Versionen im Vergleich

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

...

    • Das Gast-Netzwerk benötigt einen LAN-Anschluss, an welchen ein kabelgebundenes Internet-Terminal angeschlossen werden kann. Dieser Anschluss wird am Port ETH-2 konfiguriert. Der Zugriff auf das LAN wird über die Public Spot-Funktionalität realisiert und reglementiert.
    • Im Gast-Netzwerk ist ebenfalls ein WLAN verfügbar (eigene SSID Gast mit dem logischen Interface WLAN-1-2). Der Zugriff auf das WLAN wird über die Public Spot-Funktionalität realisiert und reglementiert.
    • Es soll nicht möglich sein, vom Gast-Netzwerk Zugriffe in das Verwaltungs-Netzwerk durchzuführen.
    • Die Benutzer des Gast-Netzwerks sollen ausschließlich die Internet-Verbindung INTERNET2 verwenden dürfen.
    • Die Internet-Zugriffe aus dem Gast-Netzwerk werden durch den Content-Filter geprüft. Zehn Benutzer sollen den Content-Filter pro Tag verwenden dürfen, kommt ein elfter (oder weitere) Benutzer hinzu, soll der Internet-Zugang für diese(n) Benutzer unterbunden werden.


Vorgehensweise:

Einrichtung 1. Einrichtung der lokalen Netzwerke für Verwaltung und Gäste:

1.1 Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü das Menü IPv4 → Allgemein → IP-Netzwerke.

1.2 . Markieren Sie das Netzwerk INTRANET und klicken auf Bearbeiten. Dieses Netzwerk wird für die Verwaltung verwendet.

1.3 . Passen Sie folgende die folgenden Parameter an:

  • IP-Adresse: Vergeben Sie eine IP-Adresse aus dem Verwaltungs-Netzwerk (in diesem Beispiel die 192.168.10.1).
  • Netzmaske: Vergeben Sie die zum Verwaltungs-Netzwerk zugehörige Subnetzmaske (in diesem Beispiel die Subnetzmaske 255.255.255.0).
  • Schnittstellen-Zuordnung: Stellen Sie sicher, dass die Bridge-Gruppe BRG-1 hinterlegt ist (Das ist die Bridge-Gruppe, unter der der Ethernet-Port ETH-1 im späteren Konfigurationsverlauf mit dem logischen WLAN-Interface WLAN-1 zusammengefasst wird).

1.4 . Erstellen Sie ein neues Netzwerk für die Gäste und passen folgende Parameter an:

  • Netzwerkname: Vergeben Sie einen aussagekräftigen NamenNamen (in diesem Beispiel GAST).
  • IP-Adresse: Vergeben Sie eine IP-Adresse aus dem Gast-Netzwerk (in diesem Beispiel die 192.168.20.1).
  • Netzmaske: Vergeben Sie die zum Gast-Netzwerk zugehörige Subnetzmaske (in diesem Beispiel die Subnetzmaske 255.255.255.0).
  • Schnittstellen-Zuordnung: Hinterlegen Sie die Bridge-Gruppe BRG-2 (Das ist die Bridge-Gruppe, unter der der Ethernet-Port ETH-2 im späteren Konfigurationsverlauf mit dem logischen WLAN-Interface WLAN-1-2 zusammengefasst werden).
  • Schnittstellen-Tag: Hinterlegen Sie das Schnittstellen-Tag 1 (Dieses Schnittstellen-Tag sorgt dafür, dass vom Netzwerk GAST kein Zugriff auf das Netzwerk INTRANET möglich sein wird).
Info

Netzwerke, welche über ein Schnittstellen-Tag verfügen, können nur mit Netzwerken kommunizieren, die über das gleiche Schnittstellen-Tag verfügen.  Außerdem Außerdem bedeutet dies, dass das Netzwerk  INTRANET, welches über das Schnittstellen-Tag  Tag  0  verfügt, mit  mi  allen Netzwerken mit beliebigem Schnittstellen-Tag kommunizieren kann.  Dies Dies dient dem einfacheren Zugriff vom   INTRANET-Netzwerk  Netzwerk  INTRANET auf das  Netzwerk GAST-Netzwerk. Eine Kommunikation vom   GAST- Netzwerk   GAST in das   INTRANET- Netzwerk   INTRANET ist nicht möglich.

