Netzwerk erstellen mit Gastzugang

[Sniffel007]

Hallo,

ich habe folgendes vor und brauche mal ein wenig Hilfe:

Ich habe ein Speedport Smart 4 an diesem hängt ein TP-Link TL-SG108PE.
An dem Switch sind ein paar Kabelgebundene Endgeräte sowie ein Grandstream GWN7630 als AP.
Das läuft auch soweit alles ganz gut.
Jetzt haben wir aber eine Pension und möchten unseren Gästen über den AP ein Gast WLan zur Verfügung stellen.
Ich kann dieses auch über ein Captive Portal im GWN einstellen. Hier kann auch eingestellt werden, dass
die WLan Clients isoliert werden. Ich kann aber trozdem wenn ich über das Captive Portal angemeldet bin auf meine
Kabelgebundenen privaten Geräte zugreifen! Hat einer ein Tipp wie ich das machen kann.
Der AP kann auch VLAN und der Switch ja soweit ich weiß auch. Jedoch ist im Speedport doch wieder alles eins, oder?
In naher Zukunft, wenn wieder lieferbar soll auch noch ein GL.iNet MT2500 mit einem Wireguard VPN als zusätzliche Sicherheit mit eingebunden werden. Ich hoffe ich bin nicht allzu kompliziert und mir kann jemand helfen.

 

[Incanus]

Willkommen im Computer Base Forum.

Du könntest eine Router-Kaskade einrichten, also Deine privaten Geräte hinter einem weiteren Router 'verstecken'.

 

[chrigu]

Hast du dich auch am Gast wlan eingeklinkt? Oder ist der Ap im normalen Netzwerk mit lankabel? Bei den FRITZ!Boxen kannst du lan4 als Gastlan konfigurieren, schau mal beim speedport.
Oder hast du ein häckchen übersehen das der Zugang zum normal Netzwerk gestattet?
Haben beide Netze andere subnetze?

 

[spcqike]

ich vermute auch, du müsstest auf deinem Speedport ein Gast LAN definieren. Bei ner FritzBox gibt es das dann als WLAN und auf LAN Port 4. Musst du beim SPeedport mal gucken, ob der das ähnlich macht.

anschließend müsstest du 2 LAN Kabel vom Speedport zum Switch machen. das erste Kabel für dein normales Netzwerk, das Zweite am GAST LAN Port. Den Port am Switch, an dem das Gast LAN hängt, musst du mit einem VLAN Taggen.

zu letzt musst du bei deinem Grandstream beim Gast WLAN das gleiche VLAN einstellen.


zum Hintergrund: der AP kann mehrere WLANs / SSIDs erstellen. Wenn du die aber nicht virtuell trennst (per VLAN), hängen sie "im HIntergrund" alle im gleichen LAN. du hast bisher ja nur eins. Erst, wenn du mehrere Netzwerke / LANs hast, die du entweder in Hardware über verschiedene Switche und Access Points trennst, oder eben virtuell per VLAN, bekommst du auch bis zum Endgerät wirklich voneinander getrennte Netze.

der Speedport kann meines WIssens nach kein VLAN, daher der Umweg über den LAN Port und anschließend das Tagging am Switch.

 

[thealex]

So wie ich das lese, hast du zwar ein "Gast-WLAN" angelegt, aber eine echte Segmentierung findet damit ja dennoch nicht statt. Es muss ja irgendwo abgetrennt werden. Die FritzBox macht das mit der eingebauten Gästenetz-Funktion, bei der ein Ethernet-Port dem Gastnetz zugeordnet wird.

Solange der AP im Hauptnetz hängt, wird rein gar nichts segmentiert oder isoliert.

 

[Sniffel007]

Der AP ist per LAN Kabel am Switch angeschlossen und der Switch am Speedport. Der Speedport kann leider kein Gastnetz über LAN Port ausgeben.

Ergänzung (15. Februar 2023)

Ich kann im AP unter Client IP Zuteilung noch folgendes auswählen:

Brücke oder NAT
Als Erklärung steht da:
Im Brigde Modus wird der AP die DHCP Nachricht ins Kabelnetzwerk weitergeben. Im NAT Modus wird der Client die IP Adresse aus dem spezifischen NAT Pool bekommen. Clients, die an verschiedenen AP angebunden sind, sind voneineinander isoliert.

