Best practice - kleines Gast WLAN

Hallo zusammen,

ich habe vor ein paar Jahren mal bei einem Bekannten 3 unifi UAPs für seine kleine Firma eingebaut, nur internes WLAN, seither aber nichts mehr damit gemacht (läuft halt). Jetzt kam ein Bekannter auf mich zu der gerne ein Gast-WLAN haben wollte, und ich habe die Geräte in guter Erinnerung gehabt und bei ihm einen Testballon gestartet.

Aktuelle Konfiguration:

1x Router Speedport der Telekom, daran ein TP-Link Switch, am Switch ein alter Netgear AP (Modell weiß ich nicht), und an dem Switch zusätzlich jetzt ein UAP AC LR. Der Unifi Controller läuft auf seinem Windows-PC, der tagsüber immer an ist. Dann noch ein ein Drucker über LAN der nur intern genutzt werden soll.

Problem:

Ich habe nur ein Netzwerk, auf dem zwei WLAN SSID sind, einmal internes, einmal Gast. Am Speedport will ich ungern die Konfiguration ändern (falls der überhaup VLAN kann).

Gäste-WLAN ist offen und auch als "Guest Hotspot" konfiuriert:

Das interne WLAN ist WPA2 und "Standard":

Unter "Networks" habe ich aber eben nur eines:

Das ist auch als "Guest Network" eingestellt:

Ich bin mir nun unsicher, ob die Einstellungen so richtig sind, insbesondere bei

1. Guest Network - wenn ich das hier als "Guest Network" definiert habe, warum kann/muss man das in den WLANs nochmal machen? Auch meine Clients im internen WLAN wären dann ja eh scon isoliert. Können die den Drucker dann überhaupt nutzen?

2. IP-Adressen/DHCP: Der unifi-Controller hat die IP-Setings vom Speedport ermittelt. IP 192.168.1.4 und 192.168.1.5 sind der PC und der Drucker, die sind statisch vergeben. Der Rest wäre verfügbar. Aber was ist nun richtig(er) - DHCP-Server oder -Relay? Zwei DHCP-Server die die gleichen IPs vergeben würden sich ja stören, das sollte auf die statischen IPs aber keine Auswirkung haben. Oder?

Vielen Dank vorab für eure Antworten...

Gruß

Larz

Zitat von hippeland

Warum nicht ein zweites Netzwerk für Gäste, das Du der SSID für Gäste zuweist?

Dann das default- Netzwerk auf Standard setzen und Du hast für beide WLANs ein eigenes - getrenntes - Netz

Bei einem zweiten Netzwerk (habe kein USG) habe ich die ganzen Optionen leider nicht:

Und selbst die VLAN-ID ist "frei erfunden", weil ich ja keine VLANs habe...

Gruß

Larz

Zitat von Naichbindas

Weil wenn du ein Gast LAN Netzwerk einrichtest, dann soll es auch die Gastrestriktionen bekommen. Soll heissen das dann auch LAN Gebundene Geräte in ein Netzwerk können was nur für Gäste ist.

Das gleiche verhält sich dann für WLAN. Dort richtest du ja eine eigene SSID ein mit Passwort. Dort muss dann auch Gäste aktiviert werden, damit diese Restriktionen greifen.

Da verbinden sich dann die Gäste drahtlos.

Wenn du dann noch das Gäste WLAN auf das Gäste LAN legst also mit ein ander verknüpfst, dann hast du damit deine Insel Lösung geschaffen und alles andere bleibt unberührt.

Dann brauchst du nur noch Firewall Regeln definieren wenn ein Gast den Drucker benutzen darf, oder so.

Dazu gibt es hier auch im Forum einiges.

mfg

Alles anzeigen

Aber auch hier nur mi VLAN, oder?

ruß

Larz

Zitat von jkasten

Das wird ohne Unifi Gateway nicht richtig funktionieren.

Ok, das habe ich fast befürchtet. Das USG ist aktuell (oder für immer?!) nicht lieferbar. Die Pros sind logischerweise zuviel des Guten, zudem soll der Router des Providers möglichst bleiben. Was wäre eine Alternative? Oder kennst Du einen Anbieter der die USG noch auf Lager hat?

Gruß & danke

Warum keine USG? Scheint mir für kleinere Dinge (Privatkunden) eigentlich doch sehr geeignet und vor allem günstig. Vermutlich aber zu günstig für ubiquiti, oder? Oder gibt es andere Argumente dagegen? Die UDR kostet halt gleich mal 300 Flocken, das ist halt die Frage, ob das sein muss.

Der Router vom Provider - das ist eher so ne "Gefühlssache". Der Bekannte ist technisch nicht versiert und hat Sorge, dass dann gewisse Dinge nicht gehen und die Telekom ihm/uns die Schuld gibt, wenn der Anschluss nicht funktioniert.

Alternativ könnte er ja seinen Speedport mit WLAN (intern) lassen und der UAP macht nur sein Gast-WLAN, oder? Dann mit DHCP Relay, nehme ich an, oder?

Zitat von jkasten

Warum keine USG, weil EOL. Ansonsten war die sicherlich dafür ausreichend. Die UDR kann noch eine ganze menge mehr. Der Provider hat damit gar nichts zu tun. Du kannst den Speedport ja weiter als Modem nutzen nur nicht als Router. Was man dann allerdings bedenken muss ist das die Telefonie dann auch nicht mehr auf dem läuft.

EOL. OK - Killerargument

Dann schau ich mal den Speedport genauer an, wenn da die Telefonie drüber läuft wäre das der Showstopper...

Die Alternative mit Speedport intern und UAP/UC mit DHCP-Relay nur für Gäste wäre ja aber auch denkbar, oder? Vielleicht kann der ja sogar VLAN...

Danke nochmal für deine Auskünfte

Also, VLAN is leider nicht beim Speedport. Wenn ich den zum Modem degradiere, geht kein Telefon mehr, d.h. der muss also als Router bleiben...

Zudem hat sich herausgestellt, dass da noch ein Netgaer Router im Netz als AP hängt (bei dem Routing und DHCP abgeschaltet ist)

Meine Idee wäre nun

- Speedport bleibt als Router/für Telefonie.

- Netgear bleibt für internes WLAN WPA2

- Unifi Controller/UAP AC LR bleibt als reines Gast-WLAN, isoliert

Das sollte dann ja gehen. Und beim Unifi würde ich den DHCP-Server mit einer anderen IP-Range dann aktivieren, die Clients sollen im internen Netz eh nix bedienen. Oder hab ich irgendwo nen Denkfehler?

Gruß

Larz

Im Default Network kann man das aber einstellen. So war mein Gedanke:

Quasi als Gateway den Speedport hinterlegen (192.168.1.1) und den Rest in 192.168.10.x lassen.

Also wenn man sich intern mit Netgear-WLAN verbindet, bekommt man die IP vom Speedport durchgeroutet. Wenn man sich mit dem unifi verbindet, vergibt der unifi Controller die IP, das Gateway wird aber der Speedport

Zitat von jkasten

Einstellen kannst du da viel, ohne Gateway wird da nur nichts passieren.

Verstehe ich nicht... ist der die "Host adress" ganz oben in den Einstellungen der Verweis auf das Gateway oder wie?

Wir würdest Du das lösen?

Schöner Mist. Dann mal ab zu ebay und nen günstiges USG schießen... Dream Machine wäre für den Anwendungsfall zu teuer, fürchte ich.