In einem früheren Artikel hatte ich über meinen neuen WLAN AP, den Ubiquiti UniFi AP AC LITE berichtet. Mit diesem bin ich übrigends immernoch voll und ganz zufrieden. Keine Problem mehr beim Streaming von Filmen oder kopieren von Dateien.
Jetzt wo mein komplettes LAN VLAN fähig ist, habe ich mir ein eigenes Gäste WLAN eingerichtet, was über ein VLAN komplett von meinem internen Netz getrennt ist.
Folgende Anforderungen hatte ich an das Gäste-WLAN:
- Durch ein VLAN getrennt vom internen LAN
- Eigener DHCP mit eigenem IP-Adressbereich
- Gäste sollen Zugriff auf die Universalfernbedienung haben. (Routing)
Einrichtung des Gäste VLAN
Bei der Erstellung des Gäste VLANs gibt es eigentlich nicht viel zu beachten. Der Type des Netzes sollte natürlich auf "Guest" geändert werden. So greifen dann gleich die, von UniFi vordefinierten, Firewall Regeln für Gast-Netze. So muss sich nicht um die Isolierung des Netzwerkes gekümmert werden.
Zusätzlich muss eine VLAN ID vergeben werden. Ich habe bei mir die ID 10 gewählt.
Als nächstes muss das VLAN noch auf den Port gelegt werden, an dem der AP angeschlossen ist.
Um einem Port zwei oder mehr VLANs zuzuweisen, muss als erstes ein neues "Switch-Port-Profil" erstellt werden. Dort könnt ihr dann alle VLANs auswählen, welche in dem Profil zur Verfügung stehen sollen.
In meinem Fall also LAN und Gast.
Im letzten Schritt, wird das Profil nun noch dem Port zugeordnet.
Ein paar Infos zu VLAN über den UniFi Controller könnt ihr auch in meinem Artikel über die UniFi Switches finden.
Einrichtung des Gäste WLAN
Jeder UniFi AP kann mehrere WLAN Netze erstellen. So benötigt man keinen eigenen AP für das Gäste-Netz, sondern kann die vorhandene Hardware nutzen.
Wichtig ist hier, dass die richtige VLAN ID für das neue WLAN gesetzt wird. In meinem Fall die 10.
Der AP übernimmt dann auch automatisch das taggen der Pakete. Die Gäste müssen an ihren Geräten also keine komplizierte VLAN Konfiguration vornehmen.
Routing einrichten
Eigentlich ist das Gäste WLAN damit schon eingerichtet. Gäste können von dem WLAN aus nur auf das Internet zugreifen. Wenn man möchte, kann man auch noch ein Gastportal einschalten, dies kennet man ja aus Hotels usw.
Was ich allerdings möchte ist, dass man vom Gäste WLAN, meine Universalfernbedienung nutzen kann. So können Gäste, die bei mir übernachten, bequem alle Multimediageräte nutzen, ohne das ich 200 Fernbedienung erklären muss.
Wichtig ist, das aus dem Gäste WLAN nur auf die Universalfernbedienung zugegriffen werden kann, aber nicht auf alle anderen Geräte.
Dafür erstellt man zuerst eine neue "Firewall Gruppe". Dieser kann man einen Namen geben, und IP-Adressen zuweisen. Hier habe ich nur die IP-Adresse, des Servers von der Universalfernbedienung hinzugefügt.
Danach erstellt man unter Firewall, eine neue Regel für "Guest In".
Hier sind die Einstellungen bei Quelle und Ziel der Knackpunkt. Bei Quelle habe ich das komplette Gast-Netzwerk eingetragen.
Als Ziel die oben erstelle Firewall Gruppe "Universalfernbedienung". So können alle Geräte aus dem Gast WLAN auf das Internet und nur auf die Universalfernbedienung in meinem internen Netzwerk zugreifen.