WLAN nutzt LAN 1

    Eigentlich doch so wie besprochen. Oder?

    Wo liegt nur das Problem?




    Edit:
    Zwischenzeitlich den Port des CK2 auch mal auf ALL gestellt. Keine Veränderung. Kann es denn vll. an der IP-Range liegen? Die FritzBox verbiegt an LAN4 den Adressbereich 192.168.179.x und kann nicht verändert werden.

    Mein gesamtes Netzwerk (somit auch CK2 und FB) hat aber Adressen im Bereich von 192.168.2.x


    Könnte das der Grund sein? Aber wie könnte ich das dann beheben? Komme irgendwie nicht mehr klar jetzt ...

    Ich möchte hier mal dringend um Hilfe bitten!

    Das mit dem Gast-WLAN funktioniert bei mir jetzt überhaupt nicht mehr richtig. Im Moment ist es so, dass jeder, der sich mit dem Gast-WLAN verbindet, sofort einen Online-Zugang hat. Ohne eine Berechtigung über das Gast-Portal anfordern zu müssen. So langsam verstehe ich es nicht mehr .... Im Controller steht das Endgerät als "nicht berechtigt" .... es ist aber online!


    So langsam blicke ich echt nicht mehr durch und verzweifele daran. Was muss ich anders einstellen?



    Die Ports der APs laufen auf "ALL", der Port des CloudKeys steht auf "ALL" und der Port zum LAN4 der FritzBox steht auf "Gast". Wie gesagt: Derzeit hat jeder unbeschränkt Zugriff aufs Internet. Irgendjemand nen Tipp für mich?

    Hallo borsel,


    ich blicke bei deiner Konfiguration noch nicht richtig durch.


    Die Fritzbox übernimmt, sowohl für das Hauptnetz ALSO AUCH für das Gastnetz das/den DHCP, richtig?

    Das Gastnetznetz hast auf LAN 4 der Fritzbox aktiviert, richtig? --> Das hat doch 192.168.179.x --> wieso stellst du beim Gastportal im CK2 192.168.2.0/24 ein??? Vor UND nach dem Anmelden? Bedenke bitte auch, dass die Fritzbox kein VLAN kann. Meines Wissen ist der CK2 kein DHCP Server, oder? Somit hast du einen DHCP --> nämlich die Fritzbox. Und die kann "nur" 2 Netze verwalten: 1. Haupt-LAN / 2. GAST-LAN.


    Ich werde heute Abend mal in meinen Controller schauen, was ich eingestellt habe. Ich habe eine OpnSense vor dem Controller hängen. Ist aber egal. Das mit der Fritzbox bekommen wir hin. Melde mich heute Abend noch einmal.


    192.168.2.0/24 ist auch das Hauptnetz in deiner Fritzbox, richtig?

    Ja so ist es. 192.168.2.0/24 ist das Hauptnetz, in dem auch der CK2 hängt. Und am LAN 4 vergibt die FB 192.168.179.x was sich auch nicht ändern lässt. Dieses VLAN ist auch dem WLAN Gast zugeordnet.


    Ich denke auch dass das Problem bei mir diese Berechtigung vor- bzw. nach der Anmeldung ist. Aber ich bekomme es einfach nicht hin. Ich habe da gestern Abend gefühl ALLES eingestellt. NIE ist das Gastportal erreichbar ...

    Ich denke auch, dass hier der Hase im Pfeffer liegt.


    Da Deine APs an Port 4 der Fritzbox hängen, geht nur die xxx.xxx.179.xxx

    Da hängt der DHCP-Server, also musst Du die User auch auf dieses Netz bringen.


    Eigentlich brauchst Du doch dann ein weiteres Netzwerk = GASTWLAN, in dem auch die xxx.xxx.179.xxx eingetragen ist.

    Derzeit sieht es bei Dir leer aus.

    Dort trägst Du ein, dass ein DHCP vorhanden ist (DHCP-Modus: Keine).


    Und in den Gasteinstellungen darf nicht die xxx.xxx.2.xxx stehen, sonst sind die Clients im falschen Netz.



    Richte es mal ohne das Gastportal ein, zum schauen, ob die Clients im 179er Netz landen...


    Ich hab Dir mal einen Screenshot angehängt.

    Dort hab ich nur ein Netzwerk. Aber auch nur Gäste. DHCP kommt vom Router davor (wlan deaktivert).

    Daran hängt ein US-8 mit 2 APs.


    Gästeportal derzeit deaktiviert.



    Mir egal, wer Dein Vater ist! Wenn ich hier angel`, wird nicht übers Wasser gelaufen!!

    Okay, ich habe jetzt nochmal ein neues LAN zum Test aufgemacht. Unter "Verwendung" habe ich dieses Mal nicht "Nur VLAN" sondern "Gast" ausgewählt. Unter "DHCP Modus" habe ich "Keine" ausgewählt. Als Subnetz habe ich das des LAN 4 der FritzBox angegeben. Dieses neue LAN habe ich zu Testzwecken jetzt auch dem Switch-Port zugeordnet, an dem die FritzBox mit LAN 4 hängt. Der Cloud-Key hängt weiterhin im Haupt-LAN mit 192.168.2.xxx


    Unter der "Gaststeuerung" habe ich unter "Zugriffskontrolle" erstmal nichts ausgewählt. Oder muss da zwingend etwas rein damit es läuft?


    So wie es jetzt eingerichtet ist, kann ich es wohl erst heute Abend testen. Aber was meint ihr? Sieht es so besser aus?

