Asus Netzwerk mit mehreren Routern

[hansstegherr]

Hallo,
hoffe das Thema gibts noch nicht. Im Anhang ist fast alles beschrieben zum Problem. Ich hoffe mir kann jemand helfen.
Wahrscheinlich liegt der Fehler an mir. Asus kontaktieren ist leider unmöglich. Bin mir auch nicht sicher ob es an der Konfiguration der Router, oder an mir oder an den Sonos Controllern liegt.

 

[t-6]

Lad das Bild aus dem DOCX hier hoch & nimm auch den Text dazu. Nicht jeder möchte irgendein DOCX ausm Internet runterladen.

Zum Thema: Es klingt stark danach als ob "unverschlüsselte Gastnetz" in Etage 2 eben auf dasselbe LAN zeigt wie das wo die Sonos Boxen stehen. Wenn der Router nicht als Router läuft sondern als Access Point aber mehrere WLANs ausstrahlt die wiederum voneinander unabhängig sein sollen, wird das Thema VLAN relevant.
Es fehlen hier aber noch ein ganzer Haufen Details wie z.B. welcher Router welche IP hat usw.

Wie auch immer: Da Mitglieder im unverschlüsselten WLAN die Sonos Boxen sehen können, die deiner Zuschrift nach eben nicht im Gastnetz sichtbar sein sollen, wird das eine unverschlüsselte WLAN eben im internen LAN sein.


Also mach mal lieber das eine unverschlüsselte WLAN dicht, weil jetzt dein internes LAN offen steht.

Aber um es ganz kurz zu machen: Bei deinem relativ komplexen LAN und den hergeleiteten Ansprüchen sind diese Asus-Router nicht angemessen.

 

[hansstegherr]

Lad das Bild aus dem DOCX hier hoch & nimm auch den Text dazu. Nicht jeder möchte irgendein DOCX ausm Internet runterladen.

Zum Thema: Es klingt stark danach als ob "unverschlüsselte Gastnetz" in Etage 2 eben auf dasselbe LAN zeigt wie das wo die Sonos Boxen stehen. Wenn der Router nicht als Router läuft sondern als Access Point aber mehrere WLANs ausstrahlt die wiederum voneinander unabhängig sein sollen, wird das Thema VLAN relevant.
Es fehlen hier aber noch ein ganzer Haufen Details wie z.B. welcher Router welche IP hat usw.

Wie auch immer: Da Mitglieder im unverschlüsselten WLAN die Sonos Boxen sehen können, die deiner Zuschrift nach eben nicht im Gastnetz sichtbar sein sollen, wird das eine unverschlüsselte WLAN eben im internen LAN sein.


Also mach mal lieber das eine unverschlüsselte WLAN dicht, weil jetzt dein internes LAN offen steht.

Aber um es ganz kurz zu machen: Bei deinem relativ komplexen LAN und den hergeleiteten Ansprüchen sind diese Asus-Router nicht angemessen.

Hallo,
erstmal danke für die Antwort. Ich dachte ich hätte die Datei hochgeladen. "Anhang wurde hochgeladen" Keine Ahnung wo und wie ich das rein oder hochladen soll. Dann muß ich es ja kopieren und einfügen. Dann stimmt aber mein Text Format nicht mehr. Naja egal, lassen wir das. Ich kanns nicht. Und wenn ich unter deiner Antwort auf antworten gehe, kommt "der Text ist zu kurz". Bin einfach zu blöd für diese Welt. Sorry und Danke nochmals. Nun muß ich wohl mein Thema schließen. Wo auch immer. Übrigens die Router beginnen bei fester IP 192.168.1. usw. bis 6.

 

[t-6]

Übrigens die Router beginnen bei fester IP 192.168.1. usw. bis 6.

Das reicht als Info leider nicht, gibt mir zumindest aber schon mal das Indiz (Erfahrung; Bauchgefühl), dass die "unverschlüsselten" WLANs im selben logischen Netz sind wie dein normales internes LAN, also wo die Sonos Boxen stehen.

Es dürfte mit der Flotte an Asus-Routern ziemlich wahrscheinlich unmöglich sein ein getrenntes Gast-WLAN/LAN über mehrere Router/Access Points hinweg aufzubauen. Dafür sind die einfach nicht gedacht.
Mindestens muss es möglich sein dass das "unverschlüsselte" WLAN einem anderen VLAN zugeteilt werden kann. Ab da kann man dann weiterschauen. Ist das nicht möglich, kannst du es eigentlich komplett mit der Hardware* vergessen.