Das verstehe ich aber leider nicht so richtig.

 

[spcqike]

die Brücke ist das, wovon hier wohl die Meisten ausgehen. in der Regel hat man einen Router / Firewall, der/die mehrere voneinander getrennte Netze auf mehreren Ports (hardware oder virtuell) bereitstellt. die Access Points verbinden quasi nur das LAN mit dem WLAN, sind also die Brücke zwischen beiden Welten. Dabei muss dann aber an irgendeiner Stelle gesagt werden, welches LAN denn nun für welches WLAN genommen werden soll.

beim NAT Pool hingegen scheint der AP ein eigenes Netzwerk zu erstellen. dass liegt topologisch "hinter" und damit "in" dem vorausgehenden LAN. Wenn der AP noch diverse Firewallregeln erstellt und den Zugriff aus diesem NAT LAN ins davor liegende interne LAN verbieten kann (mit ausnahme des Gateways, hier der Speedport), wäre das wahrscheinlich so in etwa das, was du suchst. Wenn auch nicht elegant gelöst.

 

[Sniffel007]

Ok,

dann gibt es noch folgendes zum einstellen, was vielleicht passen könnte:

Client Isolations Modus: Radio, Internet oder Gateway MAC
Als Erklärung steht da:
Radio: Alle drahtlosen Clients werden voneinander isoliert.
Internet: Der Zugang zu jeglicher privaten IP-Adresse wird blockiert.
Gateway: Private IP-Adressen bis auf das konfigurierte Gateway werden blockiert.

 

[chrigu]

Der AP ist per LAN Kabel am Switch angeschlossen und der Switch am Speedport. Der Speedport kann leider kein Gastnetz über LAN Port ausgeben.
[

dann wird dies nicht zum Gastwlan sondern geht ins normale Netzwerk. Auf deutsch: mit deinem Ap nicht machbar. Nur mit dem speedport alleine

 

[spcqike]

Versuchs mal mit Internet. Falls das nicht geht, mit Gateway. Probieren kost ja nichts, da das DIng bereits da ist

 

[Raijin]

Die Betriebsmodi des APs klingen teilweise nach Routerfunktionen (zB DHCP-Server).

Der Hersteller schreibt dazu:

GWN76xx NAT feature defines an address pool from which the Wi-Fi clients will acquire their IP address
so that the access point acts as a lightweight home router.

Quelle: GWN 76xx Bedienungsanleitung

"Lightweight" impliziert, dass der Funktionsumfang als Router eingeschränkt ist und sowas ist bestenfalls skeptisch zu betrachten, wenn man jetzt nicht im Detail prüft was genau enthalten ist und was nicht.

Jetzt haben wir aber eine Pension und möchten unseren Gästen über den AP ein Gast WLan zur Verfügung stellen.

Ich sehe nun folgende Möglichkeiten:

1) Gast-WLAN des Speedport
Gäste mit diesem WLAN verbinden lassen. Falls nötig die Abdeckung mit einem Repeater erhöhen.
Das Hauptnetzwerk verbleibt im normalen WLAN+LAN des Speedport.

2) Routerkaskade
Es wird ein zweiter (WLAN-)Router mittels WAN-Port mit einem der LAN-Ports des Speedport verbunden. Das Hauptnetzwerk wandert hinter diesen zweiten Router. Für Gäste steht das LAN+WLAN des Speedport zur Verfügung und kann mittels Repeater, aber in diesem Fall auch mit Access Points erweitert werden, weil das herkömmliche Netzwerk des Speedport genutzt wird.

3) Speedport durch Fritzbox ersetzen
Eine Fritzbox bietet Gast-LAN an LAN4 und darüber könnte man das Gastnetzwerk eben auch mit Kabeln weiterverteilen. Auch ein VLAN-Switch und von dort aus via Trunk zum GWN7630 inkl. 2 SSIDs wäre denkbar.

4) Irgendwie mit der Möchtegern-Router-Funktion des GWN7630 ein separates Netzwerk inkl. DHCP erstellen. Wie? Keine Ahnung. Funktioniert das? Keine Ahnung.

