Gesucht: Wireless Access Point mit Gast Funktion

DaveStar

Commander
Registriert
Juli 2004
Beiträge
2.868
Hallo

Ich bin auf der Suche nach einem WLAN Access Point mit einer echten Gast-Funktion.

Was bedeutet dies konkret:

Vorhanden sind bereits ein Router, ein verkabeltes Netzwerk und ein WLAN-Access-Point welcher das "interne" WLAN zur Verfügung stellt.

Zusätzlich soll nun ein WLAN für Gäste entstehen, welches die Eigenschaft haben muss, dass diejenigen die mit diesem Gäste-WLAN verbunden sind nur ins Internet, aber NICHT auf irgendwelche anderen verkabelten oder drahtlosen Clients zugreifen können.

Kennen tue ich leider nur Router mit solchen Gast-Funktionen, aber keinen AccessPoint. Die Frage daher: Kennt jemand einen AccessPoint der dies kann?


Hinweis 1: Entgegen den eher dümmlichen Behauptungen so genannter "Fachmagazine" sind Funktionen wie "AP Isolation" & Co welche auf diversen APs angeboten werden eben kein Ersatz für ein echtes Gast-Netzwerk. Denn diese Funktionen isolieren (zumindest bei den mir bekannten APs) nur die Wireless-Clients der jeweiligen APs untereinander, gewähren aber vollständigen Zugriff aufs verkabelte Netzwerk. Dies macht die entsprechenden Funktionen natürlich vollkommen nutzlos.

Hinweis 2: Denkbar wäre auch ein AP, der, wenn er keine explizite Gast-Funktion bietet, wenigstens die Möglichkeit bieten würde, Ports zu schliessen (dann würde auf dem Gast-AP einfach alles ausser Port 80 und die paar anderen "üblichen Verdächtigen" dichtgemacht) - aber auch die Funktion zur Port-Blockade kommt mir spontan nur bei gewissen Routern, jedoch nicht bei APs in den Sinn.

Hinweis 3: Ein Ersatz des "Haupt-Routers" ist nicht möglich.

Danke für eure Tipps!
 
FB 7362 SL oder andere billige FB als AP betreiben.
Wenn du einen expliziten AP kaufst, dann kauf gleich was "richtiges" wie z.B. ein Ubiquiti.
 
dein Problem ist, du musst das Gastnetzwerk (egal ob Kabel oder dann per WLAN AP) an deinem Router abzweigen ... wenn du den AP einfach nur an dein Netzwerk hängst, wie will der wissen ob das Gast ist oder nicht? Bei Fritzboxen kann man Gast WLAN und Gast an LAN4 einstellen ... dort (an LAN4) könntest du dann einen beliebigen WLAN AP hängen ... kann das dein Router auch?
 
Was spricht gegen einen weiteren WLAN-Router, der nicht als IP Client läuft?
 
Die grundlegende Technik, die du suchst nennt sich VLAN (Etwas anderes ist der Gastzugang einer Fritzbox auch nicht;)).

Sofern der zweite Access Point nur für Gäste sein sollte, konfigurierst du ein VLAN auf einem der LAN-Interfaces des Routers und schließt dort den AP an. Hängt dazwischen ein Switch muss der natürlich auch VLAN unterstützen. Bitte beachte, dass du idR pro VLAN einen DHCP & DNS Server benötigst und ggf. das Routing zwischen LAN, WAN und Gäste-LAN einrichten musst. Das hängt alles davon ab, was für einen Router du nutzt etc.

Sollte der neue AP für Gäste und Interne zugleich sein, benötigst du einen AP, der mehrere Netze aufspannen kann und VLAN unterstützt. Dann kannst ganz einfach sagen, dass SSID_1 zum internen VLAN gehört und SSID_2 für Gäste ist.
Bei geringem Budget reicht oft schon ein einfachter AP mit DD-WRT/Open-WRT sofern die zugrunde liegende Technik VLAN-fähig ist.
Alternativ würde ich mal bei ZyXEL, DrayTek oder Ubiquiti gucken, die haben alle entsprechende Geräte im Sortiment.
 
