Danke soweit, ich versuche mal, das Ganze etwas anwendungsbezogener zu formulieren - ich dachte, mir fehlt nur eine Kleinigkeit mit den VLANs, aber es ist wohl doch komplizierter und vielleicht sogar der falsche Ansatz.
Es geht um eine Schule. Der Provider hat uns eine Firewall zur Verfügung gestellt, wenn man denen sagt, was man will, dann richten die das ein. Derzeit nutze ich da einen Internet-Zugang ohne DHCP, also feste IP. Es sind aber noch weitere Zugänge möglich. Dazu haben wir einen Schulserver, der macht DHCP und Radius. WiFi-Geräte benötigen prinzipiell einen Zugang - entweder über Radius mit User/KW oder per WPA2, dazu muss aber die MAC vorher freigegeben sein. Das ist so gewollt, damit Schülergeräte nicht "ungefragt" ins Internet kommen. So weit funktioniert alles sehr gut.
Jetzt kommen Gäste, z.B. Eltern oder Sozialbetreuer, die wollen für die Zeit ihres Besuchs mit ihrem eigenen Gerät mal eben ins Internet. Derzeit mache ich das mit eigenen APs von TPLink, die werden per LAN Kabel mit dem Schulnetz verbunden. Die MAC-ID des TPLink ist natürlich freigegeben, der macht sein eigenes WiFi-Netz auf, die Gäste machen dann eine Verbindung zu diesem Gatsnetz und das geht auch. Es ist bloß nich sehr schön, denn erstens müssen sich Gäste erst diesen TPLink mitnehmen und rumschleppen, zweitens eine LAN-Dose finden und dann mit diesem Gäste-WLan verbinden.
Schöner wäre das natürlich über das Voucher-System von Unifi. Das Problem ist:
- per Radius geht es nicht gut. Ich kann natürlich im Radius einen Dummy-Account einrichten, aber dann braucht man neben dem voucher-Code auch den Zugang dieses Dummys, und dessen KW müsste auch regelmäßig geändert werden.
- per WPA geht es auch nicht, denn dann fehlt die entsprechende MAC-ID im Schulserver und das Gerät wird fürs INternet nicht freigegeben sein.
ich muss also mit meinem Voucher-WLAN irgendwie um unseren Schulserver drumrum, aber wie ? Ich hatte die Hoffnung, das mit den VLANs gebastelt zu bekommen, aber das scheint ja nicht so ohne weiteres möglich zu sein.