 

[norKoeri]

Grandstream GWN7630

1. System → Maintenance → (Firmware) Server: firmware.grandstream.com
2. → Automatic Upgrade: Enabled
3. → (Taste) Save
4. SSIDs → (Taste) Edit → (Access Security) Client Isolation → Mode: Internet
5. → (Taste) Save
6. → (Taste) Apply

Das aktiviert zusätzlich zur Intra-BBS-Isolation auch noch eine Layer-2-Isolation. Ein WLAN-Gast kann dann nicht einmal mehr auf den Router – bei Dir Telekom Speedport – zugreifen. Ausgewählte Dienste wie DNS gehen aber weiterhin. Das kannst Du selbst überprüfen, indem Du mindestens zwei Geräte in das WLAN packst und auf einem zum Beispiel über ein Linux wie Ubuntu das Tool nmap ausführst. Allerdings hat Grandstream gepfuscht (Stand: Firmware 1.0.23.24), denn in diesem Modus geht dann IPv6 so halb: Man bekommt zwar eine öffentliche IPv6, kann darüber aber nicht surfen. Wenn Du jenen Modus verwendest, solltest Du daher im Telekom Speedport komplett IPv6 abschalten. Auch DNS klappt nicht über TCP sondern ausschließlich UDP – wieder Pfusch. Du müsstest im Telekom Speedport angeben, dass er nicht sich selbst sondern einen öffentlichen DNS-Anbieter weitergibt. Ich glaube mich zu erinnern, dass das ein Telekom Speedport Smart 4 gar nicht kann.

Eine Alternative wäre eigentlich der Modus „Gateway MAC“. Das ist die Branchen-übliche Layer-2-Isolation auf einem WLAN-Access-Point. Dann klappt auch IPv6 und DNS-over-TCP. Aber dann kann ein Gast komplett auf den Telekom Speedport zugreifen. Gruselig. Und weiter geht es mit den Alternativen:

SSIDs → (Taste) Edit → Client IP Assignment: NAT

4. […] mit der […] Router-Funktion des GWN7630 ein separates Netzwerk inkl. DHCP erstellen.

Normal bist Du im Modus Bridge. Im Modus NAT macht der Grandstream-Master tatsächlich eine Router-Kaskade mit eigenem DHCP unter 10.1.0.1/24 auf. Den kannst Du über die Web-Oberfläche unter „Service → DHCP-Pool“ vergrößern. Zusätzlich müsstest Du dann auch noch die Client-Isolation aktivieren. Nachteil bei dieser Alternative: Wieder kein IPv6, ein fragwürdiger DNS-Forwarder und auch noch Doppel-NAT. Letzteres ist gar nicht schön, wenn jemand seine Spiele-Konsole mitgebracht hat.

Captive Portal im GWN

Übrigens: Grandstream unterstützt auch „PPSK“. So kannst Du jedem Gast bzw. Familie einen eigenen temporären WLAN-Schlüssel zuweisen. Aber das nur so nebenbei.

Telekom Speedport Smart 4

So lieb das Grandstream auch meint, so schrecklich ist es im Detail mit einem unpassenden Router. Ich hatte es oben schon verlinkt … die saubere Lösung ist allein ein Internet-Router, der mehrere Netzsegmente unterstützt, also direkt im Router jedem Gast sein Segment gibt. Rein technisch macht das eine FRITZ!Box. Aber deren Gast-Zugang ist nicht auf die hohe Fluktuation eines Beherbergungsbetriebs ausgelegt. Wer hat Dir diesen Grandstream bzw. den TP-Link empfohlen?

1. Gast-WLAN des Speedport
Gäste mit diesem WLAN verbinden lassen. Falls nötig die Abdeckung mit einem Repeater erhöhen.

Das wäre dann ein Telekom Speed Home WLAN. Den könnte man auch verkabelt anschließen, denn der leitet das Gast-WLAN weiter. Aber auch hier das gleiche Problem wie bei der FRITZ!Box: Nicht auf die hohe Fluktuation eines Beherbergungsbetriebs ausgelegt.

