Wifi Mesh mit Zugriffs-/Gruppenmanagement

[X-TR4]

Moin Zusammen,

ich kann den Titel gerade nicht besser formulieren aber ich hoffe man kann es verstehen.
Was ich suche ist folgendes:
Ich möchte ein Mesh Wlan aufbauen (vermutlich 3-4 APs)
Ein Paar Geräte werden natürlich auch Kabelgebunden im Netzwerk sein
Zusätzlich möchte ich verschiedene Gruppen einrichten um Geräte besser zu managen bzw Restriktonen umzusetzen:

Eine Gruppe für NAS bzw Windows Clients (hier z.T. Kabelgebunden)
Eine Gruppe für Smart Geräte/Echo etc
Eine für Gäste (neue Geräte landen dort automatisch)
(...)

Dann würde ich es gerne so umsetzen, dass die Gruppe der Echo Geräte oder auch Gäste keinen Zugriff auf mein NAS hat, Gäste generell auf garkeine Geräte aus anderen Gruppen usw..
Im Grunde ein wenig wie man es mit VLANs auf klassischer Netzwerkebene umsetzen würde
Ich hoffe ich habe mich verständlich ausgedrückt.
Gibt es das bzw. wenn ja, wo ist es gut gelöst?

Aktuell habe ich TP Link Deco. Das Wlan Mesh funktioniert gut aber die Möglichkeiten in der Hinsicht sind quasi nicht vorhanden.

@mods - Sorry Falsches Forum - Bitte in Heimnetze verscheiben
@Lawnmower , @Zensai

 

[Tornhoof]

Ich bin mir nicht sicher ob es sowas gibt, was du machen kannst ist via Radius Server den Login steuern und basierend dadrauf VLAN Tagging betreiben.
Beispiel: https://help.ui.com/hc/en-us/articles/115004589707-RADIUS-Based-MAC-Authentication-and-802-1X

Dafür brauchst aber halt "Enterprise-level" Geräte.

 

[X-TR4]

Das wird tatsächlich etwas zu Aufwändig für meinen Geschmack - s.o. gehört auch nach Heimnetze, habe mich vertan.

Das Problem mit VLAN Tagging ist, dass es innerhalb des WiFis nicht geht so mein Stand.
Klar, zumindest könnte ich mein Nas irgendwie gesondert abkapseln.

Wenn sowas garnicht geht dann müsste ich eben mit Alternativen wie Gäste Wlan, Versteckter SSID etc arbeiten. Das Problem ist, gerade bei einfachen Smarthome Geräten funktionieren solche Dinge nicht immer

 

[Tornhoof]

Das Problem mit VLAN Tagging ist, dass es innerhalb des WiFis nicht geht so mein Stand.

Naja, das ist ja gerade der Trick an dem Radius Zeug, du kannst dann die VLANs steuern, also z.b. MAC ABC bekommt eine andere VLAN Id als MAC BCD. Dann "verhalten" sich deine Wireless Geräte genauso wie die Wired Geräte, d.h. wenn du mit VLAN deine Anforderungen lösen kannst, dann müsste das RADIUS Zeug reichen um deine Wireless Geräte auch einzubinden.

 

[X-TR4]

Aber funktioniert Vlan Tagging auch innerhalb eines WLAN netzes?
zB Smartphone 1 kommt in VLAN1 und Laptop 1 in VLAN2, beide hängen am gleichen WLAN AP und sollen untereinander nicht kommunizieren

Ich habe im Kopf, das geht nicht

 

[Tornhoof]

les dir doch einfach mal einmal den link von oben durch

 

[tdbr]

Machbar mit Mikrotik (cAP ax) (nicht sehr einfach in der Konfiguration).
Machbar mit Ubiquiti (UniFi) (deutlich einfacher in der Konfiguration).
OpenWRT?

Geld ist dein Limit (Wifi 5/6/7)

Ich hab Mikrotik hier mit 5 VLAN (VPN, ISP, IoT, Gast, MGMT)

Radius ist nicht was du brauchst getrennte VLAN & WLAN mit Firewall Regeln reichen aus.

 

[X-TR4]

les dir doch einfach mal einmal den link von oben durch

Dem Link entnehme ich wie ich bei ubiquiti Radius/Mac Auth einstelle aber nicht was ich damit umsetzen kann. Vielleicht stelle ich mir das was ich will zu einfach vor, es enspricht jetzt ja erstmal keinem, Standard Netzwerkprotokoll.

So wie ich das sehe müsste ich dann wirklich mit getrennten WLAN Netzwerken je Gruppe arbeiten und Zugriff über VLAN regeln. Ich kann ja ein Vlan nur einem Wlan bzw Netzwerkport aber keinem einzelnen Gerät innerhalb eines WLANs zuordnen oder nicht?