DaveStar schrieb:
Hallo

Hinweis 1: Entgegen den eher dümmlichen Behauptungen so genannter "Fachmagazine" sind Funktionen wie "AP Isolation" & Co welche auf diversen APs angeboten werden eben kein Ersatz für ein echtes Gast-Netzwerk. Denn diese Funktionen isolieren (zumindest bei den mir bekannten APs) nur die Wireless-Clients der jeweiligen APs untereinander, gewähren aber vollständigen Zugriff aufs verkabelte Netzwerk. Dies macht die entsprechenden Funktionen natürlich vollkommen nutzlos.
Ap Isolation ist auch kein Gastnetzwerk. Es macht, wie der Name schon sagt, eine "Isolation" des APs/Clients gegenüber den Anderen. :D

DaveStar schrieb:
Hinweis 2: Denkbar wäre auch ein AP, der, wenn er keine explizite Gast-Funktion bietet, wenigstens die Möglichkeit bieten würde, Ports zu schliessen (dann würde auf dem Gast-AP einfach alles ausser Port 80 und die paar anderen "üblichen Verdächtigen" dichtgemacht) - aber auch die Funktion zur Port-Blockade kommt mir spontan nur bei gewissen Routern, jedoch nicht bei APs in den Sinn.
Das kann in der Regel jeder Router. Zu finden unter dem Punkt Firewall :cool_alt:

DaveStar schrieb:
Hinweis 3: Ein Ersatz des "Haupt-Routers" ist nicht möglich.
Was hast du denn für eine Router im Einsatz? Vieleicht bietet er dir schon das was du brauchst?

gruß
 
HominiLupus schrieb:
FB 7362 SL oder andere billige FB als AP betreiben.

Das war tatsächlich das, was wir bisher gemacht haben. Nur funktioniert diese 'Bastellösung' aus unerfindlichen Gründen von einem Tag auf dem anderen nicht mehr, weswegen wir nun der Hoffnung waren, es gäbe auch eine bessere Lösung.

LieberNetterFlo schrieb:
dein Problem ist, du musst das Gastnetzwerk (egal ob Kabel oder dann per WLAN AP) an deinem Router abzweigen ... wenn du den AP einfach nur an dein Netzwerk hängst, wie will der wissen ob das Gast ist oder nicht? Bei Fritzboxen kann man Gast WLAN und Gast an LAN4 einstellen ... dort (an LAN4) könntest du dann einen beliebigen WLAN AP hängen ... kann das dein Router auch?

An dieses "Grundproblem" habe ich auch gedacht, weswegen meiner Meinung nach etwas notwendig wäre, was diese Problematik auf eine der folgenden Arten löst:
- AP sorgt dafür, dass die über ihn angeschlossenen Clients nur mit dem Standardgateway und nicht mit anderen "internen" IPs kommunizieren können
- AP sorgt dafür, dass nur auf den für ein Gastnetzwerk relevanten Ports (HTTP & Co) kommuniziert wird
(Bei ersterem bin ich nicht sicher, ob es möglich ist. Letzteres sollte möglich sein.)


miac schrieb:
Was spricht gegen einen weiteren WLAN-Router, der nicht als IP Client läuft?

Erklären :)

snaxilian schrieb:
Die grundlegende Technik, die du suchst nennt sich VLAN (Etwas anderes ist der Gastzugang einer Fritzbox auch nicht;)).

Sofern der zweite Access Point nur für Gäste sein sollte, konfigurierst du ein VLAN auf einem der LAN-Interfaces des Routers und schließt dort den AP an. Hängt dazwischen ein Switch muss der natürlich auch VLAN unterstützen. Bitte beachte, dass du idR pro VLAN einen DHCP & DNS Server benötigst und ggf. das Routing zwischen LAN, WAN und Gäste-LAN einrichten musst. Das hängt alles davon ab, was für einen Router du nutzt etc.

Sollte der neue AP für Gäste und Interne zugleich sein, benötigst du einen AP, der mehrere Netze aufspannen kann und VLAN unterstützt. Dann kannst ganz einfach sagen, dass SSID_1 zum internen VLAN gehört und SSID_2 für Gäste ist.
Bei geringem Budget reicht oft schon ein einfachter AP mit DD-WRT/Open-WRT sofern die zugrunde liegende Technik VLAN-fähig ist.
Alternativ würde ich mal bei ZyXEL, DrayTek oder Ubiquiti gucken, die haben alle entsprechende Geräte im Sortiment.


