Gästezugang einrichten (mit Fritz.box und Tenda Mesh WLAN)

[napecs]

Hallo zusammen,

In unserem Haus sind im Erdgeschoss zwei Ferienwohnungen. Wir versorgen diese bisher über unseren WLAN Anschluß. Es ist eine Fritz.box 7590 in unserem Srockwerk, daran haben wir 1 Tenda Meshbox per Lan-Kabel angeschlossen. Diese eine Tenda Meshbox überträgt nun per WLAN das Signal an 4 weitere Tenda Meshboxen in die Ferienwohnungen. Das funktioniert auch wunderbar.
Wir wollen nun einen Gästezugang für die Gäste einrichten (aus Sicherheitsgründen). Sowohl die Tenda Boxen als auch die Fritz.box bietet diese Funktion von Haus aus - leider funktionieren beide nicht (es kommt einfach kein Internet an). Wisst ihr woran das liegen kann oder was für unseren Fall die beste Lösung wäre?

Danke für eure Hilfe

 

[Nordwind2000]

Man kann doch einen Port der Fritzbox als Gästezugang schalten. An den, LAN4, würde ich den Tenda anschließen und schon hast du dein Gäste-W-Lan. Natürlich darf dein Fritzbox dein W-Lan nicht mit den Tendaboxen teilen. Die Boxen müssen ihr eigenes W-Lan aufbauen.

 

[motorazrv3]

wir 1 Tenda Meshbox per Lan-Kabel angeschlossen.

Der ist an welchen Port der FritzBox? An LAN 4 kann man einen Gästezugang nutzen.

 

[napecs]

Ja genau, wir haben die Tenda-Boxen an LAN4 angeschlossen. Dann aktiviere ich den Gästezugang in der Fritzbox. Normalerweise sollte das nun funktionieren, tut es aber leider nicht. Das WLAN steht zwar, es kommen aber keine Daten an, d.h. Man kann nicht surfen. Falls es dann mal irgendwann funktionieren sollte:
Würdet ihr den Haken bei "User muss den Nutzungsbedingungen zustimmen" setzen?

 

[motorazrv3]

"User muss den Nutzungsbedingungen zustimmen"

Es muss auch ohne funktionieren.

Wie sind den die Tenda Boxen konfiguriert?
Nicht das dort auch noch ein DHCP Server in der Konfiguration aktiv ist. Welche Box (Modell) wird genau genutzt.

 

[napecs]

Ok, Danke. Es sind die Tenda Mesh 3. Gute Info, das mit DHCP müsste ich mal überprüfen.

Edit: ich sehe gerade in der Tenda-App, dass DHCP aktiviert ist. Ist das ein Problem? Ich habe folgende Optionen zur Auswahl:

• PPPoE
• DHCP
• Statische IP-Adresse
• Brücke

Was wäre denn dann richtig?

 

[chrigu]

Normal ist, das der Router der direkt am Internet hängt den dhcp Server macht.
Ich vermute mal pppoe wäre die korrekte verbindungsart, also direkt durchgeschleift

 

[napecs]

Probiere ich aus, Danke euch vielmals für den hilfreichen Hinweis! Wie immer super, dass sich jemand damit auskennt! :-)

 

[motorazrv3]

Eigentlich würde ich sagen, es muss deaktiviert werden. Was sagt denn das Handbuch?
Der Tenda hat ja auch mehrere LAN Ports, wo hast du das Kabel der FRITZ!Box eingesteckt. Müsste meine ich in den WAN-Port.

Ergänzung (18. Februar 2024)

Was wäre denn dann richtig?

Laut Handbuch --> https://down.tendacn.com/uploadfile/MW3/User Guide.pdf
ist Bridge die richtige Option hinter einem Router




Wichtig, dieser Hinweis




Installation laut Handbuch --> https://down.tendacn.com/uploadfile/MW3/MW Series Quick Installation Guide.pdf

Ergänzung (18. Februar 2024)

@napecs
Warum bist du eigentlich nicht bei AVM geblieben und hast kein AVM-Mesh aufgezogen?
Zum Beispiel mit mehreren FritzReapter 1200AX.

 

[napecs]

Danke Dir. Ich weiß gerade nicht auswendig, wo es eingesteckt ist. Ich werde es mal morgen ausprobieren.