Schau Richtung Unifi und/oder lieber gleich einem Systemhaus die sich mit Hotel-LANs auskennen.

Ansonsten sei gesagt, dass dieses "hybride" Modell mit privatem LAN + Gast-LAN ab dem kleinsten bisschen extra Komplexität einfach nicht mit MediaMarkt-Hardware zu machen ist.

 

[hansstegherr]

Das reicht als Info leider nicht, gibt mir zumindest aber schon mal das Indiz (Erfahrung; Bauchgefühl), dass die "unverschlüsselten" WLANs im selben logischen Netz sind wie dein normales internes LAN, also wo die Sonos Boxen stehen.

Es dürfte mit der Flotte an Asus-Routern ziemlich wahrscheinlich unmöglich sein ein getrenntes Gast-WLAN/LAN über mehrere Router/Access Points hinweg aufzubauen. Dafür sind die einfach nicht gedacht.
Mindestens muss es möglich sein dass das "unverschlüsselte" WLAN einem anderen VLAN zugeteilt werden kann. Ab da kann man dann weiterschauen. Ist das nicht möglich, kannst du es eigentlich komplett mit der Hardware* vergessen.

Schau Richtung Unifi und/oder lieber gleich einem Systemhaus die sich mit Hotel-LANs auskennen.

Ansonsten sei gesagt, dass dieses "hybride" Modell mit privatem LAN + Gast-LAN ab dem kleinsten bisschen extra Komplexität einfach nicht mit MediaMarkt-Hardware zu machen ist.

Also bei Media Markt habe ich die nicht gekauft. Die sind doch alle fast gleich aufgebaut.In anderen Hotels, sehe ich nix anderes. Und das Netzwerk ist ja wirklich nicht komplex. Im Router kann ich bis zu 3 Gastzugänge einrichten. Einer reicht. Der Internet Zugang klappt ja auch super, in allen 3 Stockwerken. Der Gastzugang isoliert doch nur das private Netzwerk, so dachte ich. Beim ersten Router funktioniert das ja auch. Da komme ich, wenn ich im Gastmodus bin, nicht auf die Sonos Controller. Dann beim 2ten, als access point da geht es schon los. Der ist über eine Netzwerkbuchse, die zum ersten Router führt, eingesteckt. Die Zuteilung am Router die du erwähnst kann ich nicht machen. Ich habe nur die Möglichkeit den Gastzugang zu verschlüsseln, oder zeitlich zu begrenzen oder unter "professionell" die AP isoliert festlegen. Die Boxen sind im selben Netz.
Ich bin dir sehr dankbar für deine Mühe, aber wenn es gar nicht geht, liegt es wohl doch an den Routern. Oder ich habe falsch konfiguriert oder eingesteckt. Man zweifelt an sich selber. Ich habe den Gastzugang als unverschlüsselt gemacht, da es unheimlich nervt, wenn jeder Gast, trotz Aushang des Passwortes, nach dem Passwort fragt. Und wenn auch verschlüsselt, ändert das auch nichts. Dann greift er halt mit Passwort auf die Boxen zu. Was kann er schon machen, außer vor dem Haus zu surfen. Jeder kennt doch das lästige einloggen in den Hotels, und dann bei vielen noch zeitlich begrenzt. Das möchte ich einfach vermeiden. Die Router sind gesichert. Zum eigentlichen Thema, betrifft nur unten, das klappt ja, und erste Etage. Das dumme ist, das die Reichweite eben zur ersten Etage geht, und da ist dieses Mist Ding an Router, der den Gastzugang nicht trennen kann.
Ich wünsch dir noch Frohe Ostern und nochmals Danke für deine Überlegungen. Bald kommt Weihnachten, da werfen viele den Christbaum raus, ich eventuell die Router.....

 

[Raijin]

Sorry, dein docx lade ich mir nicht runter, aus Prinzip. Beschreibe dein Problem hier und nicht in irgendeiner Datei.

Aus den bisherigen Ausführungen filtere ich mal ein paar Annahmen heraus:


Du hast mehrere Asus-Router, die du in einem Hotel (?) für das Gast-Netzwerk nutzen willst, störst dich aber daran, dass deine Sonos offen sichtbar für alle ist. Liege ich damit richtig? Falls nicht, beschreibe dein Problem im Thread und schreib nicht einfach 3 Zeilen "steht alles im Anhang"

Im Folgenden gehe ich davon aus, dass meine Annahmen korrekt sind.