Der bestehende Router ist leider nicht VLAN fähig.



error schrieb:
Ap Isolation ist auch kein Gastnetzwerk. Es macht, wie der Name schon sagt, eine "Isolation" des APs/Clients gegenüber den Anderen. :D

Danke fürs Wiederholen dessen, was ich bereits sagte ;)


error schrieb:
Das kann in der Regel jeder Router. Zu finden unter dem Punkt Firewall :cool_alt:

Richtig. Nur bräuchten wirs eben in einem AP und nicht in einem Router.
Oder wir konfigurieren einen Router als AP, aber das funktioniert eben nicht bei allen Routern zweckmässig, weswegen in diesem Fall Hinweise auf sinnvoll nutzbare Router benötigt würden.


error schrieb:
Was hast du denn für eine Router im Einsatz? Vieleicht bietet er dir schon das was du brauchst?

Leider nein.
 
DaveStar schrieb:
- AP sorgt dafür, dass die über ihn angeschlossenen Clients nur mit dem Standardgateway und nicht mit anderen "internen" IPs kommunizieren können

das könntest du tatsächlich machen, und zwar mit NAT hinter NAT ... du nimmst einen Router, stellst den WAN Port auf DHCP (bei Fritzboxen heißt das Internet über LAN1) und lässt ihn ganz normal als Router fungieren, dann könnten die verbundenen Geräte (deine Gäste) nur untereinander kommunizieren oder halt ins "Internet" was wiederum dein Netzwerk ist und dort hat dein neuer Router ja den Default Gateway (deinen richtigen Internetrouter)
 
So ist es. Und da APs jetzt nicht unbedingt billiger sind, wie WLAN Router, würde ich eher die Lösung nehmen.
 
LieberNetterFlo schrieb:
das könntest du tatsächlich machen, und zwar mit NAT hinter NAT ... du nimmst einen Router, stellst den WAN Port auf DHCP (bei Fritzboxen heißt das Internet über LAN1) und lässt ihn ganz normal als Router fungieren, dann könnten die verbundenen Geräte (deine Gäste) nur untereinander kommunizieren oder halt ins "Internet" was wiederum dein Netzwerk ist und dort hat dein neuer Router ja den Default Gateway (deinen richtigen Internetrouter)

Das ist tatsächlich die Lösung die wir bisher hatten.

Nur hat sich das mit der gegebenen Hardware in zweierlei Hinsicht unvorhergesehen verhalten:

1. Die Netze waren nicht richtig getrennt, d.h. Clients die mit dem "Gast-Router" verbunden waren, konnten sich zu Clients die mit dem "Haupt-Router" verbunden waren verbinden. (Wir haben uns dann beholfen, indem wir im Gast-Router einfach alle Ports zugemacht haben ausser HTTP & Co)

2. Die Lösung hörte nach mehreren Jahren mir nichts dir nichts auf zu funktionieren und konnte nicht mehr instand gestellt werden. D.h. der Gast-Router konnte (trotz unveränderten Einstellungen auf beiden Geräten) keine Internetverbindung vom Haupt-Router mehr kriegen. Keine Ahnung wieso. Jedenfalls war das dann der Auslöser, dass wir uns nun eben dachten, wir bräuchten mal was "richtiges".
 
Ein Router ist was Richtiges, denn er separiert die Netze. Allerdings nur, wenn Du ihn nicht als IP Client betreibst.

Du hättest die gleiche Lösung, wie ein Hauptrouter an einem öffentlichen Netz. Da kommst Du auch nicht auf die Clients hinter dem Router.
 
Moin,

@DaveStar: Die Antworten meinerseits waren nicht böse gemeint.

Wir stochern hier im Dunkeln herum.
Kannst du uns bitte einen Übersichtsplan hochladen, wie euer Netzwerk aufgebaut ist? Wichtig wäre auch zu wissen, ist das privat, eine Firma oder ein Verein?
Kannst du uns auch sagen, warum Ihr diesen "Zwangsrouter" nicht tauschen könnt? Und bitte um welchen Router es sich handelt. Oder ist es nur ein Modem?

