Erfahrungen mit Zyxel NWA1123-AC Business? Aufbau mit Fritzbox?

[end0fseven]

Guten Tag

Zuerst zum Netzwerk:

3 Stockwerke (EG, 1OG, 2OG) Haus, Gemischte Bauweise mit Beton und Holz.

Bestehende Geräte:

• Netzwerkschrank mit Patchfeld
• Fritzbox 7582 mit VDSL (G.Fast) 200Mbit Down / 40 Mbit Up (Wlan aus)
• 2x Fritzrepeater 1750E im AP Modus, direkt mit Kabel
• Synology DS412+ (VPN und Teamspeak Server, Datensicherung)
• 1x TP-Link TL-SG1008D (Im Netzwerksschrank) & D-Link Go-SW 8G (Für PC und Drucker im Büro)
• USV APC Backup-UPS Pro 650

Das ganze ist als Sternverkabelung vom 1OG aufgebaut.

Im EG sind Schulungsräume, wo ich gerne mit einem Gastzugang versehen würde (ca. 7-15 Personen einmal die Woche). Die Fritzrepeater haben alle ein Problem, dass sich nach einer Woche immer wieder Authentifizierungsprobleme bilden. Habe da schon Stunden damit verbracht mit dem Support und bin der Meinung, das es für so viele Endgeräte nicht ausreichend ist.

Deshalb habe ich jetzt nach einer anderen Lösung gesucht, da ich gerne die APs über POE Betreiben würde. Ich könnte 3 Gebrauchte Zyxel NWA1123-AC kaufen. https://www.distrelec.ch/de/wlan-access-point-802-11-ac-1167-mbps-zyxel-nwa1123-ac/p/11082170

Meine Frage, wie gut kann ich die Zyxel mit der Fritzbox koppeln? Die Zyxel besitzen auch einen Gastzugang, wird da ein eigenes VLAN generiert, dass nicht in mein Hauptnetzwerk zugegriffen werden kann, oder wie gut kann ich diese Konfigurieren?
Es müssten wieder zwei Wlan-Netze aufgebaut werden. Unsere Wohnung befindet sich im 1OG sowohl auch unser Büro, da würde ich gerne unseren Privaten Geräte weiterhin betreiben wie TVs, Smartphones und Co. Die sollen dannach auch wieder Zugriff auf das NAS haben.
Ich habe vor über 10 Jahren das letzte mal Zyxel Produkte verwendet, diese waren aber aus dem Consumer Bereich.
Im Prinzipp würde ich das Netzwerk gerne mit Ubiquity neu aufbauen, bin aber gerade nicht bereit so viel Geld in die Hand zu nehmen, AC-Wlan reicht auch erstmal vollkommen aus, da kaum grosse Datenmengen übertragen werden.

Besten Dank
End0fSeven

 

[arvan]

Zu den Authentifizierungsproblemem: Hast du die DHCP Lease Time entsprechend der großen Anzahl der Clients kurz gesetzt? Also z.B. auf 1 Tag?

 

[chrigu]

Gastnetzwerk bedeutet, deine Gäste sind vom übrigen Netzwerk abgeschottet, können aber ins Internet (beschränkt/unbeschränkt)…. Wenn das Gastnetzwerk am hauptrouter eingestellt ist.

Merke: billig bedeutet auch eingeschränkte Bedienung und eventueller erneuter Zukauf (doppelt Geld ausgeben statt sparen und überlegen)

 

[bender_]

Im EG sind Schulungsräume, wo ich gerne mit einem Gastzugang versehen würde (ca. 7-15 Personen einmal die Woche).

Wozu? Und sind dir daraus resultierende Anforderungen aus der DSGVO bekannt?
Wenn es nicht gerade um datenintensive Schulungen geht, würde ich sagen, dass sich im Jahr 2022 jeder einen Mobilfunkvertrag mit genügend Datenvolumen leisten kann und ich als Anbieter einer Dienstleistung durchaus nicht verpflichtet bin das Sahnehäubchen "Free WLAN" auf meine eigentlich angeboten Leistung zu setzen.

Ich könnte 3 Gebrauchte Zyxel NWA1123-AC kaufen

Die gibts in verschiedenen Versionen. Dein Link deutet darauf hin, dass es der NWA1123-AC oder NWA1123-ACv2 ist. Beide sind End-Of-Service. Wenn die also nicht gerade Spotbillig sind: Finger weg. Im Speziellen, wenn Du vor hattest sie an die Nebula Cloud anzubinden.

wie gut kann ich die Zyxel mit der Fritzbox koppeln?