----------------------------------------------------

Nutzt man nur einen einzelnn WLAN-Router, reicht die Gast-Funktion unter Umständen sogar aus. Bei mehreren, geht es ja um die Weiterleitung der Gast-Funktion! Verbindet man nämlich einen AP mit einem der Haupt-LAN-Ports, sieht er von der Gast-Funktion des Hauptrouters nichts und der vermeintliche Gast ist unter Umständen direkt im Haupt-Netzwerk drin! Das kann zB daran liegen, dass die Gast-Trennung nur dann funktioniert, wenn Internet über WAN reinkommt, nicht wie bei einem AP über LAN. Nach deinen Beschreibungen scheint dies bei dir der Fall zu sein.

Bietet der Router keinen Gast-LAN-Port, bleiben nur zwei Möglichkeiten:

1) WLAN-Uplink
Die nachgelagerten Router nicht als AP, sondern als WLAN-Client einrichten und mit dem Gast-WLAN verbinden - LAN-Kabel zum Hauptrouter weglassen. Eine weitere Gast-Funktion an diesen Routern ist dann unerheblich, da sie ja ihrerseits bereits über den Uplink am Hauptrouter im Gast-Netzwerk sind.

2) WAN-Port + Firewall
Die Verbindung zwischen Haupt- und Nebenrouter über den WAN-Port verbinden. Dabei bekommt dann jeder Router sein eigenes Subnetz (zB 192.168.#stockwerk.0). Nun muss man allerdings die Firewall so konfigurieren, dass Verbindungen von hinter dem Nebenrouter ins Haupt-Netzwerk blockiert werden

Hat man mit beiden Lösungen keinen Erfolg oder die Nachteile wiegen zu schwer (zB langsamer WLAN-Uplink bei #1), bleibt nur noch eine Lösung, die allen anderen aber um jeden Preis vorzuziehen ist:


3)
Im geschäftlichen Umfeld, insbesondere Hotels, etc. keine Consumer-Hardware einsetzen! Asus-Router, Fritzboxxen, TP-Link und Co, sind für den Einsatz zu Hause konzipiert. Sie sind nicht für den Betrieb in einem Hotel geeignet! Das ist das was t-6 als "MediaMarkt-Hardware" bezeichnet, ungeachtet dessen ob du nu bei Saturn, MediMax, Conrad, Amazon, Cyberport, Alternate oder beim PC-Höker umme Ecke eingekauft hast.
Das liegt einfach daran, dass solche Geräte auf ein 08/15 Szenario vorkonfiguriert sind und sich nicht beliebig anpassen lassen. Ferner sind WLAN-Router in den meisten Fällen für den Einsatz mit <10 WLAN-Clients gedacht. Werden es mehr, kann so eine 08/15 Kiste schon mal ins Schwitzen kommen. Sie sind wie gesagt für private Nutzung vorgesehen und nicht dafür gedacht, ein Hotel mit 40+ WLAN-Clients zu versorgen!



Meine Empfehlung ist daher ganz klar: Besorge dir adäquate Geräte und wurschtel nicht mit ungeeigneter Hardware rum, nur weil du sie von zu Hause kennst. Router ist nicht gleich Router und Netzwerk ist auch nicht gleich Netzwerk! Das was du von daheim kennst deckt vielleicht 10% des Themas "Netzwerke" ab, wenn überhaupt. Heimische Router sind eine eierlegende Wollmilchsau, die von allem etwas kann, aber nichts davon richtig gut. Für diese Geräteklasse ist so ziemlich alles "komplex" was über Ich-hab-zu-Hause-Internet-mit-1-PC-und-2-Smartphones hinausgeht.

Ein Beispiel für geeignete Hardware wäre zum Beispiel das UniFi-System von Ubiquiti. Mit UniFi kannst du auch ein Hotel-(W)LAN aufbauen, samt Gast- und Haupt-Netzwerk. Wenn du solche Hardware nicht selbst einrichten kannst, besorg dir Unterstützung (zB von einem nahen Systemhaus).

In einem befreundeten Hotel habe ich so ein UniFi-System eingebaut. Materialkosten ca. 300-400€. Hat der Chef zuvor auch in Eigenregie gemacht, mit FritzRepeatern wie bei ihm zu Hause. Tägliche Beschwerden seitens der Hotelgäste. Irgendwann habe ich ihm dann meine Hilfe angeboten und seit nun mehr fast einem Jahr keine einzige Beschwerde mehr.
Der Auslöser war im übrigen auch seine Sonos, weil ich ihm mit Hilfe von Rammstein eindrucksvoll demonstriert habe, wer denn nun die Musik bestimmt. Das ist jetzt, dank Firewall/Gast-WLAN Geschichte.