    Guckt mal was ich im Internet (anderes Forum) zu diesem Thema gefunden habe. Ein anderer User hatte dort mit gleicher Konfiguration das gleiche Problem:

    Zitat

    Ein Client meldet sich an deinem Gast-Wifi an, der erste Aufruf wird durch den AP auf das Portal begrenzt/umgeleitet, das wiederum auf deinem Controller im Heimnetz abrufbar ist. Der Client ist aber mit dem Gast-Wifi verbunden, hat demnach zugriff auf 192.168.179.x und das Internet, nicht aber auf deinen Controller. Dass du das entsprechende Subnetz in der Zugriffskontrolle freigibst sorgt dafür, dass der AP diese Anfragen durchlässt, nicht aber dafür, dass der Client den Controller auch erreichen kann. Dafür müsste die Fritz!Box das ebenfalls wissen und Anfragen an die IP deines Controllers im 192.168.2.x-Netz aus dem 192.168.179.x-Netz routen. Das tut sie aber nicht.


    Nutzt man den Unifi Security-Gateway, werden die entsprechenden Routing-Einträge automatisch gesetzt, wenn das Portal aktiviert wird. Bei der Fritz!Box gibt es diese Möglichkeit mit Stock-Firmware nicht.


    In besagtem Forum endet der Thread mit der Erkenntnis, dass es in der Konstellation schlicht nicht möglich ist. Das ist aber genau das Gegenteil von dem, was mir amaskus hier geraten hat bzw. empfohlen hat. Bin gerade ratlos! :tired_face:

    • Offizieller Beitrag

    Hallo borsel ,


    wenn wir uns hier noch weiter vom eigentlichen Thema entfernen, dann solltest Du für Dein Problem doch besser ein eigenes Thema eröffnen. Dein Problenm hat nix mehr mit dem ursprünglichen zu tun: GAST WLAN FÜR DIE SCHULEN.

    Du hast Recht. Hatte auch schon daran gedacht einen eigenen Thread zu öffnen. Aber andererseits hat der TE den gleichen Aufbau wie ich. Nämlich Fritzbox <-> Unifi Cloudkey Controller <-> Unifi AccessPoints.


    Und ob das Gast-WLAN nun in einer Schule oder zuhause läuft, macht keinen Unterschied. Der Aufbau ist der gleiche. Und der TE wollte auch wissen wie es unter diesen Voraussetzungen funktioniert. Ich bin nur derjenige, der versucht die Empfehlung von hier umzusetzen ...

    Aaaaaaaaahhhhh... Jetzt versteh ichs...


    *woistdieFacePalm*



    Ich glaube, dass es so nicht funktioniert...


    Gastnetzwerk Fritzbox & WLAN-Anmeldeseite UniFi.



    Das Problem ist, dass Du in der Fritzbox für das GastNetz keine Route eintragen kannst.

    Und die brauchst Du, wenn Du über das Portal "routen" willst.


    Das lässt die Fritzbox nicht zu... Weil getrenntes Netz. An sich eine gute Idee und auch richtig!

    Mir egal, wer Dein Vater ist! Wenn ich hier angel`, wird nicht übers Wasser gelaufen!!

    Nicht mit Fritzbox und Gastnetz.


    Da ist das Gerät schlicht zu arg "Consumer Ware". Für den Hausgebrauch in 98 von 100 Haushalten mehr als ausreichend...



    Du müsstest eine Route oder Firewallregel hinzufügen können, die den Zugriff auf die IP Deines Gästeportals erlaubt.



    [Edit:]


    Das betrifft leider nicht das Gastnetz. Da trennt AVM merklich den Port 4 ab...


    Sämtilchen Routen, die Du dort einträgst klammern das Gästenetz aus... Sonst wäre es ja einfach :smiling_face:

    Mir egal, wer Dein Vater ist! Wenn ich hier angel`, wird nicht übers Wasser gelaufen!!

    borsel : Vorschlag den du probieren könntest. So ist es in meinem Unifi Controller im Docker auf dem NAS eingestellt, wobei eine OpnSense den DHCP usw. übernimmt. Nur das in deinem Fall die Fritzbox der Router/DHCP/Firewall ist:

    1. Netz für Gäste --> Gateway 192.168.x.1/24 --> Gast Range von der Fritzbox eintragen --> als UNTERNEHMEN UND LAN ANHAKEN!!!
    2. VLAN xx außer 1
    3. DHCP Modus KEINER --> macht ja die Fritzbox
    4. WLAN einrichten --> Drahtlos Netzwerke
    5. Mit dem o.g. Netz für Gäste verknüpfen und erstmal ein EINFACHES Passwort
    6. KEINE Gastrichtlinien
    7. Auf dem Switch den Port, der zur Fritzbox Gast LAN 4 mit dem Profil von ALL auf das Netz für Gäste stellen.
    8. Die Fritzbox sollte erst einmal KEIN GastWLAN ausstrahlen
    9. Mit einem Smartphone in GAST WLAN aus Punkt 4+5 verbinden und sehen, ob das Gerät eine IP von der Fritzbox aus dem Gastbereich bekommt.
    10. Die Port-Porfile der AccessPoints und vom Cloudkey am Switch bleiben auf ALL stehen.
    11. Jetzt probieren, ob du auf eine IP im "normalen" LAN drauf kommst. Dürfte eigentlich nicht gehen, weil selbst die Fritzbox Gäste separiert.

    Wie gesagt, wenn du ein Passwort für deine Gäste vergibst, kannst du doch steuern, wer es nutzen darf oder nicht. Wozu den Umstand des Gastportales???

    Okay, habs genau so probiert. Unter Punkt 11 ist die Antwort "NEIN". Es funktioniert nicht.

    Die einzige Option (wenn man kein USG nutzt) ist es ohne Gastportal zu betreiben oder aber auf die strikte Trennung durch LAN4 zu verzichten.