Description: This document describes how to configure a wireless network supported by multiple LANCOM access points, where guest users have to enter their user credentials at the central gateway in order to communicate with the Internet (Public Spot).
Scenario:- After logging in to the Public Spot via the LAN and/or WLAN, guests should be able to communicate with the Internet.
- Employees should be able to use the LAN and/or WLAN to communicate with the Internet and intranet without having to login.
- No communication is allowed between the networks GUEST and COMPANY.
The following steps describe how to configure the central LANCOM gateway with its Public Spot option, and also the configuration of the LANCOM switch and a LANCOM access point.
To operate more than one LANCOM access point, the steps taken for the configuration can be repeated for any number of APs.
Procedure: 1) Configuring the local networks and VLANs on the gateway router: 1.1) Open the configuration of the gateway router in LANconfig and go to the menu IPv4 → General → IP networks. 1.2) In the IP networks dialog, click the Add... button to create a new network. 1.3) Change the following parameters for the GUEST network: - Network name: Enter a descriptive name for the guest network (in this case GUEST).
- IP address: Enter an IP address from an IP address range which is not already in use.
- Netmask: Enter the subnet mask which is associated with the IP address.
1.4 Die Tabelle IP-Netzwerke muss anschließend wie folgt aussehen: 1.5 Go to the menu IPv4 → DHCPv4 → DHCP networks. 1.6 Click Add to enter a new entry in the table DHCP networks. 1.7 Passen Sie folgende Parameter an: - Network name: In the dropdown menu select the network created in step 1.3) (in this example the network GUEST).
- DHCP server enabled: In the dropdown menu select Yes to activate the DHCP server.
 1.8 Die Tabelle DHCP-Netzwerke muss anschließend wie folgt aussehen: 1.9 Go to the menu Interfaces → VLAN and activate the VLAN module. 1.10 Go to the menu Network table. 1.11 Select the entry Default_VLAN and click on the button Edit. 1.12 Click on the button Select next to Port list to select the interface LAN-1. 1.13 Create a new entry and change the following parameters: - VLAN name: Enter a descriptive name for the VLAN (in this example GUEST).
- VLAN ID: Enter the VLAN ID 2.
- Port list: Select the locial interface LAN-1.
1.14 Die VLAN-Tabelle muss anschließend wie folgt aussehen: 1.15 Go to the menu Port table. 1.16 Select the VLAN port LAN-1: Local area network 1 and click Edit. 1.17 Change the following parameters: - VLAN tagging mode: Make sure that the tagging mode Hybrid (Mixed) is selected.
- Port VLAN ID: Make sure that the VLAN ID 1 is used.
1.18 Go to the menu IPv4 → General → IP networks to add the VLAN IDs to the networks. 1.19 Select the network INTRANET and click Edit. 1.20 Enter the VLAN-ID 1 since it belongs to the network INTRANET. 1.21 Edit the network GUEST and change tje following parameters: - VLAN ID: Enter the VLAN ID 2.
- Interface tag: Enter an Interface tag unequal 0, so that the communication between the network GUEST and the network INTRANET is prevented (in this example the tag 1 is used).
1.22 Die Tabelle IP-Netzwerke muss anschließend wie folgt aussehen: 1.23 The network and VLAN configuration is complete. Write the configuration back into the router.
2) Configuring the Public Spot and the RADIUS server on the gateway router 2.1 Go to the menu Public-Spot → Authentication and select the mode Authenticate with name and password. 2.2 Go to the menu Public Spot → Server → Operational settings. 2.3 Go to the menu Interfaces. 2.4 Select the Interface for the Public Spot authentication (in this example the interface LAN-1), and click Edit. 2.5 Activate the User Authentication for the interface LAN-1: Local area network 1. 2.6 Go to the menu Network table to specify which VLAN ID should be used in conjunction with the Public Spot. 2.7 Click Add to create a new entry. 2.8 Select the VLAN ID 2. 2.9 Go to the menu Public Spot → Users → RADIUS server to point to the integrated RADIUS server. 2.10 Ex factory there is an entry named LOCAL. It points to the integrated RADIUS and Accounting server. Make sure that the following parameters are used: - Auth. server address: 127.0.0.1
- Auth. server port: 1812
- Acc. server address: 127.0.0.1
- Acc. server port: 1813
2.11 Go to the menu Public Spot → Wizard → Public Spot SSIDs. 2.12 Create a new entry and change the following parameters: - SSID: Enter the SSID created in step 4.4) (in this example Guest), to print the name of the SSID on the Public Spot voucher.
