Gäste WIFI OHNE Captive Portal

Wenn Du das Portal nicht haben willst, baue Dir ein VLAN für das "Gästenetz" pack da ein WLAN drauf und füttere die Firewall mit deinen Vorstellungen.

Also den Guest network haken raus nehmen und dann die Firewall füttern in deinem Fall.

Prinzipiell musst Du ja nur den Traffic vom Gast LAN in Dein LAN und umgekehrt droppen. Oder eben erstmal den Traffic zwischen allen VLANs droppen und das wieder erlauben was gewünscht ist. Dann noch im Gast LAN die Gateway Schnittstellen verbieten, aber DHCP und DNS muss natürlich erlaubt bleiben auf dem Interface des Routers, das zum Gast LAN gehört.

im Wiki gibts was zu den Firewallregeln, falls Du das noch nicht kennst. Firewall-Regeln by Naichbindas

Ich musste die Landing Page auch manuell deaktivieren. Sonst konnten sich keine Clients verbinden. Es reichte nicht, dass das Hotspot Portal in den WLAN-Einstellungen deaktiviert ist.

Würde es nicht reichen, wenn (siehe erstes Bild) Gast WLAN deaktiviert und Isolate aktiviert wird?

Somit ist das GAST VLAN ja nach meinem Verständnis komplett von den übrigen isoliert.

Der Hacken "Gäste-Netzwerk" in der VLAN-Konfiguration sorgt dafür, dass auf die Landing-Page bestanden wird, obwohl das Hotspot-Portal in der Gast-WLAN-Konfiguration deaktiviert ist?

Wo wäre denn der Unterschied ob das VLAN mit "Netwerk isolieren" statt "Gastnetzwerk" markiert ist?

Beim genauer Durchdenken macht das doch Sinn. Korrigiert mich gern, wenn ich falsch liege (Nooby 😅). Die Landing Page sichert das VLAN ab. Das gilt für WLAN- und LAN-Geräte. Das Hotspot-Portal in den WLAN-Einstellungen hat damit erstmal nix zu tun.

Wenn man also die "Gäste-Netzwerk"-Option im den VLAN-Opionen aktiviert und das Gast-VLAN dem Gast-WLAN zuweist, werden alle Geräte, egal ob WLAN oder LAN (an einem entsprechenden zugewiesenen Gast-LAN-Port) an die Landing Page geschickt, solange diese aktiv ist.