ComputerBase Menü
Aktuelles

Unifi Netzwerk: bestimmte IPs auch für Gast-WLAN freigeben

DjMG

DjMG

Lieutenant
Registriert
Dez. 2006
Beiträge
621
Hallo zusammen!

Ich betreibe mein WLAN mit diversen Unifi Produkten.
Es gibt dabei ein Haupt-WLAN+LAN (Hardware Geräte wie SONOS, Chromecast, Sicherheits-relevante Produkte), als auch Gast-WLAN (nur Internetsurfen, kein Zugriff auf das interne W/LAN).

Gelöst mittels der integrierten Unifi Gaststeuerung samt Standardwerte (siehe Screenshot).

Gibt es eine Möglichkeit, diesen "Gästen" dennoch Zugriff auf gewissen einzelne IPs zu geben, wie z.b. 192.168.1.40?
Entweder allgemein allen Gästen, oder vielleicht gefiltert nach MAC Adresse (nur Smartphone XY darf neben Gast-WLAN auch noch 192.168.1.40) etc.

Danke!
 

Anhänge

  • Anmerkung 2020-02-12 101427.jpg
    Anmerkung 2020-02-12 101427.jpg
    28,4 KB · Aufrufe: 749
Zuletzt bearbeitet:
So wie ich das sehe hast du das Gastnetz nicht über VLAN abgetrennt sondern über eine eigene Netzadresse. Ist das richtig?

Nach dem Screenshot ist die 192.168.1.40 teil Gastnetzes. Du möchtest also die Client Isolation im Gastnetz teilweise aufheben? Falls nein, erkläre bitte dein Netz genauer.

Das 192.168.0.0/16 ist dein Hauptnetz? Warum ist das ein /16 statt ein /24?
Eventuell könnte man damit arbeiten wenn du erklären kannst warum es aktuell so ist.
 
h00bi schrieb:
Das 192.168.0.0/16 ist dein Hauptnetz? Warum ist das ein /16 statt ein /24?
Zum Vergrößern anklicken....
Das ist einer der drei Standarddefinitionen von Ubiquiti, das kommt nicht von @DjMG.

DjMG schrieb:
Gibt es eine Möglichkeit, diesen "Gästen" dennoch Zugriff auf gewissen einzelne IPs zu geben, wie z.b. 192.168.1.40?
Zum Vergrößern anklicken....
Nicht mit Bordmitteln über die GUI des UniFi Network Controllers. Ubiquiti bietet hier quasi nur ein Blacklisting, kein Whitelisting an (sagt ja schon der Name "Post-Authorization Restrictions" bzw. "Beschränkungen nach der Anmeldung" in der deutschen GUI). Sofern du nicht mit unterschiedlichen Subnetzen und/oder VLANs arbeiten möchtest, wird das schwierig.

Du könntest z.B. dein internes Netz ändern, sodass du allgemein ein /23-Subnetz aufbaust. Wenn wir bei einem 192.168.*-Netz bleiben, würde das bedeuten, dass du bspw. die 192.168.0.0/23 nutzt, somit Adressen im Bereich 192.168.0.1 - 192.168.1.254 verteilen kannst. Welchen Vorteil das hat?

Du packst alle Geräte, die auch für die Gäste sichtbar bzw. erreichbar sein sollen in den Bereich 192.168.1.1 - 192.168.1.254 und deine "privaten" (und somit für die Gäste nicht erreichbaren) Geräte in den Bereich 192.168.0.1 - 192.168.0.254. Dann konfigurierst du in der UniFi GUI die "192.168.0.0/24" als blockiertes Netz und erreichst damit besagte Zugriffsrechte auf alles im Bereich 192.168.1.0/24 - nebenbei auch ohne (je nach Hardware bei dir daheim) kompliziertes Subnetz- oder InterVLAN-Routing. Logischerweise bleiben die nicht-Guest-WiFi-Geräte davon unberührt, d.h. hier besteht keine Zugriffsbeschränkung.