- SSID selected: Set this option to Yes, in order for the SSID to be printed on the Public Spot voucher whenever the setup wizard Create Public Spot Account is used.
2.13 Go to the menu RADIUS → Server and activate the functions RADIUS authentication and RADIUS accounting. 2.14 Wechseln Sie in das Menü RADIUS-Dienste Ports. 2.15 Stellen Sie sicher, dass bei Authentifizierungs-Port der Port 1812 und bei Accounting-Port der Port 1813 hinterlegt ist. 2.16 Die Konfiguration des Public Spot und des RADIUS-Servers ist damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.
3. VLAN-Konfiguration auf dem LANCOM Switch: 3.1 Öffnen Sie die Konfiguration des LANCOM Switch in einem Web-Browser und wechseln Sie in das Menü Configuration → VLAN → VLAN Membership. 3.2. In diesem Konfigurationsbeispiel sollen die Switch Ports folgendermaßen belegt sein: - LANCOM Access Point am Port 1
- LANCOM Gateway Router am Port 3
- Port 23 wird für den kabelgebundenen LAN-Zugang zum Netzwerk FIRMA (192.168.0.0/24) verwendet.
- Port 24 wird für den kabelgebundenen LAN-Zugang zum Netzwerk GAST (192.168.1.0/24) verwendet. Der Zugang wird per Public Spot geregelt.
3.3 Tragen Sie im bereits existierenden Default-VLAN den Namen des Netzwerkes FIRMA ein. 3.4 Erstellen Sie ein neues VLAN mit der Schaltfläche Add New VLAN. Vergeben Sie die VLAN-ID 2 und tragen Sie als Namen GAST ein. 3.5 Setzen Sie bei dem Netzwerk GAST jeweils einen Haken bei Port 1, Port 3 und Port 24. 3.6 Wechseln Sie in das Menü Ports und nehmen Sie die Port-Konfiguration für die verwendeten Ports 1, 3, 23 und 24 vor: - Stellen Sie sicher, dass bei den Ports 1 und 3 als Egress Rule der Wert Hybrid und als PVID der Wert 1 hinterlegt ist.
 - Setzen Sie bei Port 23 die Egress Rule auf den Wert Access und stellen sicher, dass bei PVID der Wert 1 hinterlegt ist.
- Setzen Sie bei Port 24 die Egress Rule auf den Wert Access und hinterlegen im Feld PVID die VLAN-ID 2.
3.7. Die VLAN-Konfiguration auf dem LANCOM Switch ist damit abgeschlossen. Schreiben Sie die Konfiguration in das Gerät zurück.
4. Konfiguration eines LANCOM Access Point: 4.1 Wechseln Sie in das Menü IPv4 → Allgemein → IP-Netzwerke. 4.2 Vergeben Sie dem Access Point eine IP-Adresse aus dem Netzwerk INTRANET (in diesem Beispiel das Netzwerk 192.168.0.0/24) und hinterlegen die VLAN-ID 1. 4.3 Wechseln Sie in das Menü Wireless-LAN → Allgemein → Logische WLAN-Einstellungen. 4.4 Erstellen Sie für jedes WLAN-Modul jeweils ein WLAN mit der SSID FIRMA und GAST und passen die Verschlüsselungs-Einstellungen an. WLAN-Interface 1 - Netzwerk 1: Reiter Netzwerk: - Stellen Sie sicher, dass der Haken bei WLAN-Netzwerk aktiviert gesetzt ist.
