Ubiquiti UniFi Gastzugang erstellen?

NJay

Captain
Dabei seit
Aug. 2013
Beiträge
3.796
Hallo,

ich habe einen AC-Pro und richte ihn ein. Es soll am Ende zwei Netzwerke geben. Einmal das eigene Netz und dann ein Gastnetz. Dieses Gastnetz soll ein sehr einfachen Passwort haben, dass ich einfach an die Wand hänge. Im Gastnetz soll man nur Zugriff auf das Internet haben. Der UniFi Controller soll NICHT die ganze Zeit laufen müssen, eine Portalseite o.Ä. ist nicht erwünscht.

Ein Freund von mir hat genau das am laufen, einziger Unterschied: Statt einem AC-Pro hat er zwei AC-lite, das sollte aber keinen Unterschied machen.

Ich habe also seine Einstellungen quasi übernommen. Ich habe zwei WLAN Netzwerke erstellt, "wlan" und "wlan_guest". Bei wlan habe ich keine weiteren Einstellungen vorgenommen. bei wlan_guest habe ich den Haken bei "Gastrichtlinien anwenden" gesetzt. Unter "Gastkontrolle" habe ich den haken bei "Portalseite" NICHT gesetzt. Zusätzlich habe ich bei "Zugriffskontrolle" nur die IP des Routers eingetragen. Trotzdem kann ich aus dem Gastnetz auch auf das NAS zugreifen...

Gibt es eine Einstellung die ich übersehen habe?

Vielen Dank!
 

MetalForLive

Admiral
Dabei seit
Sep. 2011
Beiträge
7.767
Wo wird das Ganze denn gerouted ?
Welche IP Bereiche haben die beiden SSIDs ?

Theoretisch brauchst du dafür eine Firewall, welche die beiden Netze routed und entsprechend für das Gästenetz nur den Internetzugang durch lässt sowie einen VLAN Switch.

Wenn du einfach nur zwei SSIDs erstellt hast, müssten ja die Clients aus "wlan" und "wlan_guest" trotzdem IPs aus dem gleichen Bereich bekommen und somit gibt es keine Trennung der Geräte.
Alles landet im selben Netz und kann folglich auch auf das NAS zugreifen.
 

NJay

Captain
Ersteller dieses Themas
Dabei seit
Aug. 2013
Beiträge
3.796
Als Router dient eine Fritzbox. Die IP-Bereiche der beiden SSIDs sind gleich.

Das man eigentlich ein VLAN bräuchte etc. habe ich mir auch gedacht, mein Kumpel meinte aber es würde so gehen. Er hätte keine weiteren Einstellungen im Router vorgenommen...

Ich hake bei ihm nochmal nach.

Du sagst also, ohne das der Router da etwas managed kann es nicht gehen?
 

Harrdy

Lt. Junior Grade
Dabei seit
Okt. 2008
Beiträge
303
Die Unifi bieten auch die Möglichkeit ein isoliertes Gastnetz ohne Vlans im selben Subnet wie das Hauptnetz zu betreiben ohne das der Controller laufen muss.

Im Controller gibt es einen Bereich wo die Netze definiert werden. Bin in einer Stunde zu Hause und könnte dir die genauen Einstellungen posten.

Die Access-Points blockieren in dieser Konfiguration den Zugriff von Gästen auf die lokalen Geräte und lassen die Gäste nur ins Internet
 

NJay

Captain
Ersteller dieses Themas
Dabei seit
Aug. 2013
Beiträge
3.796

Raijin

Fleet Admiral
Dabei seit
Nov. 2007
Beiträge
13.094
Hm.. Das habe ich ehrlich gesagt noch nie ausprobiert, weil ich mehrere VLANs nebst assoziierter SSID habe. Schau dir mal diesen Artikel an. Wenn ich das richtig verstanden habe, geht das auch ohne das Gast-Portal.
 

NJay

Captain
Ersteller dieses Themas
Dabei seit
Aug. 2013
Beiträge
3.796
schau mal https://community.ubnt.com/t5/UniFi-Wireless/Gastzugang-ohne-USG/td-p/2395834 wichtig ist die Gastrichtlinie,

klappt bei mir im gastwlan kein zugriff auf nas etc

Leider beides nicht das was ich suche. Der Link benutzt VLANs, was ich nicht kann.
Ergänzung ()

Hm.. Das habe ich ehrlich gesagt noch nie ausprobiert, weil ich mehrere VLANs nebst assoziierter SSID habe. Schau dir mal diesen Artikel an. Wenn ich das richtig verstanden habe, geht das auch ohne das Gast-Portal.

Leider geht das nur mit Controller. Und eine anmeldeseite möchte ich ja auch nicht haben.
 

Harrdy

Lt. Junior Grade
Dabei seit
Okt. 2008
Beiträge
303
Leider beides nicht das was ich suche. Der Link benutzt VLANs, was ich nicht kann.
Ergänzung ()



Leider geht das nur mit Controller. Und eine anmeldeseite möchte ich ja auch nicht haben.

ok, die Beschreibung "CONTROLLER ON-LINE REQUIRED" ist neu, ich war der Meinung das dies auch ohne Controller funktioniert. Das war die Funktion die ich ursprünglich gemeint hatte.

Dann bleibt dir falls du die Fritzbox als Router weiter verwenden willst einzig die möglichkeit einen kleinen 5 Port VLAN Switch aufzustellen und den Uplink dort via Port1-3 bzw. 4 fürs Gästenetz zu regeln.

