Ubiquiti UniFi Gastzugang erstellen?

NJay

Rear Admiral
Registriert
Aug. 2013
Beiträge
5.604
Hallo,

ich habe einen AC-Pro und richte ihn ein. Es soll am Ende zwei Netzwerke geben. Einmal das eigene Netz und dann ein Gastnetz. Dieses Gastnetz soll ein sehr einfachen Passwort haben, dass ich einfach an die Wand hänge. Im Gastnetz soll man nur Zugriff auf das Internet haben. Der UniFi Controller soll NICHT die ganze Zeit laufen müssen, eine Portalseite o.Ä. ist nicht erwünscht.

Ein Freund von mir hat genau das am laufen, einziger Unterschied: Statt einem AC-Pro hat er zwei AC-lite, das sollte aber keinen Unterschied machen.

Ich habe also seine Einstellungen quasi übernommen. Ich habe zwei WLAN Netzwerke erstellt, "wlan" und "wlan_guest". Bei wlan habe ich keine weiteren Einstellungen vorgenommen. bei wlan_guest habe ich den Haken bei "Gastrichtlinien anwenden" gesetzt. Unter "Gastkontrolle" habe ich den haken bei "Portalseite" NICHT gesetzt. Zusätzlich habe ich bei "Zugriffskontrolle" nur die IP des Routers eingetragen. Trotzdem kann ich aus dem Gastnetz auch auf das NAS zugreifen...

Gibt es eine Einstellung die ich übersehen habe?

Vielen Dank!
 
Wo wird das Ganze denn gerouted ?
Welche IP Bereiche haben die beiden SSIDs ?

Theoretisch brauchst du dafür eine Firewall, welche die beiden Netze routed und entsprechend für das Gästenetz nur den Internetzugang durch lässt sowie einen VLAN Switch.

Wenn du einfach nur zwei SSIDs erstellt hast, müssten ja die Clients aus "wlan" und "wlan_guest" trotzdem IPs aus dem gleichen Bereich bekommen und somit gibt es keine Trennung der Geräte.
Alles landet im selben Netz und kann folglich auch auf das NAS zugreifen.
 
Als Router dient eine Fritzbox. Die IP-Bereiche der beiden SSIDs sind gleich.

Das man eigentlich ein VLAN bräuchte etc. habe ich mir auch gedacht, mein Kumpel meinte aber es würde so gehen. Er hätte keine weiteren Einstellungen im Router vorgenommen...

Ich hake bei ihm nochmal nach.

Du sagst also, ohne das der Router da etwas managed kann es nicht gehen?
 
Die Unifi bieten auch die Möglichkeit ein isoliertes Gastnetz ohne Vlans im selben Subnet wie das Hauptnetz zu betreiben ohne das der Controller laufen muss.

Im Controller gibt es einen Bereich wo die Netze definiert werden. Bin in einer Stunde zu Hause und könnte dir die genauen Einstellungen posten.

Die Access-Points blockieren in dieser Konfiguration den Zugriff von Gästen auf die lokalen Geräte und lassen die Gäste nur ins Internet
 
Harrdy schrieb:
Die Unifi bieten auch die Möglichkeit ein isoliertes Gastnetz ohne Vlans im selben Subnet wie das Hauptnetz zu betreiben ohne das der Controller laufen muss.

Und wie? Genau das möchte ich ja, klappt aber nicht. :)
 
Hm.. Das habe ich ehrlich gesagt noch nie ausprobiert, weil ich mehrere VLANs nebst assoziierter SSID habe. Schau dir mal diesen Artikel an. Wenn ich das richtig verstanden habe, geht das auch ohne das Gast-Portal.
 
  • Gefällt mir
Reaktionen: Harrdy
dj-melo schrieb:
schau mal https://community.ubnt.com/t5/UniFi-Wireless/Gastzugang-ohne-USG/td-p/2395834 wichtig ist die Gastrichtlinie,

klappt bei mir im gastwlan kein zugriff auf nas etc

Leider beides nicht das was ich suche. Der Link benutzt VLANs, was ich nicht kann.
Ergänzung ()

Raijin schrieb:
Hm.. Das habe ich ehrlich gesagt noch nie ausprobiert, weil ich mehrere VLANs nebst assoziierter SSID habe. Schau dir mal diesen Artikel an. Wenn ich das richtig verstanden habe, geht das auch ohne das Gast-Portal.

Leider geht das nur mit Controller. Und eine anmeldeseite möchte ich ja auch nicht haben.
 
NJay schrieb:
Leider beides nicht das was ich suche. Der Link benutzt VLANs, was ich nicht kann.
Ergänzung ()



Leider geht das nur mit Controller. Und eine anmeldeseite möchte ich ja auch nicht haben.

ok, die Beschreibung "CONTROLLER ON-LINE REQUIRED" ist neu, ich war der Meinung das dies auch ohne Controller funktioniert. Das war die Funktion die ich ursprünglich gemeint hatte.

Dann bleibt dir falls du die Fritzbox als Router weiter verwenden willst einzig die möglichkeit einen kleinen 5 Port VLAN Switch aufzustellen und den Uplink dort via Port1-3 bzw. 4 fürs Gästenetz zu regeln.