 

[hansstegherr]

Ja du bist toll. Vielen Dank, für die Unterstützung. Beschwerden hatte ich noch nie. Im Gegenteil, auf einer bekannten Hotel Plattform wird mein W-Lan durchweg mit 10 Punkten bewertet. Bischen angeben muss ich auch. Es handelt sich hier nicht um 40+ sondern um eine kleine Pension mit 27 Betten. Es funktioniert halt die Trennung nicht. Ich wollte ja nur wissen, wo der Fehler liegt. Da meine private Wohnung in der Pension ist, wollte ich einfach mein privates Netzwerk, wo kein Gast darauf zurück greifen kann. Ganz einfach. Das sollte doch auch mit den Asus Routern möglich sein.Mit deiner Annahme liegst du richtig. Der Router bietet keinen Gast LAN Port, sondern eben nur die interne Auswahl 3 Gästenetzwerke zu erstellen. Da habe ich ja die 2 Screenshots im Anhang.
Vielen Dank für Deine Hilfe und Aufklärung

 

[Raijin]

Ja du bist toll.

Das klingt irgendwie sarkastisch und angepisst, was in dem Falle unangebracht wäre. Kann mich aber auch täuschen, der Ton macht die Musik und ein Forum ist (noch) unvertont. Vielleicht meintest du es auch ernst und ich bin wirklich toll? Endlich hat das mal einer gemerkt! Hehe..

Dass es sich um eine Pension handelt, wurde vielleicht aus deinem docx ersichtlich, aber wie ich schon schrieb: Beschreibe dein Problem bitte im Thread und nicht in einem Download-File. Über Docx und Co verbreitet sich ein Großteil der Viren heutzutage, Huckepack... So oder so, auch für eine Pension gelten aber im Prinzip dieselben Argumente. Eine Penson ist kein Privathaushalt mit 3 Familienmitgliedern und <10 WLAN-Geräten, sondern mit ständig wechselnden Gästen und beliebig vielen WLAN-Geräten.

Es mag ja sein, dass du noch keine Beschwerden hattest - mein Beispiel war ja auch mit Repeatern und daher ein Etremfall - aber die Qualität eines WLANs definiert sich nicht ausschließlich über die Leistung. Ist das WLAN schnell genug, wird sich auch kaum ein Gast beschweren. Offenbar bist du aber selbst nicht ganz zufrieden mit dem aktuellen Setup, sonst würdest du hier ja nicht posten. Die Sicherheit ist nämlich ein weiterer Aspekt. Können die Gäste die Sonos sehen, ist das noch das kleinste Problem - dann spielen sie eben mal Rammstein ab. Besagter befreundeter Hotelier hat zwar dumm geguckt als ich das gemacht habe, aber schlimmer fand ich, dass ich seinen Drucker leerdrucken konnte und eben auch seinen Kassen-PC sowie den im Büro sehen könnte (und seinen Laptop, Chromecast FireTV und was weiß ich noch alles. Gerade die PCs sind dabei kritisch. Hat man nur ein schwaches Passwort, kann im worst case schon ein halbwegs geübter Youtube-Gucker deinen PC angreifen. Im worst case kommt er dann an deine Steuererklärung oder sonstige private Daten. Dagegen ist Rammstein in der Sonos noch harmlos..

Trotzallem rate ich dir zu einer geeigneten Lösung. Besagtes UniFi-System ist bei vielen versierten Nutzern hier im Forum in Betrieb - bei mir auch - und Ubiquiti bietet derzeit einfach das beste Preis-Leistungsverhältnis. (Semi)Professionelle Hardware zu günstigen Preisen. Ob man nu einen WLAN-Router für 70€ als AP kauft oder einen UAP AC Lite, macht keinen Unterschied - abgesehen von den Features.


Willst du dagegen unbedingt an deiner Hardware festhalten, musst zuvor erstmal geprüft werden wie genau die Gast-Funktion überhaupt funktioniert. Deine Screenshots sind wenig informativ. Prüfe bitte Folgendes:


- Laptop am Hauptrouter ins Haupt-WLAN einloggen. Start --> cmd --> ipconfig /all --> IP-Adresse der WLAN-Schnittstelle aufschreiben
- Start --> cmd --> ping 8.8.8.8
- Start --> cmd --> ping die.ip.der.sonos
- Laptop am Hauptrouter ins Gast-WLAN einloggen. Start --> cmd --> ipconfig /all --> IP-Adresse der WLAN-Schnittstelle aufschreiben
- Start --> cmd --> ping 8.8.8.8
- Start --> cmd --> ping die.ip.der.sonos

Prinzipiell müsstest du im Gast-WLAN eine andere IP bekommen bzw. ein anderes Subnetz. Beispielsweise 192.168.1.123 im Haupt- und 192.168.148.234. Das ist dann das abgetrennte Gast-Netzwerk, das intern ausschließlich Internetzugriff erhält (1. ping) und den Zugriff ins Hauptnetzwerk unterbindet (2. ping).