Vom Szenario ähnlich wie dort beschrieben: http://janscholten.de/blog/2014/09/vlans-im-heimnetz-mit-netgear-unifi-und-fritzbox/

Ein solches Setup nutze ich bei mir daheim auch mit Fritzbox + Unifi AccessPoints um Gäste via VLAN zu trennen. Läuft Problemlos
 

dj-melo

Ensign
Dabei seit
Juli 2005
Beiträge
196
schau mal https://community.ubnt.com/t5/UniFi-Wireless/Gastzugang-ohne-USG/td-p/2395834 wichtig ist die Gastrichtlinie,

klappt bei mir im gastwlan kein zugriff auf nas etc


ich nutze auch keine vlans und es geht der AC pro ist reiner Accespoint in meinem lan ich nutze auch keine Anmeldeseite.

"Die Gast WLAN Funktion ist aber bereits alleine mit den AP AC Pro nutzbar. Wenn Du die Gast Policy für ein Gast WLAN eingeschaltet hast, wird jeder Datenverkehr zwischen Gast-Gast und Gast zu einer anderen Station im LAN gesperrt. Nur Internet Verbindungen sind möglich. Das ist so im Design von UniFi. Falls nötig kannst dann Freigaben machen für Netzdrucker usw."
 

NJay

Captain
Ersteller dieses Themas
Dabei seit
Aug. 2013
Beiträge
3.796
Eigentlich will ich nicht nochmal Geld ausgeben, der AP war teuer genug... :D

Aber interessant, in manchen älteren Anleitungen stand das Controller required auch mal nicht drin...

Mal angenommen ich finde eine Möglichkeit den Controller dauerhaft laufen zu lassen(Ha irgendwo noch nen Pi), dann habe ich nach der Methode immer noch eine Anmeldeseite. Und die will ich ja nicht.
Ergänzung ()

ich nutze auch keine vlans und es geht der AC pro ist reiner accespoint in meinem lan

Welche haken hast du denn wie gesetzt? Denn der Haken für Gastnetzwerk ist bei mir ja auch gesetzt, es funktioniert nur nicht.
 

NJay

Captain
Ersteller dieses Themas
Dabei seit
Aug. 2013
Beiträge
3.796
Ich habe testweise mal das Gastportal mit anmeldeseite aktiviert.

Selbst wenn das an ist, kann man aus dem Gastnetz auf andere Geräte zugreifen...

Ich bin echt mit meinem Latein am ende...
 
Zuletzt bearbeitet:

NJay

Captain
Ersteller dieses Themas
Dabei seit
Aug. 2013
Beiträge
3.796
Controller ist auf meinem Notebook unter Win10 und ist auch aktuell. Habe die Software vorgestern erst installiert.
 

Raijin

Fleet Admiral
Dabei seit
Nov. 2007
Beiträge
13.094
Hm.. Wie testest du ob es funktioniert oder nicht? Mittels ping oder mit einem echten Zugriff (zB Netzlaufwerk, o.ä.)?

Hab das wie gesagt nie selbst probiert, aber ich meine mich zu erinnern, mal im Ubiquiti-Forum gelesen zu haben, dass ping zwar unter Umständen funktioniert, aber Datenverbindungen nicht. Wenn dem so wäre, wird innerhalb des AP bzw. der Gast-Funktion vermutlich ICMP erlaubt (=ping, etc), aber andere Protokolle (zB UDP/TCP) eben nicht. Falls du also mit Ping getestet hast, mach es mal "richtig".
 

NJay

Captain
Ersteller dieses Themas
Dabei seit
Aug. 2013
Beiträge
3.796

dj-melo

Ensign
Dabei seit
Juli 2005
Beiträge
196
hmmm, ich komme eingerichtet wie beschrieben weder auf irgendeine wui noch smb, oder rdp. ist deine Firmeare aktuell?
 

Anhänge

  • 1.PNG
    1.PNG
    63,5 KB · Aufrufe: 887
  • 2.PNG
    2.PNG
    138 KB · Aufrufe: 877
  • 3.PNG
    3.PNG
    69,9 KB · Aufrufe: 884

Harrdy

Lt. Junior Grade
Dabei seit
Okt. 2008
Beiträge
303
Hab es gerade eben auch Probiert wie dj-melo es beschrieben hat. So funktioniert es auch bei mir. Sämtliche Traffic inkl. ICMP wird geblockt von Gästen auf die definierten Netze. Bei der SSID den Hacken bei "Apply guest policies (captive portal, guest authentication, access)".

Und bei Guest Control:
- Pre-Authorization Access: <IP Deines Routers>/32 (falls du noch andere IPs hast die von Gästen erreicht werden müssen werden die auch hier definiert)
- Post-Authorization Restrictions: Dein Local Subnet, per default müsste dort aber glaube 192.168.0.0/16, 172.16.0.0/12 & 10.0.0.0/8 vorausgefüllt sein.

Hab mich da auch etwas verwirren lassen. Der Controller ist wirklich nur fürs Gästeportal notwendig, nicht für die Accessliste
 

Anhänge

  • 1.PNG
    1.PNG
    43 KB · Aufrufe: 823
  • 2.PNG
    2.PNG
    49,4 KB · Aufrufe: 819

NJay

Captain
Ersteller dieses Themas
Dabei seit
Aug. 2013
Beiträge
3.796
Top