Edit: gute Frage, warum ich nicht bei Fritz geblieben bin. Ich glaube, weil es "damals" als wir die Tendas gekauft haben, noch keine Lösung von Fritz gab (ich bin mir nicht mehr sicher ob es gar nichts gab oder ob es damals extrem teuer war). Vielleicht lohnt sich aber auch eine neue Investition.

 

[Nordwind2000]

Zwei DHCP-Server in einem Netz funktioniert nicht. Vielleicht haben die Boxen einfach nur keinen DNS bzw. GAteway hinterlegt?

 

[Engaged]

Funktioniert es ohne Gast Modus an Port 4?

 

[norKoeri]

Brücke

Wie motorazrv3 schreibt, Du solltest den Modus Router abschalten, um Doppel-NAT zu vermeiden. Doppel-NAT kann Spiele-Konsolen stören. Bei Tenda Nova wurden (völlig unfähig) die Unter-Modi des Routers eine Bedien-Ebene vorgezogen, dabei entfiel der Begriff „Router“. Dadurch ist „DHCP“ und „statische Adresse“ selbst für einen Profi ohne Handbuch nicht richtig einzuordnen. Und Tenda verwendet nicht wie üblich „Access Point“ sondern „Bridge“. Und Dank der (völlig unnötigen) Übersetzung ins Deutsche dann „Brücke“. Solche Geräte bitte, wenn möglich, wenn überhaupt, auf Englisch lassen.

ob es damals extrem teuer war

Es ist sein Geld einfach wert, alleine die Lebenszeit, die Du bereits verschwendet hast. Bitte hole für den verkabelten WLAN-Punkt einen FRITZ!Repeater 2400 und für die unverkabelten Punkte dann ebenfalls FRITZ!Repeater 2400, falls zu teuer, FRITZ!Repeater 600. Wenn Du durchgehend FRITZ!-Produkte nutzt, dann wird der WLAN-Gastzugang weitergereicht und musst nicht über den LAN-Gastzugang gehen.

zwei Ferienwohnungen

Ich muss Dich auch darauf hinweisen, dass das mit Tenda gar nicht geht, denn im LAN-Gastzugang der FRITZ!Box sind Gäste untereinander nicht isoliert. Das geht nur im WLAN-Gastzugang. Folglich können die Bewohner der einen Ferienwohnung auf alle Geräte der anderen Ferienwohnung zugreifen. Dein Heimnetz wäre zwar endlich abgesichert, aber die Feriengäste wären immer noch untereinander ausgeliefert.

es kommt einfach kein Internet an

Müsste man genau schauen. Hätte eigentlich egal wie gehen müssen. Könnte sein, dass Tenda irgendwie pervers nach Hause telefoniert und das im LAN-Gastzugang nicht geht. Oder Du hattest nicht den WAN- sondern den LAN-Port des Tenda in die FRITZ!Box gesteckt. oder Du hattest die Tendas nicht neu gestartet bzw. neu eingesteckt, nachdem Du den LAN-Gastzugangs in der FRITZ!Box aktiviert hattest.

Sicherheitsgründen

Eher Datenschutz … insgesamt ist das unschön, weil wenn jemand an eine LAN-Dose herankommt, ist er wieder in Deinem Heimnetz. Und die Ferienwohnungen haben kein eigenes Heimnetz, können also (über den FRITZ!-WLAN-Gastzugang) nicht untereinander zugreifen. Idealerweise löst man das über Internet-Router mit Multi-LAN und Switch mit Port-basierten Zugangskontrolle. Welchen Internet-Anbieter nutzt Du in welchem Land?

 

[Engaged]

Kleiner Tipp: Und nebenbei für den AVM Gastzugang auch http erlauben, sonst funktionieren bei den Gästen nicht mal handy spiele wie clash of Clans usw. 🙃

 

[norKoeri]

Stimmt: fritz.box → Internet → Freigabe → Zugangsprofile → Gast: Taste Bearbeiten

 

[Raijin]

Immer wenn ich von Fritzboxxen oder anderer Consumer-Hardware wie Tenda im Zusammenhang mit Ferienwohnugen, Pensionen und Hotels lese, erinnere ich mich an einen befreundeten Hotelier in Bayern, der in seinem kleinen Gasthof auch alles - wie zu Hause - mit FritzRepeatern gemacht hat. Schlimmer noch, er hat nicht mal die Gastfunktion verwendet und auch keine Client Isolation aktiviert. Das habe ich ihm eindrucksvoll demonstriert als ich vor ihm stand und während des Gesprächs kurz das Handy in die Hand nahm und plötzlich "Hamburg, meine Perle" auf seiner Sonos-Anlage im Gastraum aus den Boxen schallerte und der Drucker an der Rezeption eine HSV-Raute ausspuckte. "Joa, wos is'n hia loas?"

