6
Gast-Netzwerk mit RV110W
Servus aus München,
ich möchte in unseren Büroräumen ein WLAN für Kunden bzw. Gäste einrichten.
Darum habe hier schon seit geraumer Zeit einiges über Gäste-WLAN, VLAN, Routing etc. gelesen aber vieles nicht wirklich und in allen Einzelheiten verstanden.
Auf jeder der beiden Büroetagen werkelt bereits ein cisco RV110W Router als WLAN-AccessPoints für die Notebooks (Authentifizierung per RADIUS).
Auf einem der beiden RV110W habe ich nun versucht, ein Gäste-WLAN einzurichten und folgendes funktioniert:
- das Gast-WLAN-Netz ist sichtbar (SSID)
- Geräte können eine Verbindung mit dem Gast-WLAN aufbauen
- Geräte bekommen eine korrekte IP vom VLAN DHCP (in meinem Fall 192.168.100.100/24, Gateway 192.168.100.1, DHCP Server 192.168.100.1, DNS 192.168.100.1)
- ich bekomme auf dem verbundenen Gerät unter 192.168.100.1 die Website zum Login ins Gästenetz
- der Login funktioniert: „The Internet may now be used.“
Internet ist aber nicht verfügbar, es fehlt meines Erachtens die Verbindung vom VLAN zum Internet/Firewall.
Der Vorschlag eines Technikers unseres Systemhauses ist, noch zwei neue RV110W zu kaufen und diese in die DMZ zu stellen und von dort die Gäste ins Internet zu lassen. Dieser Vorschlag brachte mich (endlich) dazu, hier mein Problem zu schildern.
Danke für die Unterstützung.
ich möchte in unseren Büroräumen ein WLAN für Kunden bzw. Gäste einrichten.
Darum habe hier schon seit geraumer Zeit einiges über Gäste-WLAN, VLAN, Routing etc. gelesen aber vieles nicht wirklich und in allen Einzelheiten verstanden.
Auf jeder der beiden Büroetagen werkelt bereits ein cisco RV110W Router als WLAN-AccessPoints für die Notebooks (Authentifizierung per RADIUS).
Auf einem der beiden RV110W habe ich nun versucht, ein Gäste-WLAN einzurichten und folgendes funktioniert:
- das Gast-WLAN-Netz ist sichtbar (SSID)
- Geräte können eine Verbindung mit dem Gast-WLAN aufbauen
- Geräte bekommen eine korrekte IP vom VLAN DHCP (in meinem Fall 192.168.100.100/24, Gateway 192.168.100.1, DHCP Server 192.168.100.1, DNS 192.168.100.1)
- ich bekomme auf dem verbundenen Gerät unter 192.168.100.1 die Website zum Login ins Gästenetz
- der Login funktioniert: „The Internet may now be used.“
Internet ist aber nicht verfügbar, es fehlt meines Erachtens die Verbindung vom VLAN zum Internet/Firewall.
Der Vorschlag eines Technikers unseres Systemhauses ist, noch zwei neue RV110W zu kaufen und diese in die DMZ zu stellen und von dort die Gäste ins Internet zu lassen. Dieser Vorschlag brachte mich (endlich) dazu, hier mein Problem zu schildern.
Danke für die Unterstützung.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 264303
Url: https://administrator.de/contentid/264303
Printed on: April 23, 2024 at 14:04 o'clock
6 Comments
Latest comment
noch zwei neue RV110W zu kaufen und diese in die DMZ zu stellen und von dort die Gäste ins Internet zu lassen.
Das ist natürlich Blödsinn und hilft nicht.Die Problematik ist hier das dein aktuelles Design nicht wirklich klar ist wie du derzeit den gastzugang löst
Du sagtst du hast das o.a. Gast_Tutorial gelesen aber die Kardinalsfrage ob du es genau so umgesetzt hast mit einem Captive Portal oder WIE du es nun final umgesetzt hast bleibt vollkommen unbeantwortet
Das Tutorial beschreibt ja die Lösung über die Firewall mit 3 LAN Ports die selber das Portal darstellt.
1 Port bedient das lokale LAN, 1 Port ist der Internet Zugang und 1 Port ist das gast WLAN was ja vollkommen getrennt sein soll vom lokalen LAN.
Gäste authentisieren sich am Portal, dürfen das Portal passieren und kommen so direkt ins Internet ohne das gesicherte LAN zu tangieren. Die Firewall verhindert das wasserdicht mit einer Blocking Regel.
Das ist ein so banales Design, da gibt es ja nun wahrlich nichts kompliziertes so das man die Einzelheiten problemlos verstehen sollte oder WAS genau ist dir da unklar ?!
Du beschreibst aber nun leider NICHT wie deine Lösung aussieht oder ob diese Lösung dem Tutorial entspricht ?!
Wenn du mit VLANs arbeitest solltest du zu dem Design auch unbedingt das hier lesen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Speziell dort das Praxisbeispiel was deinem Design vermutlich entspricht. Es hat auch eine lauffähige Beispielkonfig für den Cisco RV Router !
Das beantwortet mehr oder weniger alle deine Fragen zu dem Thema !
Danke aqui,
hier noch ein paar fehlende Infos zur derzeitigen Infrastruktur:
- als Gateway/Firewall läuft ein IPCop mit drei Ports (ROT - WAN, GRÜN - LAN, ORANGE - DMZ), über den auch Außenstellen per VPN angebunden sind.
- die beiden RV110W hängen mit je einem ihrer LAN-Ports im internen LAN
Was mir u.a. unklar ist, ist der Standort der M0n0wall und deren Captive Portal.
Muss diese M0n0wall zusätzlich vor oder hinter den IPCop?
Liefert nicht der RV110W das Captive Portal?
Ich kann natürlich gerne M0n0wall, pfSense, DD-WRT oder Mikrotik installieren, möchte aber nichts an der funktionierenden WLAN-Konfiguration kaputt konfigurieren.
Deshalb auch meine Anfrage hier im Forum.
hier noch ein paar fehlende Infos zur derzeitigen Infrastruktur:
- als Gateway/Firewall läuft ein IPCop mit drei Ports (ROT - WAN, GRÜN - LAN, ORANGE - DMZ), über den auch Außenstellen per VPN angebunden sind.
- die beiden RV110W hängen mit je einem ihrer LAN-Ports im internen LAN
Was mir u.a. unklar ist, ist der Standort der M0n0wall und deren Captive Portal.
Muss diese M0n0wall zusätzlich vor oder hinter den IPCop?
Liefert nicht der RV110W das Captive Portal?
Ich kann natürlich gerne M0n0wall, pfSense, DD-WRT oder Mikrotik installieren, möchte aber nichts an der funktionierenden WLAN-Konfiguration kaputt konfigurieren.
Deshalb auch meine Anfrage hier im Forum.
als Gateway/Firewall läuft ein IPCop mit drei Ports
Mit pfSense Firewall wärst du da weitaus besser bedient, denn die beinhaltet gleich ein Captive Portal für Gäste:Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Von der erheblich besseren Bedienbarkeit mal ganz abgesehen....
die beiden RV110W hängen mit je einem ihrer LAN-Ports im internen LAN
Missbrauchst du die Router nur als dumme Accesspoints wie hier beschrieben oder wozu sollten sie sonst gut sein in so einem Design ?!Kopplung von 2 Routern am DSL Port
Was mir u.a. unklar ist, ist der Standort der M0n0wall und deren Captive Portal.
Sieh dir die Topologie Zeichnungen hier an die sprechen für sich und erklären es:VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Muss diese M0n0wall zusätzlich vor oder hinter den IPCop?
Nein, am besten wäre sie ersetzt den IPCop vollständig !! Eine einzige Firewall reicht vollkommen aus dafür.Liefert nicht der RV110W das Captive Portal?
Hast du denn mal im Datenbaltt nachgesehen ob der RV110 ein Captive Portal supportet ?? Wenn ja und er ein solches Feature hat kann er es auch machen, keinen Frage. Liest man die Product Specifications hier, was du vermutlich mal wieder nicht gemacht hast, http://www.cisco.com/c/en/us/products/collateral/routers/rv110w-wireles ...
steht dort nix von einem CP Support !
möchte aber nichts an der funktionierenden WLAN-Konfiguration kaputt konfigurieren.
Musst du auch gar nicht. Hänge einfach das WLAN Netz an einen der Ports der pfSense, aktiviere das CP an diesem Port et voila... dann klappt es so wie im Gast WLAN Tutorial beschrieben !Deshalb auch meine Anfrage hier im Forum.
Wäre eigentlich auch nicht nötig, denn die Tutorials erklären das ja umfassend und auch für Laien einfach verständlich ?!
Servus,
Aber darin geht man weitgehend von einem ungepflügten Feld aus, was es meistens nicht gibt.
Der IPCop tut hier seit Jahren gute Arbeit. Es laufen über ein Dutzend Host-zu-Netz VPNs und einige Netz-zu-Netz VPNs zu anderen IPCops auf Außenstellen.
Wenn ich nun den IPCop hier ersetze, zieht das eine Menge nach sich und der Vorschlag des Systemhauses, zwei weitere Router für das Gast-Netz zu kaufen, ist dann wahrscheinlich gar nicht mehr so abwegig.
Gibt es eine von den Tutorials abweichende Möglichkeit und ohne die bestehende Firewall zu ersetzen, trotzdem ein Gäste-WLAN mit RV110W-Routern zu errichten?
Danke für die Unterstützung.
Missbrauchst du die Router nur als dumme Accesspoints wie hier beschrieben...?!
Ja, die Router stellen bisher nur als AP ein WLAN über zwei Etagen bereit.Nein, am besten wäre sie ersetzt den IPCop vollständig !! Eine einzige Firewall reicht vollkommen aus dafür.
Die Tutorials sind definitiv sehr gut und vor allem steckt da eine Menge Zeit, Arbeit und Wissen drin.Aber darin geht man weitgehend von einem ungepflügten Feld aus, was es meistens nicht gibt.
Der IPCop tut hier seit Jahren gute Arbeit. Es laufen über ein Dutzend Host-zu-Netz VPNs und einige Netz-zu-Netz VPNs zu anderen IPCops auf Außenstellen.
Wenn ich nun den IPCop hier ersetze, zieht das eine Menge nach sich und der Vorschlag des Systemhauses, zwei weitere Router für das Gast-Netz zu kaufen, ist dann wahrscheinlich gar nicht mehr so abwegig.
Hast du denn mal im Datenbaltt nachgesehen ob der RV110 ein Captive Portal supportet ??
Ich bin da von falschen Voraussetzungen ausgegangen. Ich dachte, die "Guest Access Website" des RV110W auf der sich der Nutzer anmelden muß um das Gastnetzt für eine entsprechende Zeit zu nutzen, würde als Captive Portal fungieren.Gibt es eine von den Tutorials abweichende Möglichkeit und ohne die bestehende Firewall zu ersetzen, trotzdem ein Gäste-WLAN mit RV110W-Routern zu errichten?
Danke für die Unterstützung.
Ja, die Router stellen bisher nur als AP ein WLAN über zwei Etagen bereit.
OK, dann gilt für dich was im obigen Tutorial, Alternative 3 steht um die richtig zu betreiben !Aber darin geht man weitgehend von einem ungepflügten Feld aus, was es meistens nicht gibt.
Da hast du natürlich Recht, keine Frage aber das in ein bestehendes Design zu integrieren ist ja nun kinderleicht.Das WLAN rennt ja immer in einem abgetrennten Bereich (IP Segment, VLAN) und man muss es dann lediglich auf den Port um ziehen an der Foirewall auf dem auch dann das Captive Portal rennt für die Gäste. Ggf. muss man hier dann mit tagged Ports an der FW arbeiten wenn die APs mSSID APs sind also mit mehreren SSIDs auf einer Hardware arbeite können.
All das supportet die o.a. Firewall problemlos und ist mit 3 Mausklicks schnell eingerichtet. Also alles in allem ist das auch in bestehende Umgebungen schnell und problemlos zu integrieren.
Der IPCop tut hier seit Jahren gute Arbeit.
OK, du musst ihn nicht zwingend ersetzen, das ist kein Muss. Natürlich kannst du das Captive Portal dahinter kaskadieren.Du kannst dir aber denken das das nicht gerade sehr effizient ist wenn du 2 Firewall Systeme eigentlich sinnlos hintereinander in einer Kaskade betreibst quasi nur so als "Durchlauferhitzer".
Technisch ist das natürlich machbar und funktioniert auch. Um es schnell umzusetzen für eine Übergangszeit ist das ja auch kein Ding.
Langfristig sollte man sich aber überlegen ob man das System dann nicht schlanker macht und so aufsetzt wie es am effizientesten arbeiten kann.
Klar ist das mit ein bischen Umbau Zeit verbunden aber am Ende hat man ein System was erheblich einfacher zu warten und zu managen ist.
Es muss aber wie gesagt nicht zwingend sein...
Wenn du das umgehen willst ist es richtig für das Gastnetz dann entsprechedn viele separate neue Accesspoints zu beschaffen und sie dafür zu verwenden um möglichst wenig an der bestehenden Struktur umändern zu müssen.
Dafür reichen dann aber 15 Euro TP-Link 841N vollkommen aus dafür muss man keine Ciscos verbraten, da diese Systeme ja eh nur als dumme, einfache APs laufen.
ohne die bestehende Firewall zu ersetzen, trotzdem ein Gäste-WLAN mit RV110W-Routern zu errichten?
Ja, das gibt es natürlich indem du das Captive Portal Konstrukt einfach zusätzlich in dein Netz integrierst !
Danke aqui für die Informationen,
Ich werde wohl nochmal neu überlegen, wie das anständig umzusetzen ist.
Für jetzt werde ich erstmal den Fall als gelöst markieren.
Ich werde wohl nochmal neu überlegen, wie das anständig umzusetzen ist.
Für jetzt werde ich erstmal den Fall als gelöst markieren.