- Zweit-Router als AP verbinden, also LAN-Kabel vom Hauptrouter in einen LAN-Port am Zweitrouter (WAN bleibt leer)
- Laptop am Zweitrouter ins Haupt-WLAN einloggen. Start --> cmd --> ipconfig /all --> IP-Adresse der WLAN-Schnittstelle aufschreiben
- Start --> cmd --> ping 8.8.8.8
- Start --> cmd --> ping die.ip.der.sonos
- Laptop am Zweittrouter ins Gast-WLAN einloggen. Start --> cmd --> ipconfig /all --> IP-Adresse der WLAN-Schnittstelle aufschreiben
- Start --> cmd --> ping 8.8.8.8
- Start --> cmd --> ping die.ip.der.sonos

Der Hintergrund dieses Tests ist, dass die Firewall im Router ja das Gast-Netzwerk isoliert. Die Frage ist nun ob die aktivierte Gast-Funktion in einem als AP verbundenen Asus trotzdem funktioniert (also Internet ja, Hauptnetzwerk nein). Es kann nämlich auch sein, dass der Gast ausschließlich am WAN-Port rausgehen darf, weil da normalerweise das Internet ist. Beide Varianten sind möglich, je nachdem wie Asus das gebaut hat.


Funktioniert die Internetverbindung auch im Gast-WLAN des Zweitrouters und der Zugriff auf das Hauptnetzwerk wird geblockt, wäre ja alles ok. Funktioniert die Internetverbindung dagegen nicht, muss der WAN-Port vermutlich zwingend genutzt werden. Der Uplink zum Hauptrouter würde dann in den WAN-Port des Zweitrouters gehen. In diesem Fall würde dann zwar Internet wieder gehen, aber für den Zweitrouter ist alles was hinter seinem WAN-Port kommt "das Internet" und somit greift auch die Gastfunktion nicht. Dass zwischen Internet und Zweitrouter noch das Hauptnetzwerk liegt, ist dem Zweitrouter herzlich egal, da für ihn WAN = Internet = Gast darf.
Wenn dem so ist, musst du mal in die Filter-Listen des Zweitrouters gehen. Dort kann man vermutlich irgendwo eine Blacklist, o.ä. anlegen. IP-Adressen im "Internet", die nicht angesurft werden dürfen. Füge dort den IP-Bereich deines Hauptnetzwerks hinzu und dann sollte eigentlich niemand hinter dem Zweitrouter noch dein Hauptnetzwerk sehen können, auch nicht die Sonos.


Es gibt leider noch diverse mögliche Resultate, die jeweils von der Verkabelung, den Einstellungen sowie den Herstellern abhängen. Der Teufel steckt oft im Details. Als vergleichendes Beispiel möchte ich mal Fritzbox und Speedport heranziehen. Beide haben VoIP-Telefonie an Bord, aber der Speedport kann ausschließlich über das eigene Modem VoIPen, er muss also zwingend auch der Internetrouter sein, der sich beim Provider einwählt. Eine Fritzbox hingegen kann auch als AP konfiguriert als VoIP-Gateway dienen (zB alte Fritzbox neben das Fax stellen und VoIP-Faxen). Jetzt gilt es herauszufinden wie Asus das mit der Gast-Funktion macht.

 

[hansstegherr]

Mannomann, neene das war so gemeint wie ich es gesagt habe. Der obere Teil ist schon fast eine Schulung. Vielen Dank. Mit dem kann ich was anfangen. Ich möchte jetzt nicht noch weiter nerven. Es ist wohl so wie du sagtest, Hardware wechsel. Nur das rentiert sich für mich nicht mehr.
Ich habe jetzt mal die Router anders konfiguriert, und umgesteckt, dann funktioniert es, dank deiner Hilfe . Erläutern muß ich das wohl nicht mehr. Vielen Dank an das Forum und die Admiräle .

 

[Raijin]

Hehe, ok. Wenn du trotzdem noch Hilfe brauchst, einfach raus damit. Wenn's genervt hätte, hätte ich nicht gepostet. Dafür ist das Forum schließlich da.

