Frage Access-Point

[OpenMedia]

Hallo zusammen,
Ich hätte eine Frage die mich interessieren würde, ich war heute im Lidl und da gibt es ja jetzt Offenes WiFi.

Jetzt habe ich Mal tatsächlich ein bisschen genauer recherchiert natürlich alles im grünen Rahmen

Mir ist aufgefallen das man als Client im Netzwerk immer nur alleine drin ist, auch wenn man das Netzwerk komplett durchscannt auf weitere Teilnehmer. Wie genau kann man Clients innerhalb eines Netzes von anderen vernhalten. Waren Cisco APs.

 

[konkretor]

Die stecken jeden Gast in ein eigens vlan Thema Microsegmentierung

 

[BlubbsDE]

Jetzt habe ich Mal tatsächlich ein bisschen genauer recherchiert natürlich alles im grünen Rahmen

Das gaben die Nutzungsbedinungen garantiert nicht her, die Du akzeptiert hast.

Und sonst. Das ist Stanard bei Enterprise APs. Jeder hat ein VLAN zB.

 

[madmax2010]

Jop. Host isolation - Jeder Im eigenen vlan.
Darf ich fragen womit Du durchgescannt hast?

 

[t-6]

Die stecken jeden Gast in ein eigens vlan Thema Microsegmentierung

Jop. Host isolation - Jeder Im eigenen vlan.

Das passiert ohne "jeder Client ein VLAN"* sondern durch das Blocken des Layer2-Traffics zwischen den Clients die in ein und demselben VLAN sind. Access Point & ggf. Switches forwarden einfach keinen Traffic von MAC-Adresse X zu allen anderen MAC-Adressen außer dem Gateway, ggf. Capture Portal & ggf. DHCP-Server.

Könnt Ihr ja einfach nachstellen: Zwei Geräte in dasselbe WLAN bringen und die IP-Adresse jeweils anschauen. Alle wette dass sie im selben Subnetz und damit VLAN sind.

*grundsätzlich möglich, aber ziemlicher Aufwand im Backend, sofern es dafür keine Automatik + Templates gibt (?)

 

[madmax2010]

Automatik dafür gibt es in fast allen wifi Controllern.

Eigene vlans sieht man am häufigsten - innerhalb eines subnets können mehrere vlans sein. Nicht nur eins pro vlan - vlans können auch über mehrere subnets gespannt sein

 

[t-6]

Automatik dafür gibt es in fast allen wifi Controllern.

Und da werden explizit automatisch VLANs für jeden einzelnen Client erstellt?

 

[OpenMedia]

Ich habe gelesen, das es bei Unifi die Funktion auch gibt einfach Guest Controlp für das Gastnetzwerk aktiviert ist das, dass selbe wie für jedes Gerät ein eigenes Vlan ?

Hust : Fing

 

[Raijin]

Gibt's das nicht sogar bei der Fritzbox?


*edit
Doch: "Kommunikation zwischen WLAN-Geräten zulassen"
Quelle: AVM

Das ist also prinzipiell kein seltenes Feature, sondern wird von vielen WLAN-Systemen angeboten.


Mit VLANs hat das im übrigen eher selten etwas zu tun, wäre mir zumindest neu und würde vor allem auch zu aufwendig sein. Sollen in einem Supermarkt dann Dutzende von VLANs erstellt werden? Und auf einer Messe dann Hunderte/Tausende? Da ist eine L2-Firewall ja schlauer und vor allem performanter..

Bridge Mode Client Isolation

Client Isolation is available for SSIDs configured for Bridge mode however is disabled by default. When a SSID is configured for bridge mode, clients are bridged through the Access Point potentially to a specific VLAN. Upon connection to the AP, clients will be permitted to make a DHCP request on the vlan they are assigned to. After DHCP is completed, the MAC address of the default gateway is tracked for the particular client. The MAC address of the default gateway is then permitted in a layer 2 firewall that restricts all other traffic to and from the wireless client.

Quelle: Meraki (Cisco)