Was willst Du da koppeln? Das WLAN der Fritze ist aus und die Zyxel machen eins. Es gibt Fritzen an denen kannst Du LAN4 als Gastzugang deklarieren. Schließt Du daran einen AP an, kann der nix anderes verteilen als den Gastzugang. An allen anderen musst Du die Separierung an den APs selbst vornehmen. In deinem Fall im Bereich der Schulungsräume mindestens auch Client Separation betreiben.
Nichts davon kannst Du von der Fritze aus steuern, wenn Du das gemeint hast. Die Verteilung der Einstellungen wie jetzt auf die 1750e gibts mit den Zyxel APs nicht. Dafür könntest Du die zusammen über die Nebula Cloud administrieren.

Es müssten wieder zwei Wlan-Netze aufgebaut werden.

Kannst Du wie gesagt so machen, dass die privaten APs an LAN1, 2 oder 3 und der nicht private an als Gastzugang konfiguriertem LAN4 der Fritze hängt. Ich sehe keine andere Möglichkeit das mit deinem vorhandenen Equipment anders zu lösen. Dazu bräuchte es zumindest einen semiprofessionellen Router oder eine VLAN fähige Firewall mit VLAN fähiger Strecke bis zu den APs, über die die Netze separiert und mit entsprechenden Regeln voneinander getrennt werden könnten. Die APs selbst können kein "Gastnetz" erstellen. Sie können aber zum Beispiel verschiedene VLAN IDs verschiedenen SSIDs zuordnen damit man nachgelagert damit alles mögliche veranstalten kann. Semipro Equipment eben...
Hier ein Beispiel, wie das dann aussieht:

hier beispielsweise die Übersicht von mehreren APs inklusive Isolationsmöglichkeiten:

 

[end0fseven]

@arvan Da man bei den Fritzbox Produkten kein zugriff auf den DHCP Bereich im Gastnetzwerk hat, kann ich das nicht einstellen.

Ich muss aber dazu sagen, es werden sich +- immer um die gleichen Geräte handeln.

@chrigu Da dies nur 1x max 2x die Woche so sein wird, brauche ich da nicht eine riesen einstellungssache. Ich will nur ein Gastnetz realisieren, damit die Kursteilnehmer sich mit ihren Laptops verbinden können um Dokumente nachschauen zu können.
Wie würdest du das Netzwerk aufbauen, mit welchen Geräten? Bin schon bereit was zu bezahlen. Ich kriege die APs für knapp 130.- (alle zusammen)

 

[bender_]

Ich kriege die APs für knapp 130.-.

Pro Stück oder in Summe?
Wenn Pro Stück würde ich eher einen Satz Omada 650er nehmen. Wi-Fi 6, mehr Antennen, brauchbarer Controller, der zum Beispiel auf dem NAS laufen kann: https://geizhals.de/tp-link-omada-eap650-a2739396.html?hloc=at&hloc=de

 

[Fard Dwalling]

Also meiner Meinung nach hängt es davon ab, was du da gerade anbietest. Machst du da irge das selbstständiges (Gewerbe) musst du dafür geradestehen. Dann EOL Produkte einzusetzen ist fahrlässig wenn nicht sogar grob fahrlässig.
Prinzipiell kannst du dir auch mit der Fritzbox ein zweites VLAN basteln, wo die AP dann ihr Gastnetz drüber machen.

Dazu brauchst du aber einen Switch der VLAN fähig ist. Du würdest dann einen Port auf z.B. untagged VLAN 10 machen. Auf die anderen Ports machst du das VLAN 10 tagged drauf.
Das Gast WLAN im Zyxel richtest du auch auf VLAN 10 und ein normales WLAN auf Default VLAN 1.
Dann hättest du weiterhin deinen Fritzbox und etwas bessere AP als WLAN.

Wenn dir das alles jetzt nichts gesagt hat, und du nur ? Vor Augen hast, dann ist A diese ganze Aufgabenstellung leider nichts für dich und B die Zyxel definitiv die falsche Wahl!

Das ist nicht böse gemeint. Aber du solltest schon tiefere Netzwerkkenntnisse dafür haben. Und für die Zyxel erst Recht. Bei denen ist nichts auf komfortabel oder einfach ausgelegt.

 

[end0fseven]

Vielen Dank erstmal für die ganzen Infos.

Ich sitze bei den Schulungen selber im Raum, da die Schulungen mein Schwiegervater durchführt. Wir dürfen dort im Haus wohnen, ich habe dort das ganze Netzwerk realisiert.

Ich kenne mich mit der Thematik Netzwerk auf alle fälle etwas aus, aber ihr habt recht, in das Thema VLAN habe ich zu wenig Ahnung bzw. zu wenig Praxiserfahrung da ich sowas nie umsetzten musste.