 

[hansstegherr]

Hallo Admiral, jetzt vielleicht doch noch eine Hilfe für die Seenot. Ich habe mal alles befolgt wie aufgetragen. Und mit meinem Laien Verständnis sehe ich das so:
Der erste Router, sprich Hauptrouter lässt nichts durch, da greift das Gästenetzwerk.
Beim zweiten Router, der verbunden ist per LAN mit dem ersten und als Accesspoint fungiert, der lässt alles durch. Ich habe auch schon die Sonos MAC Adressen zum sperren eingegeben, das ist dem Wurschd. Das einzige was geholfen hat, ist ihn als normalen Wireless Router zu konfigurieren, aber dann bekommt er ja eine andere IP Adresse und ist dann nicht mehr in meinem Netzwerk Aber muß ich euch Profis nichts erzählen. Außer ich mach etwas falsch bei der Wireless Router Bridge Konfiguration. Er bekommt die Adresse 192.168.2.1....... Aber so wäre ich auf der sicheren Seite, erfüllt halt nicht den Zweck für das Netzwerk. Vielleicht wisst ihr ja eine andere Lösung, außer das Beste von euch schon vorgeschlagen, Andere Router!!
Ich schick jetzt trotzdem im Anhang die Screenshots von ping und pong mit, vielleicht geht mein Schwindel dann weg.
Was noch zu erwähnen wäre, der 2te und 3te Stock ist eigentlich indiskutabel, da das WLan eh nicht zu mir reicht. Da kann ich einen als WLan Router konfigurieren und die anderen als Repeater, die sich dann bei dem einhängen.
Wäre super, wenn ich nochmals Hilfe als Kadett bekommen könnte.

 

[Raijin]

Kleiner aber feiner Fehler in den Screenshots: ipconfig /all


Außerdem bringt das nur etwas, wenn du noch dazu sagst an welcher Stelle im Netzwerk du das gemacht hast, ich schrieb ja vom Haupt- und Nebenrouter.


Es ist leider nicht so einfach, so ein Setup aus der Ferne zu bereinigen. Wie gesagt, für sowas sind solche Router nicht gebaut worden und daher kann man sich maximal mit Krücken behelfen, die aber je nach Router/Hersteller anders ausfallen können oder gar generell nicht möglich sind (siehe mein Beispiel mit VoIP und Speedport vs Fritzbox).


Die einzige Lösung, die ich dir anbieten kann wäre die besagte Blacklist und der WAN-Port. Wenn du die Nebenrouter per WAN-Port mit dem Hauptrouter verbindest, agieren sie als eigenständige Router und nicht mehr als Access Points. Das heißt auch, dass sie ihr eigenes Subnetz verwalten (also 192.168.x.y) und mittels NAT+Firewall ihr LAN vom "WAN" - alias dein Hauptnetzwerk - isolieren. Letzteres passiert allerdings nur vom Hauptnetzwerk am WAN (quasi "das Internet") zum Nebennetzwerk am jeweiligen LAN-Switch hinter dem Nebenrouter. Es wäre in diesem Szenario also nicht möglich, vom Hauptnetzwerk auf ein Gerät in einem der Netzwerke hinter den Nebenroutern zuzugreifen - dazu müsste man dann Portweiterleitungen einrichten - aber man könnte durchaus aus einem Nebennetzwerk auf Geräte im Hauptnetzwerk zugreifen, denn das ist ja aus Sicht des Nebenrouters wie gesagt "das Internet".

Hier kann aber eine Blacklist Abhilfe schaffen. Eigentlich ist eine Blacklist dazu gedacht, potentiell gefährliche IPs im Internet zu blockieren, zB IPs aus bestimmten Ländern oder auch gefakete IPs. Im vorliegenden Gast-Szenario könnte man die Blacklist aber auch dazu nutzen, das Hauptnetzwerk für die Nebenrouter als tabu zu definieren. Dazu trägst du einfach die IP-Range deines Hauptnetzwerks in die Blacklist ein (zB a.b.c.0-a.b.c.255 oder a.b.c.0/24 oder a.b.c.0/255.255.255.0). Nun sollte der Nebenrouter zwar Traffic vom Nebennetzwerk ins Internet zulassen, aber Zugriffe direkt auf das Hauptnetzwerk blockieren.

Google meint die Blacklist ist hier zu finden: Firewall --> Netzwerkdienstfilter


Mit dieser Lösung sollte es eigentlich ganz gut funktionieren. Dass das aber reine Flickschusterei ist, muss ich wohl nicht mehr erwähnen. Zumindest könntest du damit aber weitestgehend deine Anforderungen erfüllen, bei mittelmäßiger Sicherheit und Wartbarkeit.

