Ubiquiti UniFi Gastzugang erstellen?

NJay

Commander
Dabei seit
Aug. 2013
Beiträge
2.784
Hallo,

ich habe einen AC-Pro und richte ihn ein. Es soll am Ende zwei Netzwerke geben. Einmal das eigene Netz und dann ein Gastnetz. Dieses Gastnetz soll ein sehr einfachen Passwort haben, dass ich einfach an die Wand hänge. Im Gastnetz soll man nur Zugriff auf das Internet haben. Der UniFi Controller soll NICHT die ganze Zeit laufen müssen, eine Portalseite o.Ä. ist nicht erwünscht.

Ein Freund von mir hat genau das am laufen, einziger Unterschied: Statt einem AC-Pro hat er zwei AC-lite, das sollte aber keinen Unterschied machen.

Ich habe also seine Einstellungen quasi übernommen. Ich habe zwei WLAN Netzwerke erstellt, "wlan" und "wlan_guest". Bei wlan habe ich keine weiteren Einstellungen vorgenommen. bei wlan_guest habe ich den Haken bei "Gastrichtlinien anwenden" gesetzt. Unter "Gastkontrolle" habe ich den haken bei "Portalseite" NICHT gesetzt. Zusätzlich habe ich bei "Zugriffskontrolle" nur die IP des Routers eingetragen. Trotzdem kann ich aus dem Gastnetz auch auf das NAS zugreifen...

Gibt es eine Einstellung die ich übersehen habe?

Vielen Dank!
 

MetalForLive

Admiral
Dabei seit
Sep. 2011
Beiträge
7.407
Wo wird das Ganze denn gerouted ?
Welche IP Bereiche haben die beiden SSIDs ?

Theoretisch brauchst du dafür eine Firewall, welche die beiden Netze routed und entsprechend für das Gästenetz nur den Internetzugang durch lässt sowie einen VLAN Switch.

Wenn du einfach nur zwei SSIDs erstellt hast, müssten ja die Clients aus "wlan" und "wlan_guest" trotzdem IPs aus dem gleichen Bereich bekommen und somit gibt es keine Trennung der Geräte.
Alles landet im selben Netz und kann folglich auch auf das NAS zugreifen.
 

NJay

Commander
Ersteller dieses Themas
Dabei seit
Aug. 2013
Beiträge
2.784
Als Router dient eine Fritzbox. Die IP-Bereiche der beiden SSIDs sind gleich.

Das man eigentlich ein VLAN bräuchte etc. habe ich mir auch gedacht, mein Kumpel meinte aber es würde so gehen. Er hätte keine weiteren Einstellungen im Router vorgenommen...

Ich hake bei ihm nochmal nach.

Du sagst also, ohne das der Router da etwas managed kann es nicht gehen?
 

Harrdy

Ensign
Dabei seit
Okt. 2008
Beiträge
250
Die Unifi bieten auch die Möglichkeit ein isoliertes Gastnetz ohne Vlans im selben Subnet wie das Hauptnetz zu betreiben ohne das der Controller laufen muss.

Im Controller gibt es einen Bereich wo die Netze definiert werden. Bin in einer Stunde zu Hause und könnte dir die genauen Einstellungen posten.

Die Access-Points blockieren in dieser Konfiguration den Zugriff von Gästen auf die lokalen Geräte und lassen die Gäste nur ins Internet
 

NJay

Commander
Ersteller dieses Themas
Dabei seit
Aug. 2013
Beiträge
2.784

Raijin

Fleet Admiral
Dabei seit
Nov. 2007
Beiträge
10.436
Hm.. Das habe ich ehrlich gesagt noch nie ausprobiert, weil ich mehrere VLANs nebst assoziierter SSID habe. Schau dir mal diesen Artikel an. Wenn ich das richtig verstanden habe, geht das auch ohne das Gast-Portal.
 

NJay

Commander
Ersteller dieses Themas
Dabei seit
Aug. 2013
Beiträge
2.784
schau mal https://community.ubnt.com/t5/UniFi-Wireless/Gastzugang-ohne-USG/td-p/2395834 wichtig ist die Gastrichtlinie,

klappt bei mir im gastwlan kein zugriff auf nas etc
Leider beides nicht das was ich suche. Der Link benutzt VLANs, was ich nicht kann.
Ergänzung ()

Hm.. Das habe ich ehrlich gesagt noch nie ausprobiert, weil ich mehrere VLANs nebst assoziierter SSID habe. Schau dir mal diesen Artikel an. Wenn ich das richtig verstanden habe, geht das auch ohne das Gast-Portal.
Leider geht das nur mit Controller. Und eine anmeldeseite möchte ich ja auch nicht haben.
 

Harrdy

Ensign
Dabei seit
Okt. 2008
Beiträge
250
Leider beides nicht das was ich suche. Der Link benutzt VLANs, was ich nicht kann.
Ergänzung ()



Leider geht das nur mit Controller. Und eine anmeldeseite möchte ich ja auch nicht haben.
ok, die Beschreibung "CONTROLLER ON-LINE REQUIRED" ist neu, ich war der Meinung das dies auch ohne Controller funktioniert. Das war die Funktion die ich ursprünglich gemeint hatte.