Es wäre ein Nice-To-Have gewesen das Wlan wieder lauffähig zu machen, aber so wird es dann doch etwas komplizierter umzusetzen mit der bestehenden Hardware, da ist natürlich die Fritzbox schon einfacher. Aber die Authentifizierungsprobleme nerven einfach, da hilft dann immer nur ein Neustart.

Das die Zyxel End-Of-Life sind wusste ich nicht, somit keine Option.

Bezüglich DSGVO, da ich in der Schweiz wohne, haben wir hier ein anderes Recht.
Auch wird später wieder ein Adguard im NAS aktiviert, wo gewisse Dienste gesperrt wären.

Ich denke, ich lass das erstmal und werde später wohl richtung Unify Geräte wechseln werde. Aber Eilt jetzt erstmal nicht, die meisten gehen über Mobilehotspot rein.

 

[norKoeri]

Die Fritzrepeater haben alle ein Problem, dass sich nach einer Woche immer wieder Authentifizierungsprobleme bilden.

Auf der Ebene WLAN oder IP? Gesamt-Netz oder Gast? Gast-DHCP klänge nach diesem Fehler …

FRITZ!Box 7582

Die erlaubt auf einen LAN-Anschluss das Gast-Netz zu legen. Das würde Dir nicht helfen, weil der DHCP-Server im Gastnetz das Problem ist (wenn es obiges war). Folglich bräuchtest Du einen anderen Router, auch weil Du den DHCP-Server im Gast-Netz der FRITZ!Box nicht ausschalten kannst (außer Du würdest einen Managed-Switch dazwischen schalten, der den DHCP-Server der FRITZ!Box verstummen lässt).

Ich kriege die APs für knapp 130.- (alle zusammen)

Du könntest den neueren Zyxel NBG7510 nehmen. Den bekommst Du aktuell auf eBay-Kleinanzeigen nachgeworfen, weil Zyxel offenbar einige Influencer zum Produktstart gefüttert hatte. Du würdest dann eine Router-Kaskade machen (Folge: Double-NAT), also einen Zyxel als Router und den Rest als Access-Point konfigurieren.

VDSL

PPPoE? Vielleicht erlaubt (und berechnet) Dein Internet-Anbieter (nicht extra für) PPPoE-Passthrough. Dann würdest Du PPPoE-Passthrough in der FRITZ!Box aktivieren und den neuen Router die zweite PPPoE-Einwahl machen lassen. Dann hättest Du keine Router-Kaskade.

G.fast

Ideal wäre, Du würdest ein VDSL-Modem kaufen, das G.fast kann. Dann bräuchtest Du die FRITZ!Box gar nicht mehr, sie wäre nicht im Weg. An jenes Modem würdest Du dann den neuen Router anschließen.

gerne die [WLAN-Access-Point] über PoE betreiben

Macht es teuer. Wie Du merkst, haben die Produkte auch seltsam kurze Lebensdauern … naja, sie entsprechen zufälligerweise in etwa den maximalen Steuer-Abschreibungszeiten. Half das?

 

[end0fseven]

@norKoeri Erstmal danke für deinen Beitrag.

Mit Double-NAT und Co. habe ich definitiv nicht vor zu Arbeiten. Mir würde es wirklich reichen den Gastzugang im AP zu aktivieren.

Bezüglich der Authentifizierungsprobleme, ja das Betrifft nur den Gastzugang. Es handelt sich auch fast ausschliesslich immer um die gleichen 7-15 Geräte, also sollte ich immer noch im DHCP Bereich sein. Leider lässt sich da kaum was einstellen. Ich hätte mehr möglichkeiten im Mesh, aber da ist die Verteilung der Geräte nicht Optimal und Endgeräte verbinden sich dann mit dem 1.OG wenn man pech hat. Im AP-Modus funktioniert es definitiv besser.

Aber ich werde das wohl jetzt lassen mit dem Gastzugang. Wenn die Nachfrage kommt, werde ich mich nochmal darum kümmern.

 

[norKoeri]

wohl jetzt lassen mit dem Gastzugang

Dann hast Du keine Client-Isolation … das wirst Du nur dann als Nachfrage/Hinweis erhalten, wenn ein White-Hat-Hacker unter Deinen Gästen ist. Das ist das Problem mit IT-Security: Man merkt passiv selbst nicht, wenn diese fehlt. Man muss aktiv darauf prüfen. Oder habe ich Dich falsch verstanden?

Authentifizierungsprobleme

Wo genau siehst Du die, also auf WLAN- oder IP-Ebene bzw. welche Fehlermeldungen erhältst Du genau in welchem Betriebssystem?