Gastnetzwerk/ Client-Isolation mit Nicht-UniFi-GW

1. wenn ein Gast Portal muss der Controller laufen ansonsten keine Anmeldung
2. wähle ein komplett anderes Subnetz wie dein sehr großes Grundnetzwerk Bspw. 10er IP Bereich oder 172 Bereich für Private Netze. Diese dürfen sich in keinem Fall überschneiden dann klappt das auch mit der Isolation
3. Die Controller Software auf einem Windows Rechner laufen zu lassen ist suboptimal, da für machen Funktionen der Controller angefragt wird

Vielleicht solltest Du erstmal Grundvoraussetzungen schaffen

Wenn Du nicht getrennte Netze hast wie willst Du dann Clients separieren?

Wie das da auf deinen TDT funktioniert oder es das überhaupt kann keine Ahnung

Zitat von Alinco

Ich hatte einen Versuch gestartet, ein eigenes Netz im Controller anzulegen und dieses auf das Gast-WLAN zu münzen, was jedoch aufgrund eines (für dieses Netz) fehlenden DHCP-Servers nicht gelang.

Dir fehlt nicht nur der DHCP-Server, sondern überhaupt erst einmal ein eigenes, getrenntes Netz. Um ein solches aufzubauen, ohne hierfür eine extra physikalische Netzwerkinfrastruktur zu installieren, nutz man Vlan. Dies ist eine Technologie, welche es ermöglicht, eben auf (vorhandener) physikalischer Infrastruktur mehrere voneinander unabhängige virtuelle Datennetze zu betreiben. Transparent gesehen ist dies dann so, als wären tatsächlich mehrere physikalische Netzwerke vorhanden, welche nicht miteinander verbunden sind.

Um ein Vlan zu erstellen, gibt es diverseste Möglichkeiten, wobei zwei am gebräuchlichsten sind. Die einfachste ist das Port-basierte Vlan:

Hier werden bei einem (geeigneten) Switch einzelne Ports separiert und dann zu Gruppen zusammengefasst - die Virtualisierung beschränkt sich daher auf das Innere des Switchs. Diese Art des Vlans ist i.d.R. vollkommen zwecks Netztrennung ausreichend, wenn man eine strukturierte Verkabelung mit nur einem Knoten -dem Switch- hat. Will man dann jedoch einen zweiten Knoten hinzufügen und auch dort die gleiche Saprierung nutzen, müssen zu diesem dann so viele Kabel führen, wie man auch separierte Portgruppen hat:

Diesem Übel kann man dann entgehen, wenn man ein sogenanntes Tagged-Vlan einsetzt. Hier werden sodann in den IP-Paketen Marker, daher Vlantags gesetzt, welches i.d.R. ein Router oder ein Layer 3 Switch erledigt:

Nach dem Vorhandensein und Wert der Tags in den Paketen, werden diese sodann einem virtuellem Netz zugeordnet und können enstprechend sortiert und gezilet weitergeleitet werdenn. Dadurch ist es dann möglich, auch auf einem einzelnen Kabel mehrere getrennte Datennetzte zu betreiben:

So, wenn Du Dir nun überlegt hast, wie Du Dein Gastnetzwerk aufbauen möchtest (schließlich ist dies ja auch kpl. physikalisch möglich), aknn man im zweiten Stepp über solche Dinge wie DHCP, Controller und Netzgrößen -bei mehr als 254 Clients dann auch über Subnetze- nachdenken. Aha ja, Routing und DNS ist auch nicht zu vergessen

Hallo Alinco ,

wenn Du - wie oben geschrieben - kein UniFi-Gateway hast, um die VLANs zu erzeugen und zu verbinden, dann hilft Dir die Konfiguration im Controller leider nicht viel weiter. Nur so weit, dass Du z.B. das VLAN, welches von außen kommt, auch auf dem US-8-150W konfigurieren kannst. Aus UniFi-Sicht musst Du das im Controller als VLAN-only erzeugen und die VLAN-ID (VID) von Deinem Gateway übernehmen. Du kannst natürlich auch einen Trunk konfigurieren, um die Verbindung zwischen dem Gateway und dem Switch herzustellen. Das ist zum Grück standardisiert.

Ich empfehle 2-stellige VIDs im UniFi-Kontext zu verwenden (>=10).

Zitat von bic

Dir fehlt nicht nur der DHCP-Server, sondern überhaupt erst einmal ein eigenes, getrenntes Netz. Um ein solches aufzubauen, ohne hierfür eine extra physikalische Netzwerkinfrastruktur zu installieren, nutz man Vlan. Dies ist eine Technologie, welche es ermöglicht, eben auf (vorhandener) physikalischer Infrastruktur mehrere voneinander unabhängige virtuelle Datennetze zu betreiben. Transparent gesehen ist dies dann so, als wären tatsächlich mehrere physikalische Netzwerke vorhanden, welche nicht miteinander verbunden sind.

Um ein Vlan zu erstellen, gibt es diverseste Möglichkeiten, wobei zwei am gebräuchlichsten sind. Die einfachste ist das Port-basierte Vlan:

Hier werden bei einem (geeigneten) Switch einzelne Ports separiert und dann zu Gruppen zusammengefasst - die Virtualisierung beschränkt sich daher auf das Innere des Switchs. Diese Art des Vlans ist i.d.R. vollkommen zwecks Netztrennung ausreichend, wenn man eine strukturierte Verkabelung mit nur einem Knoten -dem Switch- hat. Will man dann jedoch einen zweiten Knoten hinzufügen und auch dort die gleiche Saprierung nutzen, müssen zu diesem dann so viele Kabel führen, wie man auch separierte Portgruppen hat:

Diesem Übel kann man dann entgehen, wenn man ein sogenanntes Tagged-Vlan einsetzt. Hier werden sodann in den IP-Paketen Marker, daher Vlantags gesetzt, welches i.d.R. ein Router oder ein Layer 3 Switch erledigt:

Nach dem Vorhandensein und Wert der Tags in den Paketen, werden diese sodann einem virtuellem Netz zugeordnet und können enstprechend sortiert und gezilet weitergeleitet werdenn. Dadurch ist es dann möglich, auch auf einem einzelnen Kabel mehrere getrennte Datennetzte zu betreiben:

So, wenn Du Dir nun überlegt hast, wie Du Dein Gastnetzwerk aufbauen möchtest (schließlich ist dies ja auch kpl. physikalisch möglich), aknn man im zweiten Stepp über solche Dinge wie DHCP, Controller und Netzgrößen -bei mehr als 254 Clients dann auch über Subnetze- nachdenken. Aha ja, Routing und DNS ist auch nicht zu vergessen

Alles anzeigen

Boah, das ist ja sehr ausführlich.

Vielen Dank für die kleine Auffrischung.