Aus Netzwerksicht wirklich sauber ist das zwar nicht, funktioniert jedoch technisch für dein Vorhaben.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: DjMG
@h00bi : die 3 Netze unten bei Zugriffsbeschränkung sind lediglich die 3 RFC Netze, mit einer dieser IP's als Absender würde man dann auf das Gastportal kommen, wenn es denn eingeschaltet wäre. Das hat erstmal nichts mit dem Gast-WLAN zu tun.

Bei Unify ist das Gast-WLAN schon in einem anderen VLAN. Um die beiden Netze zu verbinden und Zugriffe zu gewähren braucht es einen Router der beide Netze Routing-technisch verbindet und dort kann man mit Firewallregeln festlegen wer was darf und wer nicht.
 
Genau, das war der Vorschlag seitens Ubiquiti - habe nicht ich ausformuliert :D

Derzeit ist es so: Standard Netzwerk von 192.168.1.1 bis 192.168.1.254 wo all meine Geräte drin sind = 192.168.1.1/24
Ziel: Allen (WLAN-)Gästen den Zugriff zu diesen Geräten zu verweigern, außer bis auf einige wenige bestimmte Geräte.

Die Idee vom user "iSource" klingt sehr gut!
Danke für den ausführlichen Text, samt verständlicher Farbformatierung!
 
iSource schrieb:
Du könntest z.B. dein internes Netz ändern, sodass du allgemein ein /23-Subnetz aufbaust. Wenn wir bei einem 192.168.*-Netz bleiben, würde das bedeuten, dass du bspw. die 192.168.0.0/23 nutzt, somit Adressen im Bereich 192.168.0.1 - 192.168.1.254 verteilen kannst.
Zum Vergrößern anklicken....
Das sehe ich auch als eine Lösung, jedoch würde ich ein Subnet statt ein Supernet vorschlagen.

Beispiel: 192.168.1.0/25 also 192.168.1.0 bis 192.168.1.127 für LAN und 192.168.1.128/25 (.128 bis .255) für aus dem Gast-LAN erreichbare Geräte.
Im Unifi Controller blockst du dann nur 192.168.1.0/25 statt 192.168.1.0/24.
Der Vorteil des Subnets ist, dass du die Subnetzmaske der LAN-Clients nicht ändern musst um weiterhin auf beide "Netz-Teile" zugreifen zu können.

Man kann das Subnetz ggf. auch kleiner machen, allerdings brauchst du mehr Block-Regeln je kleiner das Subnet ist.
 
Die Frage ist noch, wenn ich laut "iSource" die weniger sensiblen Geräte in das 192.168.1.0/24 Netz lege (SONOS, Chromecast), ... können diese dann mit dem 192.168.0.0 Netz kommunizieren?
Bsp. Raspberry aus dem 1er Netz fragt Status vom SONOS aus 0er Netz ab oder steuert diesen
Ergänzung ()

TheCadillacMan schrieb:
Das sehe ich auch als eine Lösung, jedoch würde ich ein Subnet statt ein Supernet vorschlagen.

Beispiel: 192.168.1.0/25 also 192.168.1.0 bis 192.168.1.127 für LAN und 192.168.1.128/25 (.128 bis .255) für aus dem Gast-LAN erreichbare Geräte.
Im Unifi Controller blockst du dann nur 192.168.1.0/25 statt 192.168.1.0/24.
Der Vorteil des Subnets ist, dass du die Subnetzmaske der LAN-Clients nicht ändern musst um weiterhin auf beide "Netz-Teile" zugreifen zu können.

Man kann das Subnetz ggf. auch kleiner machen, allerdings brauchst du mehr Block-Regeln je kleiner das Subnet ist.
Zum Vergrößern anklicken....

Das hört sich fast noch besser an...
 