Was die Geschwindigkeit angeht hätte ich gerne Wifi 6, ab 3Gbit(max) und am besten Triband falls ich die Mesh Geräte untereinander nicht verkabeln können sollte. Auf die Schnelle hatte ich den U7 Pro gefunden von Ubiquiti. Der wäre auch so mein max Preissegment

 

[Tornhoof]

Gemäß dem Link oben legst du unterschiedliche Radius User Profile an, für jede MAC Adresse ein eigenes Profil, dann kannst du unterschiedliche MAC Adressen für WIFI Devices unterschiedliche VLAN Ids geben.

Zumindest wenn ich mir https://std.rocks/ubiquiti_radius_vlan.html so anschaue, da macht das einer mit zwei getrennten VLANs, einmal für Admin, einmal für nicht Users, alles über eine SSID. Der macht das jetzt mit Windows Server, aber das ist halt nur ein Radius Server.

 

[X-TR4]

Grundsätzlich verstanden - hier nicht VLAN Zuordnung durch MAC sondern durch Windows Authentifizierung

Soweit so gut. Aber was fange ich mit dem VLANs nun an?
Hier ist ja noch die Besonderheit dass er eine SSID mit 2 Subnetzen hat ich aber garnicht den Punkt finde wie das umgesetzt wurde.

Ich nehme aber schon einmal mit, da sist jetzt nichts was ein gängiger Heimnetzwerkhersteller out of the Box bietet, es müsste als mindestens soetwas semi professionelles wie ubiquiti sein

 

[norKoeri]

Die angegebene(n) Quelle(n) nutzten noch dynamische VLANs. Das erfordert, dass der WLAN-Client auch WPA-Enterprise kann. Alle anderen Clients kommen normal über Multi-SSID ihre VLAN-Zuteilung. Schöner geht das neuerdings über Private-Pre-Shared-Key (kurz PPSK, manchmal auch DPPSK genannt).

es müsste als mindestens soetwas semi professionelles wie ubiquiti sein

Das können sogar nur gar wenige „richtig“: Ich kenne nur UniFi und Cisco. Problematisch wird das Ganze nämlich, wenn Du auch Multicast basierte Protokolle wie IPv6 oder mDNS weiter nutzen willst. Könntest Du darauf verzichten, hättest Du eine größere Auswahl …

Aber was fange ich mit dem VLANs nun an?

Du hast einen Router der mehrere Heimnetz-Segmente anbietet, also Multi-LAN. Diese verteilst Du über VLANs. Obige Techniken (A) Multi-SSID (B) dynamische VLANs (C) PPSK setzen jene VLANs auf WLAN um. Jene drei Techniken kannst Du auch mischen.

TP-Link Deco-Mesh

Wenn Du einen der Decos als Router laufen lässt, müsstest Du die Möglichkeit des Gast-WLAN haben. Welchen Router (Hersteller und Modell) und welchen Internet-Anschluss hast Du aktuell, also Fiber, DOCSIS, DSL bei welchem Internet-Anbieter in welchem Land?

 

[X-TR4]

Im Grunde möchte ich ein einziges Wlan und mindestens 3 Gruppen

1. Gäste - wäre einfach weil wie bereits erwähnt gibt es ein Gast WLAN und die sollen in meinem Netz nichts weiter erreichen
2. Smarthome/IOT Die Geräte sollen untereinander kommunizieren aber nicht auf meine Privaten Daten zugreifen
3. Allgemeines Wlan/Lan für meine Computer und Mobilgeräte mit Zugriff auf ein NAS

Das einfachste wäre vermutlich 3 SSIDs - Nachteil wenn ich mich richtig informiert habe: Geht stark auf die Sendeleistung jede SSID seine Kanäle etc beansprucht.

Wenn ich nun die Geräte z.B. mittels mehrerer PPSK unterschiedlichen VLANs zuweise, wie hier im Bsp:

kann ich dann eine ACL erstellen und die Zugriffe innerhalb einer SSID regeln, oder benötige ich weiterhin mehrere SSIDs. Irgendwie kann ich die ganzen verlinkten Anleitungen/FAQs gedanklich noch in kein reales Beispiel umsetzen

welchen Internet-Anschluss hast Du aktuell, also Fiber, DOCSIS, DSL bei welchem Internet-Anbieter in welchem Land?

Es wird dann vermutlich auf Kabel herauslaufen. Wenn ich eh alles über ein separates WLAN regele vermutlich mit der aktuellen Vodafone Büchse