- Vergeben Sie einen aussagekräftigen Netzwerk-Namen für die SSID (in diesem Beispiel der Name FIRMA).
Reiter Verschlüsselung: - Hinterlegen Sie bei Schlüssel 1/Passphrase einen WPA-Key, der in den WLAN-Geräten eingegeben werden muss, damit diese sich im WLAN einbuchen können.
 
WLAN-Interface 1 - Netzwerk 2: Reiter Netzwerk: - Stellen Sie sicher, dass der Haken bei WLAN-Netzwerk aktiviert gesetzt ist.
- Vergeben Sie einen aussagekräftigen Netzwerk-Namen für die SSID (in diesem Beispiel der Name GAST).
Reiter Verschlüsselung: - Deaktivieren Sie die Verschlüsselung. WLAN-Geräte sollen sich am Public Spot nur über die Zugangs-Daten authentifizieren.
 
WLAN-Interface 2 - Netzwerk 1: Reiter Netzwerk: - Stellen Sie sicher, dass der Haken bei WLAN-Netzwerk aktiviert gesetzt ist.
- Vergeben Sie einen aussagekräftigen Netzwerk-Namen für die SSID (in diesem Beispiel der Name FIRMA).
Reiter Verschlüsselung: - Hinterlegen Sie bei Schlüssel 1/Passphrase den WPA-Key, den Sie bereits für die Schnittstelle WLAN-Interface 1 - Netzwerk 1 vergeben haben.
WLAN-Interface 2 - Netzwerk 2: Reiter Netzwerk: - Stellen Sie sicher, dass der Haken bei WLAN-Netzwerk aktiviert gesetzt ist.
- Vergeben Sie einen aussagekräftigen Netzwerk-Namen für die SSID (in diesem Beispiel der Name GAST).
Reiter Verschlüsselung: - Deaktivieren Sie die Verschlüsselung. WLAN-Geräte sollen sich am Public Spot nur über die Zugangs-Daten authentifizieren.
4.5 Wechseln Sie in das Menü Schnittstellen → VLAN und aktivieren das VLAN-Modul. 4.6 Wechseln Sie in das Menü VLAN-Tabelle. 4.7 Markieren Sie den Eintrag Default_VLAN und klicken auf Bearbeiten. 4.8 Klicken Sie bei Port-Liste auf Wählen, um die logischen Schnittstellen für das Firmen-Netzwerk hinzuzufügen. 4.9 Wählen Sie alle logischen Schnittstellen aus, über die das Firmen-Netzwerk kommunizieren soll (in diesem Beispiel die Schnittstellen LAN-1, WLAN-1 und WLAN-2). 4.10 Erstellen Sie einen weiteren Eintrag und passen folgende Parameter an: - VLAN-Name: Vergeben Sie einen aussagekräftigen Namen für das VLAN (in diesem Beispiel GAST).
- VLAN-ID: Hinterlegen Sie die VLAN-ID 2.
- Klicken Sie anschließend bei Port-Liste auf Wählen, um die logischen Schnittstellen für das Gast-Netzwerk hinzuzufügen.
4.11 Wählen Sie alle logischen Schnittstellen aus, über die das Gast-Netzwerk kommunizieren soll (in diesem Beispiel die Schnittstellen LAN-1, WLAN-1-2 und WLAN-2-2). 
4.12 Die VLAN-Tabelle muss anschließend wie folgt aussehen: 4.13 Wechseln Sie in das Menü Port-Tabelle. 4.14 Passen Sie die einzelnen logischen Schnittstellen wie folgt an: LAN-1: - VLAN-Tagging-Modus: Stellen Sie sicher, dass der Tagging-Modus Hybrid (Gemischt) hinterlegt ist.
- Port-VLAN-ID: Stellen Sie sicher, dass die Port-VLAN-ID 1 hinterlegt ist.