Das kommt ganz darauf an. Einige smarte Technologien arbeiten mit Broadcasts. Wenn sich Quelle und Ziel in unterschiedlichen Subnetzen befinden (=unterschiedliche Broadcast-Adresse), kann es problematisch werden, weil der Broadcast im Zweifelsfall nicht als solcher erkannt wird und dementsprechend auch nicht darauf geantwortet wird. Ausprobieren würde ich sagen...
 
iSource schrieb:
Das ist genau der Grund, weshalb ich ein */23-Netz empfohlen habe.
Zum Vergrößern anklicken....
Bei meinem Vorschlag soll die Subnetzmaske an den Clients ja auch bei /24 beleiben und somit beide /25 einschließen.
Es ist eine Art Pseudo-Subnetting, weil die Netze nicht wirklich getrennt sind. Im Bezug auf eine gemeinsame Broadcast-Domäne gibt es keinen Unterschied zu deinem /23.
 
Stimmt, Denkfehler: die Broadcast Domain passt tatsächlich, da die Geräte in 192.168.1.0/25 ja ebenfalls an die 192.168.1.255 schicken.
 
Somit wäre die Lösung die von "TheCadillacMan":

  • Netz #1: 192.168.1.0/25 = 192.168.1.0 bis 192.168.1.127 für sensible LAN Geräte
  • Netz #2: 192.168.1.128/25 = 192.168.1.128 bis 192.168.1.128.255 für unsensible Geräte+Gast-WLAN
  • Unifi Controller im GastWLAN blockieren: 192.168.1.0/25

Sollte ich darüberhinaus noch:
a) die WLAN SSID vom Netz#1 verbergen?
b) die DHCP Range auf .128-.255 abändern? Sodass neu angeschlossene Geräte, erstmal ins unsichere Netz kommen? Ich könnte diese dann am Unifi Controller mit fixer IP ins Netz#1 dauerhaft "rüberholen". Alle Endgeräte sind ja eh auf DHCP eingestellt. Oder wird das dann nicht funktionieren?
 
iSource schrieb:
Stimmt, Denkfehler: die Broadcast Domain passt tatsächlich, da die Geräte in 192.168.1.0/25 ja ebenfalls an die 192.168.1.255 schicken.
Zum Vergrößern anklicken....
:confused_alt: Wie kommst du darauf?

Die .255 ist in keinster Weise als Broadcast-Adresse reserviert. Es ist immer die letzte IP im Subnetz und die hängt demnach natürlich vom Subnetz selbst ab. 192.168.1.0/25 endet bei 192.168.1.127 und genau das ist dann auch die Broadcast-Adresse.

Würde also von 192.168.1.0/24 ein (directed) Broadcast an 192.168.1.255 gehen, wäre das einem Client in 192.168.1.0/25 ziemlich egal, weil 192.168.1.255 für ihn eine stinknormale IP-Adresse außerhalb seines Subnetzes ist.
 
  • Gefällt mir
Reaktionen: Madman1209
@DjMG: So war es gedacht. Beachte aber, dass alle Clients weiterhin /24 (255.255.255.0) als Subnetzmaske brauchen wenn sie auf das jeweils andere Teilnetz zugreifen können sollen.
Letztendlich geht es nur darum die IPs so zu vergeben, dass sie in die richtige Hälfte deines Netzes fallen. Den DHCP-Server kannst du natürlich auch anpassen.

@Raijin: Ich vermute das war unter der Annahme, die beiden Netze mit einer /24-Maske zu betreiben. Im Nachhinein betrachtet, ist die CIDR-Notation für meine Lösung vielleicht etwas verwirrend.
 
  • Gefällt mir
Reaktionen: iSource
Ich persönlich halte auch wenig von solchen Subnetz-Tricksereien. Eine Gast-Funktion ist ein Sicherheitsfeature und wenn man nu anfängt drumherumzubasteln, kann man die Gast-Funktion auch gleich ausschalten.

Gäste sind Gäste und entweder man traut ihnen oder man traut ihnen nicht.

Natürlich ist es ein Problem, wenn man insbesondere Smart Devices aus verschiedenen Subnetzen bedienen will. Dabei ist die Firewall zwischen selbigen gar nicht mal das Problem, weil die meisten smarten Geräte auf dieser Erde nicht dafür vorgesehen sind, in einem anderen Subnetz betrieben zu werden wie die steuernden Geräte (Smartphone, Tablet, Laptop, PC, etc). Die Hue-App von Philips hat beispielsweise erst vor einigen Monaten die Funktion bekommen, eine Bridge über eine manuell eingegebene IP zu erreichen. Das sollte dann auch eine Verbindung in ein anderes Subnetz ermöglichen. Das Gros solcher Apps macht aber einen banalen Broadcast und wartet darauf, dass sich das Zielgerät meldet - solche Apps/Geräte sind nicht für verschiedene Subnetze geeignet.