Dann bleibt dir falls du die Fritzbox als Router weiter verwenden willst einzig die möglichkeit einen kleinen 5 Port VLAN Switch aufzustellen und den Uplink dort via Port1-3 bzw. 4 fürs Gästenetz zu regeln.

Vom Szenario ähnlich wie dort beschrieben: http://janscholten.de/blog/2014/09/vlans-im-heimnetz-mit-netgear-unifi-und-fritzbox/

Ein solches Setup nutze ich bei mir daheim auch mit Fritzbox + Unifi AccessPoints um Gäste via VLAN zu trennen. Läuft Problemlos
 

dj-melo

Ensign
Dabei seit
Juli 2005
Beiträge
134
schau mal https://community.ubnt.com/t5/UniFi-Wireless/Gastzugang-ohne-USG/td-p/2395834 wichtig ist die Gastrichtlinie,

klappt bei mir im gastwlan kein zugriff auf nas etc

ich nutze auch keine vlans und es geht der AC pro ist reiner Accespoint in meinem lan ich nutze auch keine Anmeldeseite.

"Die Gast WLAN Funktion ist aber bereits alleine mit den AP AC Pro nutzbar. Wenn Du die Gast Policy für ein Gast WLAN eingeschaltet hast, wird jeder Datenverkehr zwischen Gast-Gast und Gast zu einer anderen Station im LAN gesperrt. Nur Internet Verbindungen sind möglich. Das ist so im Design von UniFi. Falls nötig kannst dann Freigaben machen für Netzdrucker usw."
 

NJay

Commander
Ersteller dieses Themas
Dabei seit
Aug. 2013
Beiträge
2.784
Eigentlich will ich nicht nochmal Geld ausgeben, der AP war teuer genug... :D

Aber interessant, in manchen älteren Anleitungen stand das Controller required auch mal nicht drin...

Mal angenommen ich finde eine Möglichkeit den Controller dauerhaft laufen zu lassen(Ha irgendwo noch nen Pi), dann habe ich nach der Methode immer noch eine Anmeldeseite. Und die will ich ja nicht.
Ergänzung ()

ich nutze auch keine vlans und es geht der AC pro ist reiner accespoint in meinem lan
Welche haken hast du denn wie gesetzt? Denn der Haken für Gastnetzwerk ist bei mir ja auch gesetzt, es funktioniert nur nicht.
 

NJay

Commander
Ersteller dieses Themas
Dabei seit
Aug. 2013
Beiträge
2.784
Ich habe testweise mal das Gastportal mit anmeldeseite aktiviert.

Selbst wenn das an ist, kann man aus dem Gastnetz auf andere Geräte zugreifen...

Ich bin echt mit meinem Latein am ende...
 
Zuletzt bearbeitet:

NJay

Commander
Ersteller dieses Themas
Dabei seit
Aug. 2013
Beiträge
2.784
Controller ist auf meinem Notebook unter Win10 und ist auch aktuell. Habe die Software vorgestern erst installiert.
 

Raijin

Fleet Admiral
Dabei seit
Nov. 2007
Beiträge
10.436
Hm.. Wie testest du ob es funktioniert oder nicht? Mittels ping oder mit einem echten Zugriff (zB Netzlaufwerk, o.ä.)?

Hab das wie gesagt nie selbst probiert, aber ich meine mich zu erinnern, mal im Ubiquiti-Forum gelesen zu haben, dass ping zwar unter Umständen funktioniert, aber Datenverbindungen nicht. Wenn dem so wäre, wird innerhalb des AP bzw. der Gast-Funktion vermutlich ICMP erlaubt (=ping, etc), aber andere Protokolle (zB UDP/TCP) eben nicht. Falls du also mit Ping getestet hast, mach es mal "richtig".
 

NJay

Commander
Ersteller dieses Themas
Dabei seit
Aug. 2013
Beiträge
2.784

Harrdy

Ensign
Dabei seit
Okt. 2008
Beiträge
250
Hab es gerade eben auch Probiert wie dj-melo es beschrieben hat. So funktioniert es auch bei mir. Sämtliche Traffic inkl. ICMP wird geblockt von Gästen auf die definierten Netze. Bei der SSID den Hacken bei "Apply guest policies (captive portal, guest authentication, access)".

Und bei Guest Control:
- Pre-Authorization Access: <IP Deines Routers>/32 (falls du noch andere IPs hast die von Gästen erreicht werden müssen werden die auch hier definiert)
- Post-Authorization Restrictions: Dein Local Subnet, per default müsste dort aber glaube 192.168.0.0/16, 172.16.0.0/12 & 10.0.0.0/8 vorausgefüllt sein.

Hab mich da auch etwas verwirren lassen. Der Controller ist wirklich nur fürs Gästeportal notwendig, nicht für die Accessliste
 

Anhänge

NJay

Commander
Ersteller dieses Themas
Dabei seit
Aug. 2013
Beiträge
2.784
Top