WLAN-1: - VLAN-Tagging-Modus: Wählen Sie im Dropdownmenü den Tagging-Modus Access (Niemals) aus.
- Port-VLAN-ID: Stellen Sie sicher, dass die Port-VLAN-ID 1 hinterlegt ist.
WLAN-2: - VLAN-Tagging-Modus: Wählen Sie im Dropdownmenü den Tagging-Modus Access (Niemals) aus.
- Port-VLAN-ID: Stellen Sie sicher, dass die Port-VLAN-ID 1 hinterlegt ist.
 
WLAN-1-2: - VLAN-Tagging-Modus: Wählen Sie im Dropdownmenü den Tagging-Modus Access (Niemals) aus.
- Port-VLAN-ID: Hinterlegen Sie die Port-VLAN-ID 2.
WLAN-2-2: - VLAN-Tagging-Modus: Wählen Sie im Dropdownmenü den Tagging-Modus Access (Niemals) aus.
- Port-VLAN-ID: Hinterlegen Sie die Port-VLAN-ID 2.
 
4.15 Die Port-Tabelle muss anschließend wie folgt aussehen: 4.16 Die Konfiguration des Access Points ist damit abgeschlossen. Schreiben Sie die Konfiguration in das Gerät zurück.
5. Einrichtung eines weiteren Administrators zur Einrichtung und Verwaltung von Public Spot Benutzern: 5.1 Öffnen Sie die Konfiguration des Gateway-Routers in LANconfig und wechseln in das Menü Management → Admin → Weitere Administratoren. 5.2 Erstellen Sie einen weiteren Administrator und passen folgende Parameter an: - Administrator: Vergeben Sie einen aussagekräftigen Namen für den weiteren Administrator.
- Passwort: Hinterlegen Sie ein Passwort. mit dem sich der Administrator in WEBconfig anmelden kann.
- Zugriffs-Rechte: Wählen Sie im Dropdownmenü Keine aus.
- Deaktivieren Sie alle Funktions-Rechte bis auf Public-Spot-Assistent (Benutzer anlegen) und Public-Spot-Assistent (Benutzer verwalten), damit der Administrator Public Spot Benutzer anlegen und verwalten kann.
5.3 Die Konfiguration des weiteren Administrators ist damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.
6. Einrichtung und Verwaltung eines Public Spot Benutzers in WEBconfig: 6.1 Rufen Sie die IP-Adresse des Gateway-Routers in in einem Browser auf und loggen sich mit den Login-Daten des weiteren Administrators ein (siehe Schritt 5.2). 6.2 In dem Menü Public-Spot-Benutzer einrichten können Sie folgende Aktionen vornehmen: - Erstellen Sie einen oder mehrere neue Public Spot Benutzer, indem Sie auf die Schaltfläche Anlegen und Drucken klicken.
- Erstellen Sie einen oder mehrere neue Public Spot Benutzer, indem Sie auf die Schaltfläche Anlegen und CSV-Export klicken. Zusätzlich werden die Benutzer-Daten in eine CSV-Datei exportiert, damit diese anschließend weiter bearbeitet werden können.
- Mit einem Klick auf die Schaltfläche Benutzerverwaltung aufrufen gelangen Sie in das Menü Public-Spot-Benutzer verwalten.
6.3 In dem Menü Public-Spot-Benutzer verwalten können Sie folgende Aktionen vornehmen: - Unter Spalte zeigen/verstecken können Sie einzelne Spalten ausblenden. Im Standard werden alle Spalten angezeigt.
- Mit einem Klick auf Als CSV speichern wird eine CSV-Datei mit allen aktuell angelegten Benutzern abgespeichert.
- Einzelne Parameter wie z.B. das Passwort oder der Ablauf-Typ können abgeändert und dann gespeichert werden.
- Mit einem Klick auf Löschen können einzelne Benutzer gelöscht werden.
- Mit einem Klick auf die Schaltfläche Benutzer anlegen gelangen Sie in das Menü Public-Spot-Benutzer einrichten.
| 