TP-Link TL-SG108PE

Wenn Du Deinen Gästen nicht nur WLAN sondern auch LAN anbieten willst, dann musst Du auf dem Switch für jenen LAN-Anschluss auch noch die „Port Isolation“ einschalten. Ansonsten könnte ein verkabelter Gast auch wieder in Dein restliches Heimnetz.

Lange Rede, kurzer Sinn: Du brauchst einen Multi-VLAN-Router. Davor schaltest Du dann ein reines DSL-Modem, zum Beispiel Deinen Speedport Smart 4 im Modus DSL-Modem. Wer hat Dir diesen Grandstream bzw. den TP-Link empfohlen? Der müsste Dir bei der Produktauswahl und Einrichtung dann helfen können.

 

[Sniffel007]

Ok,
das ist ja jetzt mal ein detaillierter Beitrag.

Ich habe ja schon so einiges ausprobiert. Bei der Einstellung "Internet" funktionieren leider nicht alle Geräte. Mein Smartphone z. B. wählt sich zwar in das Gastnetzwerk ein, unterbricht aber nach ca. 15 sek. die Verbindung und loggt sich dann gleich wieder ein. Und so geht es dann die ganze Zeit weiter. NAT habe ich auch schon probiert. Hier funktionieren scheinbar alle Geräte. Den DHCP Pool finde ich jedoch nicht.

IP6 kann man am Speedport scheinbar nicht abschalten. Für solche Sachen scheint der Speedport wohl nicht gemacht. Ist wohl eher für den reinen Heimbereich.

Mal schauen, vielleicht kaufe ich mir doch noch mal eine kleine Fritz!Box 7530 oder ich nehme anstatt des AP einen Router in die Vermietung und baue über den ein eigenes WLAN auf.

Zu meiner Hardware. Diese habe ich selber ausgewählt. Ich hatte vorher ein Unifi AC Lite und mit diesem viele Probleme. Auch der Controller über den Rechner war nicht so optimal. Dadurch, dass der GWN einen eingebauten Controller sowie eine kostenlose Cloud hat, fand ich das Gesamtpaket ganz gut. Bei mir im Haus läuft dieser auch sehr gut.

Den Switch habe ich eigentlich nur wegen des POE für den GWN gekauft.

 

[norKoeri]

FRITZ!Box 7530

Die als Internet-Router klappt mit dem Grandstream und dessen „Client-Isolation Modus Internet“, denn in FRITZ!OS kannst Du IPv6 abschalten und DNS auf einen öffentlichen Anbieter setzen.

fand ich das Gesamtpaket ganz gut

Gibt noch einige andere Lösungen, die Du nehmen könnest. Kaufberatung gewünscht?

Wenn Du keine Scheu vor Cloud hast und auf IPv6 verzichten kannst, könntest Du zum Beispiel zu Aruba Instant On greifen. Deren Cloud ist ebenfalls kostenlos. Gibt dazu drei (schrecklich lange) Werbe-Videos auf YouTube … Das wäre in Deinem Fall dann

• Smart 4 als DSL-Modem,
• AP11D als WLAN Router,
• 1930-JL680A als PoE-Switch und
• AP11 oder höher als WLAN-Access-Point. Oder noch ein AP11D, wenn Du Deinen Gästen auch Ethernet-Buchsen anbieten willst.

Habe ich (neben vielen anderen Test-Aufbauten) hier mit Telekom DSL am laufen. Für mich persönlich ist es wegen fehlendem IPv6 und Cloud-Zwang nix, aber für Dich vielleicht interessant, auch weil Du dann aus der Ferne jederzeit und von überall alles umstellen kannst; wahlweise über Desktop-Web oder Handy-App. Und die Einrichtung geht sogar noch schneller, als Du für die oben drei Videos brauchst.

Die Fest-Telefonie würdest Du über eine Gigaset GO-Box 100 machen; bekommst Du gebraucht in eBay unter „gigaset go“.

 

[DLMttH]

Möchtest du wirklich einen Smart 4 zum Modem degradieren?

 

[norKoeri]

… nur weil es da ist bzw. für den Anfang. Später kann man eines dieser beschaffen und den Smart 4 zurückgeben/verkaufen.