 

[hansstegherr]

Hallo,
vielen Dank für dein Mühe. Eigene Subnetze usw. habe ich schon ausprobiert, das funktioniert auch. Nur, wie du sagst, Flickschusterei. WAN-Port habe ich auch umgesteckt und dann Blacklist(en) erstellt, ich bekam aber kein anderes Ergebnis.
Die Screenshots habe ich rausgenommen da mir der Fehler auch aufgefallen ist. Mannomann, ich Simpel. Zu doof den richtigen Befehl einzugeben.( Das passiert halt, neben Netzwerk und Roastbeef, Diletantisch)

Meinst du, es ist möglich, den vorgeschlagenen UBIQUITi als AP zu integrieren und den Asus austauschen? So, das wenigstens mein privates Netzwerk abgesichert ist. Oder funktioniert das nicht?
Beste Grüße und nochmals vielen Dank

 

[Raijin]

Naja, die Sache ist die, wenn man mischt, kann es einerseits Probleme beim Roaming, etc. geben und zum anderen sind dann nicht zwangsläufig auch alle funktionen möglich.

Die UAPs bieten durchaus auch eine Gast-Funktion ohne weitere Hardware. Allerdings habe ich das so selbst noch nie eingesetzt. Im best case hat man nämlich mehrere VLANs, die man an den AP heranführt und dessen verschiedene SSIDs werden dann jeweils einem VLAN zugeordnet. Am zentralen VLAN-Router werden anschließend die Regeln definiert welches VLAN nun was darf (zB Internet-only). Das wäre die Optimallösung, erfordert aber dementsprechend einen VLAN-fähigen Router - 08/15-Router können das nicht - und VLAN-fähige Switches. Im worst case musst du also dein halbes Netzwerk austauschen.

Man kann aber wie gesagt bei den UAPs auch für eine SSID eine Gast-Isolation einschalten und dann blockt der AP selbst den Zugriff von WLAN-Clients im Gast-WLAN auf den Rest des Netzwerks. Ausprobiert habe ich diese Funktion in der Form aber noch nicht, daher kann ich dir dazu auch keine weiteren Details nennen. Mein LAN ist geVLANt und somit habe ich in der ganzen Bude sowohl an den Dosen als auch im WLAN (mit verschiedenen SSIDs) quasi zwei getrennte Netzwerke.


Ansonsten gäbe es noch eine weitere Lösung: Wenn du dir einen ER-X anschaffst, das ist ein kleiner 5-Port-Router von Ubiquiti für ~50€, dann kannst du den zwischen deinem Hauptrouter und dem/den Nebenrouter(n) klemmen. Das ist dann quasi die Schnittstelle zwischen Gast- und Hauptnetzwerk und dann kannst du dort in der Firewall entsprechende Regeln definieren. Das setzt allerdings voraus, dass Gäste ausschließlich an den Nebenroutern hängen und keiner (außer dir) direkt am Hauptrouter angemeldet ist.

 

[hansstegherr]

Hallo, also meistens mach ich was die Chefs so sagen, und habe mir den UBIQUiti gekauft. Zum Laufen habe ich das Ding noch nicht gebracht. Ich konnte zwar ein Netzwerk einrichten, auch einen Gastzugang, aber wenn ich den in die Netzwerksteckdose einführe, die nach unten zu meinem Hauptrouter führt (Hauptrouter Asus, eingesteckt im Lan im eigentlichen A1 Router).Der lässt sich wohl nicht in mein tolles Asus System integrieren. Egal, ich kanns halt nicht, und einen Profi habe ich nicht zur Hand. Hinterstes Tal, Österreich. Und mit den VLans, puh, da traue ich mich nicht so recht ran. Um die Sache zu beschleunigen, wenn ich mir zusätzlich einen Router der gleichen Firma kaufe, müsste es doch funktionieren?? Nur welchen? Oder ist das so gar nicht zu machen.
"Netzwerk ist besser als Aufgeben..

 

[Raijin]

Eigentlich sind die Ubiquitis ziemlich simpel einzurichten. Wenn du das LAN-Kabel einsteckst, holt er sich eine IP vom DHCP und los geht's. Im Gegensatz zu den Asus, wird der UAP aber über den UniFi-Controller eingerichtet. Man loggt sich also nicht wie man es gewohnt ist direkt im Router/AP ein, sondern der Controller sammelt alle APs (und sonstiges UniFi-Equipment) in einer Oberfläche. Man kann also beispielsweise ein Dutzend UAPs in derselben Oberfläche gleichzeitig konfigurieren anstatt dass man sich in jeden einzelnen separat einloggen muss. Bei einem UAP ist dieser Vorteil natürlich nicht wirklich sichtbar.