Daher die dringende Bitte für solche Szenarien auch geeignete Hardware einzusetzen, die mit komplexen Netzwerken umgehen kann, also mit mindestens 3 separaten Netzwerken (Hauptwohnung, FeWo1 und FeWo2). Die Einrichtung entsprechender Geräte ist je nach KnowHow nicht ganz einfach, aber dann empfiehlt sich die Suche nach jemandem, der diese Kenntnisse mitbringt.

Kandidaten für geeignete Hardware wären Systeme wie Ubiquitis Unifi, TP-Links Omada, Zyxels Nebula und dergleichen. Damit kann man eben nicht nur ein, sondern zwei Gastnetzwerke verwalten - oder 3, wenn du noch ein eigenes Gastnetz in deiner Wohnung haben möchtest.


Mit Fritzboxxen und Co laufen solche Szenarien sonst immer auf Routerkaskaden hinaus, also ineinander verschachtelte Router. Ja, das geht prinzipiell auch, aber auch das ist eben nicht ganz unproblematisch. Das Stichwort Doppel-NAT hat @norKoeri ja schon genannt. Wäre ja blöd, wenn einer der Feriengäste ne Playstation dabei hat und die dann nicht funktioniert....

 

[Engaged]

Zumindest gibt es aber client Isolation bei AVM, Geräte dürfen untereinander kommunizieren heißt es dort.

 

[Raijin]

Korrekt und AVM beschreibt diese Option wörtlich so:

WLAN-Geräte dürfen untereinander kommunizieren.

Quelle: AVM

Ich habe keine Fritzbox, mit der ich das ausprobieren könnte, aber - auch wenn das Wortklauberei sein mag - ein Client, der am LAN-Port eines Repeaters hängt, ist streng genommen kein WLAN-Gerät. Ob AVM das wirklich wörtlich meint und ein LAN-Client an einem Repeater als "WLAN-Brücke" ebenfalls isoliert wird, kann ich an dieser Stelle nicht beurteilen, würde mich aber über einen Test eines Fritzboxxers freuen.


Tenda formuliert es übrigens so, allerdings nicht explizit beim MW3-Set, sondern beim M3 Access Controller:

Wireless clients that connect to the SSID cannot communicate with each other

Quelle: Manual des Tenda M3 Access Controllers


Es ist nicht auszuschließen, dass das einfach nur unpräzise Formulierungen sind, die sich womöglich auch bei anderen Herstellern wiederfinden - soweit habe ich jetzt nicht gesucht. Eigentlich beschreibt Client Isolation eine Funktion, bei der einem Client ungeachtet der Verbindungsart nur Zugriff auf die MAC-Adressen auf einer Whitelist gewährt wird, meist nur das Standardgateway. So ist sichergestellt, dass der Client nach wie vor problemlos ins Internet kommt, aber eben keine anderen Teilnehmer im Netzwerk kontaktieren darf. Ob die Quelle oder das Ziel per LAN oder WLAN verbunden ist, spielt dabei im Grunde genommen keine Rolle.

 

[norKoeri]

Ich würde nicht soviel theoretisieren (und glauben) sondern praktisch testen (und damit wissen), also scannen … Nmap bekommt man auch für Windows. Bei einem Netz mit so vielen Enden, ist das dann jeweils ein Scan:

1. Computer im Heimnetz einschalten, anderes Gerät mit Scanner im Gast-WLAN
2. Computer im Heimnetz, Scanner im Gast-LAN
3. Computer im Gast-WLAN, Scanner im Gast-WLAN (selber WLAN-Punkt)
4. Computer im Gast-WLAN, Scanner im Gast-WLAN (jeweils anderer WLAN-Punkt)
5. Computer im Gast-LAN, Scanner im Gast-WLAN
6. Computer im Gast-LAN, Scanner im Gast-LAN

Hast Du dann einen Multi-LAN-Router und nicht nur zwei sondern drei Segmente, wird das entsprechend komplexer aber immer noch keine zwei dutzend Fälle, die man jeweils in unter einer Minute durch hat.