Vom Szenario ähnlich wie dort beschrieben: http://janscholten.de/blog/2014/09/vlans-im-heimnetz-mit-netgear-unifi-und-fritzbox/

Ein solches Setup nutze ich bei mir daheim auch mit Fritzbox + Unifi AccessPoints um Gäste via VLAN zu trennen. Läuft Problemlos
 
dj-melo schrieb:
schau mal https://community.ubnt.com/t5/UniFi-Wireless/Gastzugang-ohne-USG/td-p/2395834 wichtig ist die Gastrichtlinie,

klappt bei mir im gastwlan kein zugriff auf nas etc


ich nutze auch keine vlans und es geht der AC pro ist reiner Accespoint in meinem lan ich nutze auch keine Anmeldeseite.

"Die Gast WLAN Funktion ist aber bereits alleine mit den AP AC Pro nutzbar. Wenn Du die Gast Policy für ein Gast WLAN eingeschaltet hast, wird jeder Datenverkehr zwischen Gast-Gast und Gast zu einer anderen Station im LAN gesperrt. Nur Internet Verbindungen sind möglich. Das ist so im Design von UniFi. Falls nötig kannst dann Freigaben machen für Netzdrucker usw."
 
Eigentlich will ich nicht nochmal Geld ausgeben, der AP war teuer genug... :D

Aber interessant, in manchen älteren Anleitungen stand das Controller required auch mal nicht drin...

Mal angenommen ich finde eine Möglichkeit den Controller dauerhaft laufen zu lassen(Ha irgendwo noch nen Pi), dann habe ich nach der Methode immer noch eine Anmeldeseite. Und die will ich ja nicht.
Ergänzung ()

dj-melo schrieb:
ich nutze auch keine vlans und es geht der AC pro ist reiner accespoint in meinem lan

Welche haken hast du denn wie gesetzt? Denn der Haken für Gastnetzwerk ist bei mir ja auch gesetzt, es funktioniert nur nicht.
 
bei mir läuft die controller software auf einer ubuntu vm die auch nicht dauerhaft läuft

abgeleitet hab ich meine settings von

https://www.ubnt.com/download/unifi
 
Zuletzt bearbeitet:
Ich habe testweise mal das Gastportal mit anmeldeseite aktiviert.

Selbst wenn das an ist, kann man aus dem Gastnetz auf andere Geräte zugreifen...

Ich bin echt mit meinem Latein am ende...
 
Zuletzt bearbeitet:
Controller ist auf meinem Notebook unter Win10 und ist auch aktuell. Habe die Software vorgestern erst installiert.
 
Hm.. Wie testest du ob es funktioniert oder nicht? Mittels ping oder mit einem echten Zugriff (zB Netzlaufwerk, o.ä.)?

Hab das wie gesagt nie selbst probiert, aber ich meine mich zu erinnern, mal im Ubiquiti-Forum gelesen zu haben, dass ping zwar unter Umständen funktioniert, aber Datenverbindungen nicht. Wenn dem so wäre, wird innerhalb des AP bzw. der Gast-Funktion vermutlich ICMP erlaubt (=ping, etc), aber andere Protokolle (zB UDP/TCP) eben nicht. Falls du also mit Ping getestet hast, mach es mal "richtig".
 
Raijin schrieb:
Hm.. Wie testest du ob es funktioniert oder nicht? Mittels ping oder mit einem echten Zugriff (zB Netzlaufwerk, o.ä.)?

Habe es immer getestet, indem ich versucht habe auf das Webinterface des NAS zu kommen. Ich kam immer drauf.
 
hmmm, ich komme eingerichtet wie beschrieben weder auf irgendeine wui noch smb, oder rdp. ist deine Firmeare aktuell?
 

Anhänge

  • 1.PNG
    1.PNG
    63,5 KB · Aufrufe: 1.060
  • 2.PNG
    2.PNG
    138 KB · Aufrufe: 1.052
  • 3.PNG
    3.PNG
    69,9 KB · Aufrufe: 1.088
  • Gefällt mir
Reaktionen: NJay und Harrdy
Hab es gerade eben auch Probiert wie dj-melo es beschrieben hat. So funktioniert es auch bei mir. Sämtliche Traffic inkl. ICMP wird geblockt von Gästen auf die definierten Netze. Bei der SSID den Hacken bei "Apply guest policies (captive portal, guest authentication, access)".

Und bei Guest Control:
- Pre-Authorization Access: <IP Deines Routers>/32 (falls du noch andere IPs hast die von Gästen erreicht werden müssen werden die auch hier definiert)
- Post-Authorization Restrictions: Dein Local Subnet, per default müsste dort aber glaube 192.168.0.0/16, 172.16.0.0/12 & 10.0.0.0/8 vorausgefüllt sein.

Hab mich da auch etwas verwirren lassen. Der Controller ist wirklich nur fürs Gästeportal notwendig, nicht für die Accessliste
 

Anhänge

  • 1.PNG
    1.PNG
    43 KB · Aufrufe: 1.038
  • 2.PNG
    2.PNG
    49,4 KB · Aufrufe: 961
dj-melo schrieb:
hmmm, ich komme eingerichtet wie beschrieben weder auf irgendeine wui noch smb, oder rdp. ist deine Firmeare aktuell?

Exakt genau so war es bei mir eingestellt, aber es hat nicht funktioniert....

Bin jetzt aber erstmal länger nicht mehr vor Ort, von daher melde ich mich nochmal, wenn ich wieder da bin.
 
Zurück
Oben