Wenn du den UniFi-Controller startest, sollte dort eigentlich auch der UAP auftauchen sofern du dich im selben Netzwerk befindest.

Ein Router von Ubiquiti - sei es ein EdgeRouter oder in diesem Falle besser ein UniFi Security Gateway (USG) - ist dafür nicht erforderlich.

 

[hansstegherr]

Guten Morgen,und sänkju. Ich habe 2 gleiche Namen verteilt, darum ging es wahrscheinlich nicht. Aber jetzt alles gut. Wunderbar. Es hat sich deine Aussage bewahrheitet, Glump isch Glumb!
Da musste ich jetzt nicht viel tun, um das Gastnetzwerk und meine Sonos wegzusperren. Kein Zugriff mehr im Gästenetzwerk
Zu guter Letzt
1.Kann man dem AP eine feste IP zuweisen? Oder macht man das gar nicht? Von Alters her, finde ich den dann besser im Netzwerk

Nochmals meinen Dank an Dich (Euch)

 

[Raijin]

1. Kann man dem AP eine feste IP zuweisen?
Klar, im UniFi-Controller auf Devices gehen, dort den UAP auswählen, rechts im Fenster die Konfiguration anklicken, Netzwerk --> IP
Ich vergebe Geräten aus der Infrastruktur grundsätzlich feste IP-Adressen, da DHCP trotz potentieller Reservierung unterm Strich eine dynamische IP bleibt. Sobald man wegen eines Defekts, o.ä. den Router mit DHCP tauscht, sind alle Reservierungen futsch und man muss alle seine Geräte neu suchen und zuordnen. Bei Smartphones und Co ist mir das schnuppe, weil ich eh nicht vom Laptop, o.ä. auf sie zugreifen will, bei den APs, Switches und zB meinem Drucker sieht das schon anders aus, die haben alle statische IPs.

2. Und kann man die SSID unsichtbar machen?
UniFiController --> Settings --> Wireless --> SSID auswählen und auf Edit klicken --> Erweitert --> Hide SSID


Ja, die Masse an Optionen kann schon etwas einschüchternd wirken, aber bei einem moderaten Szenario kann man das meiste getrost ignorieren. Ubiquiti ist eben ein (semi)professioneller Hersteller dessen Produkte durchaus auch größeren industruiellen Szenarien gewachsen sind. Da werden die erweiterten Funktionen dann erst richtig interessant. Für @home braucht man das meiste nicht, aber wenn man es braucht, ist es da. Bei 08/15 Heimequipment hat man dann keine Chance, weil die Funktionen gar nicht existent sind. Am deutlichsten werden die Vorteile von UniFi, wenn man mehrere APs und evtl. sogar die UniFi-Switches und -Router einsetzt. Alles in einer Übersicht, einmal WLAN einrichten (SSID + Key) und dann einfach bei beliebig vielen APs mit einem Klick aktivieren anstatt sich bei jedem einzeln einzuloggen und erneut SSID+Key einzugeben (mit Vertipper-Gefahr). Bei einem AP merkt man das natürlich nicht so sehr, weil man eh alles nur einmal macht, ob nu im Controller oder direkt in der GUI eines AP/WLAN-Routers ist ja einerlei.

 

[bender_]

Ich will weder den Spielverderber noch den Oberlehrer spielen, aber da Du ein Unternehmen mit personenbezogenen Daten führst, solltest Du dir sehr gut überlegen, ob Du nicht doch einen Fachmann in deine Pension im hintersten Tal Österreichs kommen lässt. Ab 25. Mai gilt die neue EU DSGVO. Was das für Dich in Österreich als Hotelbesitzer bedeutet kannst Du anhand dieser Checkliste mal prüfen: https://www.wko.at/service/wirtscha...-Datenschutz-Grundverordnung:-Checkliste.html
Es sind empfindliche Strafen angekündigt, falls man die Verordnung nicht umsetzt. Da sind deine Sonos mit Abstand das kleinste Problem.

 

[Raijin]

Hm.. Aber das gilt doch nur für die Speicherung der Daten oder nicht? Soweit ich das sehe wird hier ja einfach nur eine Internetverbindung zur Verfügung gestellt, wie an einem beliebigen Hotspot. Personenbezogene Daten sehe ich eher im Bereich der Kundendaten, Geburtstag, Kontoverbindung, Kreditkarte, etc.

Aber du hast schon Recht, dass man sich natürlich insbesondere im gewerblichen Bereich auch über die gesetzlichen Vorgaben Gedanken machen muss