Es fallen mir nur 2 Lösungen ein:
1) Doppelt-Nat
2) Vlans
( 3) Anderer Router mit Gast-Funktion )

Das Doppel-Nat bedeutet, dass du sowohl dein "privaten" Bereich und das "Gast-Netz" trennen musst. Denkbar wäre auch ein Router mit OpenWRT, das Vlans auf Portbasis macht. Dazu ein DHCP pro Vlan. In der Firewall kannst du dann die Kommunikation untereinander verbieten. Es ist nicht die schönste Lösung aber funktional.

Das Problem, zumindest habe ich es, ist dass wir ohne Kentniss um was es geht und wie das Netzwerk aufgebaut ist nur raten können.

Wenn es nur um WLan geht, kannst du dir Ubiquiti Unifi-APs ansehen. Sie können bis zu 4 Wlans aussenden und über Vlans kann der Verkehr sauber getrennt werden. Ebenso sind sie zentral konfigurierbar. Allerdings erfordert dies die entsprechende Hardware im Hintergrund. Zusätzlich kann auch eine Anmeldeseite im"Gästebereich" geschalten werden. Für den Heimanwender ist das dann zu viel Aufwand.

gruß
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: MattildaW68
Kleiner Nachtrag:

Ich hab mir dann einen TP-LINK TL-WR841N Billigrouter geholt, wobei mein Vorhaben auf Anhieb perfekt funktioniert hat.

Bin wirklich äusserst positiv überrascht. Das Ding war spottbillig (hierzulande zahl ich für zwei Kebab in etwa so viel wie ich für den Router bezahlt habe), ist aber in Funktion und Konfiguration besser als so manches was ich für ein Vielfaches des Preises gesehen habe. Hatte wirklich in jeder Hinsicht noch selten so eine problemlose Routerkonfiguration. Die typische Firmware der ganzen D-Link-Netgear-ZyXEL-Bande "kackt" echt ab gegen diesen Plasterouter...
 
  • Gefällt mir
Reaktionen: Evilc22
Ich hab mir dann einen TP-LINK TL-WR841N Billigrouter geholt, wobei mein Vorhaben auf Anhieb perfekt funktioniert hat.


Wenn du nicht mit VLANs oder "Gast"-Anschlüssen vom Hauptrouter arbeitest sondern mit einer simplen, unkonfigurierten Routerkaskade (Gast-Router per WAN-Port an LAN-Port vom Hauptrouter), ist das Netz vom Hauptrouter für die Gäste erreichbar. Denn, der Gast-Router muss ja per se eine Route in das Netz des Hauptrouters haben - und somit auch die Gäste.


Oder was hast du jetzt wie eingestellt?
 
Ich habe im Prinzip genau die selbe Frage wie der Threadersteller damals: Gesucht ist ein Wireless Access Point mit Gast Funktion d.h. meine Gäste sollen KEINEN Zugriff auf mein Netzwerk haben, aber sie sollen ins Internet dürfen.

Mein TP-Link TL-WA801ND hat keine explizite Gäste Funktion. Aber er hat eine VLAN Funktion, mit der ich mich erstens nicht wirklich auskenne und zweitens gibt's da ohnehin so gut wie keine Einstellungsmöglichkeiten. Ich kann halt zusätzliche SSIDs vergeben, aber wie wäre mir dann denn garantiert, dass jemand über eine Gäste-SSID nicht in mein Netzwerk kann. :confused_alt:

 
lordZ schrieb:
Aber er hat eine VLAN Funktion, mit der ich mich erstens nicht wirklich auskenne und zweitens gibt's da ohnehin so gut wie keine Einstellungsmöglichkeiten.
Ich kann halt zusätzliche SSIDs vergeben, aber wie wäre mir dann denn garantiert, dass jemand über eine Gäste-SSID nicht in mein Netzwerk kann. :confused_alt:
Wenn du alle deine Geräte in VLAN 1 bringst und einen zusätzlichen WLAN AP am TL-WA801ND in VLAN 2, hast du eine logische Trennung der Netzwerke.
Wie du den TL-WA801ND in den Multi-SSID Modus bringst, wird hier beschrieben:
static.tp-link.com/2019/201903/20190319/1910012077_TL-WA801ND_UG_REV5.0.0.pdf
 
Musst dann aber natürlich bedenken, dass du irgendwie die VLANs routen musst...
 