Nichtsdestotrotz würde ich davon absehen, die Gast-Funktion so .. .. auszuhebeln. Entweder so lassen wie es ist, Gast-Funktion ganz abschalten oder von der integrierten Gast-Funktion auf VLANs umsteigen und dann neben einem gesicherten Gast-VLAN (inkl. eigener SSID) ein "halb gesichertes" VLAN nebst SSID erstellen.
 
  • Gefällt mir
Reaktionen: snaxilian und Madman1209
Raijin schrieb:
Ich persönlich halte auch wenig von solchen Subnetz-Tricksereien. Eine Gast-Funktion ist ein Sicherheitsfeature und wenn man nu anfängt drumherumzubasteln, kann man die Gast-Funktion auch gleich ausschalten.
Zum Vergrößern anklicken....

Nunja, ... Aber was ist die Alternative, wenn ich jetzt kein VLAN aufbauen will, dann einen managed Switch brauche (z.b.), und dann vielleicht erst recht Probleme mit den Smart Devices bekomme.
Ich denke, das macht die Problematik unnötig kompliziert.

Es soll einfach nicht jeder Hinz und Kunz, der bei mir zu Hause (dann: als Gast) im WLAN ist, meine Raspberry oder Philips Hue Lampen usw. steuern. Und das wäre doch mit der "Bastelei" zumindest gelöst, oder?
 
Hi,

Es soll einfach nicht jeder Hinz und Kunz, der bei mir zu Hause (dann: als Gast) im WLAN ist, meine SONOS oder Philips Hue Lampen usw. steuern.
Zum Vergrößern anklicken....

verstehe ich nicht ganz.

Wer die Dinge nicht steuern können soll: Gastnetz
Wer die Dinge steuern können soll: reguläres Netz

Ich sehe es wie Raijin: wenn ich jemandem soweit traue, dass er bei mir Geräte steuern können soll dann darf der oder die auch ins normale Netz. Wenn nicht dann kommt die Person ins Gastnetz, genau dafür ist es da.

Dieses "Zwischending" zwischen Gastnetz und normalem Netz halte ich für fragwürdig.

VG,
Mad
 
Okay - überzeugt. Dann mach ich das wie schlussendlich Madman1209 zusammengefasst hat.
 
Hi,

ich kenne die Situation genau :) War bei einem bekannten genauso: Im Heimkino eine nVidia Shield, die auf ein NAS zugreift. Da ist aber auch ein Chromecast drin, der vor dem Filmeabend von allen Gästen - aus dem Gast WLAN - bedient werden soll. Packt er jetzt die Shield ins Gastnetz kommt die nicht mehr auf die NAS. Packt er die NAS auch dazu kommt er mit dem PC nicht mehr drauf.

Alles nicht so einfach ;)

VG,
Mad
 
Das ist in der Tat ein leidiges Problem. Viele Smart Devices sind einfach nur unzureichend auf Netzwerke vorbereitet, die auch nur 2 mm vom Standard abweichen. So smart sind sie dann am Ende doch nicht.

Blöderweise ist das vor dem Kauf nicht immer ersichtlich ob es zu Problemen führt oder nicht, insbesondere, wenn man sich nicht so gut mit Netzwerken auskennt. Gezwungenermaßen habe ich daher auch bei mir im Netzwerk einige smarte Komponenten im Hauptnetzwerk, obwohl ich u.a. ein separates VLAN für IoT habe.

Aber gerade bei einer Gast-Funktion gibt es tendenziell noch mehr Probleme, weil man darauf in der Regel deutlich weniger Einfluss nehmen kann, wenn überhaupt.
 
  • Gefällt mir
Reaktionen: Madman1209
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz