Beschreibung: Dieses Dokument beschreibt die Konfiguration eines WLAN-Gastzugangs ohne Nutzung einer Port-based VLAN-Funktionalität. Voraussetzungen:
Mögliche Szenarien: 1. Die WLAN-Clients, innerhalb der SSID1 (Firmennetz), sind WLAN-Clients der Firma. Diese haben die Berechtigung auf die lokalen Ressourcen im LAN, und auf das Internet zuzugreifen. 2. Die WLAN-Clients, innerhalb der SSID2 (Gastnetz), sind Clients, die nur auf das Internet zugreifen dürfen. Zwei Szenarien sind hier möglich: Im ersten Szenario ist der LANCOM WLAN-Router oder Access Point das Gateway. Im zweiten Szenario wird vor dem LANCOM-WLAN-Router oder Access Point ein weiterer LANCOM-Router verwendet, der als Gateway betrieben wird.
Hinweis:
Dieses Szenario
funktioniert nicht , wenn
mehr als 1 LANCOM Access Point betrieben wird. In diesem Fall muss
Port-based VLAN eingesetzt werden.
In Abhängigkeit des eingesetzten Szenarios werden die LANCOM WLAN-Router oder Access Points unterschiedlich konfiguriert. Vorgehensweisen: 1. Konfiguration des Szenario 1: Im ersten Szenario konfigurieren Sie zunächst zwei IP-Netzwerke und danach zwei SSIDs. Einen IP-Adressbereich und eine SSID für die WLAN-Clients in der Firma und der andere IP-Adressbereich und die entsprechende SSID für die WLAN-Clients, die den Gastzugang benutzen sollen. 1.1 Die IP-Adressbereich Einstellungen nehmen Sie unter dem Menüpunkt IPv4 -> Allgemein -> IP-Netzwerke vor.
Dort definieren Sie z.B. ein
INTRANET mit der IP-Adresse 192.168.100.2 und ein
Gastnetz mit der IP-Adresse 192.168.200.1 . Diesen beiden Netze weisen Sie im Konfiguationspunkt
Schnittstellen
unterschiedliche Bridgegruppen (BRG) zu.
Standarmäßig sind alle Schnittstellen auf die Bridgegruppe BRG-1 eingestellt. Sie
trennen die Netze , indem Sie dem logischen WLAN-1-2 (SSID 2) eine
anderen Bridgegruppe zuordnen (BRG-2) und ein
Schnittstellen-Tag vergeben (5) . Dieses Schnittstellen Tag verhindert den Zugriff vom Gastnetz auf das Intranet. Ein Zugriff vom Intranet auf das Gastnetz ist weiterhin möglich.
1.2 Im Menü Schnittstellen -> LAN -> LAN-Bridge-Einstellungen -> Port-Tabelle müssen Sie die Bridgegruppe BRG-2 für das logische WLAN1-2 einstellen. 1.3 Damit alle WLAN-Clients entsprechend ihrer Zugehörigkeit eine IP-Adresse zugewiesen bekommen, richten Sie im Menü IPv4 -> DHCPv4 -> DHCP-Netzwerke noch den DHCP-Dienst jeweils für das Netzwerk INTRANET und GAST ein. 1.4 Im Menü Wireless LAN -> Allgemein -> Logische WLAN-Einstellungen müssen jetzt die beiden SSIDs für das Firmennetz und das Gastnetz eingerichtet werden. Die SSID für das Firmennetzwerk wird in diesem Beispiel auf dem logischen WLAN-Netzwerk 1 eingerichtet. 1.5 Tragen Sie im Feld Netzwerk-Name (SSID) eine Namensbezeichnung ein (z.B. Firmennetz). Alle anderen Felder bleiben in den Standardeinstellungen. 1.6 Die SSID für das Gastnetzwerk wird in diesem Beispiel auf dem logischen WLAN-Netzwerk 2 eingerichtet. 1.7 Tragen Sie im Feld Netzwerk-Name (SSID) eine Namensbezeichnung ein (z.B. Gastnetz). Alle anderen Felder bleiben in den Standardeinstellungen.
Info:
Um das WLAN so sicher wie möglich zu machen, empfehlen wir die WPA2-Verschlüsselung auszuwählen.
1.8 Schreiben Sie die Konfiguration in den LANCOM WLAN-Router oder Access Point zurück. Beide Netze können danach das Internet nutzen, ein Zugriff des Gastnetzes auf das Intranet ist allerdings nicht möglich. 2. Konfiguration des Szenario 2:
Info: Die
WLAN Einstellungen auf dem WLAN-Router oder Access Point sind
identisch zu denen im Szenario 1 .
2.1 Im zweiten Szenario wird vor dem LANCOM WLAN-Router oder Access Point ein weiterer LANCOM-Router verwendet, der als Gateway betrieben wird. Das Gateway ist Mitglied des Netzwerkes INTRANET und hat die IP-Adresse 192.168.100.1.
Wichtig:
Das Gastnetz darf nicht auf dem Gateway angelegt werden!
2.2 Das Gateway wird auch als DHCP-Server für das Netzwerk INTRANET verwendet. 2.3 Neben der Default-Route benötigt das Gateway eine Rückroute in das Gastnetz (192.168.200.0), das auf dem WLAN-Router oder Access Point mit der IP-Adresse 192.168.100.2 definiert ist. Die Rückroute wird im Menü IP-Router -> Routing -> Routing-Tabelle konfiguriert. 2.4 Auf dem WLAN-Router oder Access Point ändern sich bezugnehmend auf die Konfiguration aus Szenario 1 folgende Werte. Unter IPv4 -> Allgemein -> IP-Netzwerke wird kein Schnittstellen-Tag gesetzt. 2.5 Deaktivieren Sie auf dem WLAN-Router oder Access Point die DHCP-Funktion für das INTRANET im Menü IPv4 -> DHCPv4 -> DHCP-Netzwerke. 2.6 Unter IPv4 -> DNS -> Weiterleitungen muss auf dem WLAN-Router / Access Point die IP-Adresse eines DNS-Servers hinterlegt werden (etwa der vorgeschaltete Router), um die Namensauflösung für das Gastnetz zu realisieren. 2.7 In der Routing Tabelle des WLAN-Routers oder Access Points wird nun eine Default-Route auf die IP-Adresse des Gateways (192.168.100.1) konfiguriert. 2.8 Damit vom Gastnetz nicht auf das Intranet zugegriffen werden kann, muss im Menü Firewall -> IPv4-Regeln -> Regeln eine Firewall Regel definiert werden.
Info:
Die konfigurierte Firewall-Regel bewirkt, dass Zugriffe vom lokalen
Gast-Netzwerk auf das lokale
INTRANET
komplett unterbunden werden . Wird aber aus dem
lokalen Gast-Netzwerk eine
öffentliche DNS- oder IP-Adresse angesprochen , greift die Firewall-Regel nicht und der
Internetzugang ist somit möglich .
|
|