So sieht's aus. VLANs setzen auch VLAN-fähige Infrastruktur voraus. Das heißt sowohl die beteiligten Switches als auch der Router müssen mit VLANs umgehen können. Ohne dass man explizit darauf achtet wird ein Switch das nicht können, weil man als Laie ja gerne mal das billigste aus der Bückzone kauft. Beim Internetouter ist es nahezu sicher, dass er keine VLANs kann, weil Consumer-Geräte für Otto Normal das nun mal nicht können. Wenn der Router auch kein eigenes Gast-Netzwerk zur Verfügung stellt, ist er grundsätzlich nicht auf zwei Netzwerke ausgelegt, weder virtuell mit VLANs noch physisch mit separatem LAN-Port, so wie zB LAN4 bei der Fritzbox als Gast konfiguriert werden kann.

Du hast nun drei Optionen:

1) Einen zusätzlichen, VLAN-fähigen Router wie zB einen EdgeRouter-X für ~50€ anschaffen, dort VLANs konfigurieren und Firewall einstellen. Anschließend den VLAN-fähigen AP verbinden und dort zu jedem VLAN eine SSID erstellen. Fertig ist das Gast-WLAN.

2) Einen WLAN-Router, der Blacklists beinhaltet, besorgen. Via WAN-Port mit dem bestehenden Internetrouter verbinden, WLAN konfigurieren, Blacklist bearbeiten und das Haupt-Netzwerk eintragen.

3) Die Gäste Gäste sein lassen und sie ihrem eigenen mobilen Internetvertrag überlassen.


Die erste Variante erfordert ein gewisses Maß an KnowHow und/oder Willen zum Lernen. VLANs sind kein Hexenwerk, sie sind aber auch etwas, mit dem Otto Normal noch nie in Kontakt gekommen ist - Stichwort: Böhmische Dörfer. Es besteht ein recht hohes Potenzial für Fehlkonfiguration, sowohl was die VLANs betrifft als auch die besagte Firewall im zusätzlichen Router.

Bei der zweiten Option macht man sich zu 98% die Basisfunktion eines 08/15 WLAN-Routers zu Nutze. Man muss nur das Subnetz vom Hauptnetzwerk in die Blacklist eintragen und von jetzt auf gleich ist das neu erstellte WLAN vom Hauptnetzwerk isoliert, ergo ein GAst-WLAN.




DaveStar schrieb:
Hinweis 1: Entgegen den eher dümmlichen Behauptungen so genannter "Fachmagazine" sind Funktionen wie "AP Isolation" & Co welche auf diversen APs angeboten werden eben kein Ersatz für ein echtes Gast-Netzwerk. Denn diese Funktionen isolieren (zumindest bei den mir bekannten APs) nur die Wireless-Clients der jeweiligen APs untereinander, gewähren aber vollständigen Zugriff aufs verkabelte Netzwerk. Dies macht die entsprechenden Funktionen natürlich vollkommen nutzlos.
Ich vermut, dass du dich da leider irrst. Das eine hat mit dem anderen einfach nichts zu tun. Du magst es so interpretieren, dass das als Gast-Funktion definiert wird, aber die beschriebene Funktion dient einem gänzlich anderen Zweck. Ohne zu wissen von welchem "Fachmagazin" du sprichst, mutmaße ich mal, dass es sich um ein Missverständnis deinerseits handelt, inkl. Fehlinterpretation der Aussagen des Artikels. ;)
 
  • Gefällt mir
Reaktionen: MattildaW68 und snaxilian
Danke für die vielen Infos. Noch eine letzte Verständnisfrage: Wenn ich das nicht mit einem Access Point nach dem Router mache, sondern gleich einen Router mit einer expliziten Gästefunktion verwende wie z.B.: den Netgear WNR2200 - wäre das dann eine einfachere, schnellere und effizientere Lösung?
 
Zurück
Oben