1.5 . Die Tabelle IP-Netzwerke sollte nun folgendermaßen aussehen:

1.6 Wechseln Sie in das Menü IPv4 → DHCPv4 → DHCP-Netzwerke.

Image Added

1.7 Wählen Sie das Netzwerk INTRANET aus und klicken auf Bearbeiten.

Image Added

1.8 Wählen Sie bei DHCP-Server aktiviert die Option Ja aus.

Image Added

1.9 Klicken Sie auf Hinzufügen, um ein neues DHCP-Netzwerk anzulegen.

Image Added

1.10 Passen Sie die folgenden Parameter an:

  • Netzwerkname: Wählen Sie im Dropdown-Menü das in Schritt 1.4 erstellte Gast-Netzwerk aus (in diesem Beispiel GAST).
  • DHCP-Server aktiviert: Wählen Sie im Dropdown-Menü die Option Ja aus.

Image Added



2. Konfiguration des WLAN:

2.1 Wechseln . Wechseln Sie in das Menü Wireless-LAN → Allgemein und wählen das Land aus, in dem der WLAN-Router betrieben wird.

72.2 Wechseln Sie in das Menü Physikalische WLAN-Einst..

82.3 Setzen Sie den Haken bei WLAN-Interface aktiviert, um das WLAN-Modul zu aktivieren.

Die weiteren physikalischen WLAN-Einstellungen belassen wir in diesem Konfigurationsbeispiel bei den voreingestellten Standardwerten.

92.4 Wechseln Sie in das Menü Logische WLAN-Einstellungen → WLAN-Netzwerk 1. Dieses soll für das Verwaltungs-Netzwerk verwendet werden.

102.5 Passen Sie folgende die folgenden Parameter an:

  • Stellen Sie sicher, dass der Haken bei WLAN-Netzwerk aktiviert gesetzt ist.
  • Vergeben Sie bei Netzwerk-Name (SSID) einen aussagekräftigen Namen für die SSID.

112.6 Wechseln Sie in den Reiter Verschlüsselung und hinterlegen bei Schlüssel 1/Passphrase einen WPA-Key für die SSID.

Info

Der WPA-Key muss mindestens 8 und darf maximal 63 Zeichen lang sein.

112.7 Klicken Sie auf das WLAN-Netzwerk 2. Dieses soll für das Gast-Netzwerk verwendet werden.

122.8 Passen Sie folgende die folgenden Parameter an:

  • Aktivieren Sie die SSID, indem Sie den Haken bei WLAN-Netzwerk aktiviert setzen.
  • Vergeben Sie bei Netzwerk-Name (SSID) einen aussagekräftigen Namen für die SSIDSSID (in diesem Beispiel Gast).
  • Setzen Sie die Option Datenverkehr zwischen Stationen auf Nein (auf allen APs im LAN), damit die Teilnehmer im Gast-WLAN nicht miteinander kommunizieren können.

122.9 Wechseln Sie in den Reiter Verschlüsselung und deaktivieren diese, indem Sie den Haken bei Verschlüsselung aktivieren entfernen.

Info

Die Verschlüsselung wird für das Gast-WLAN nicht benötigt, da die Authentifizierung der Teilnehmer über den Public Spot erfolgt.



3. Konfiguration der Schnittstellen:

3.1 13. Wechseln Sie in das Menü Menü Schnittstellen → LAN → Ethernet-Ports.

Image Removed

14. Wechseln Sie in das Menü Schnittstellen → LAN → Ethernet-Ports → ETH- und klicken auf das Interface ETH 2.

153. Wählen 2 Wählen Sie im Dropdownmenü bei Interface-Verwendung das logische Interface LAN-2 aus.

163.3 Wechseln Sie in das Menü Port-Tabelle.

173. Da 4 Da die jeweiligen LAN- und WLAN-Schnittstellen für Verwaltung und Gäste über den jeweils gleichen IP-Adressbereich erreicht werden sollen, müssen wir die logischen Interfaces für LAN und WLAN nun in sogenannten Bridge-Gruppen zusammenfassen. Folgendes soll zusammengefasst werden:

...

Die Port-Tabelle muss anschließend wie folgt aussehen:



4. Einrichtung der Public Spot-Funktion für das Netzwerk GAST:

4.1 . Wechseln Sie in das Menü Public-Spot → Anmeldung und aktivieren die Option mit dem Modus Anmeldung mit Name und Passwort.

4.2 . Wechseln Sie in das Menü Public-Spot → Server → Betriebseinstellungen.

4.3 . Wechseln Sie in das Menü Interfaces.

4.4 Aktivieren Sie die Benutzer-Anmeldung für die logischen Interfaces WLAN-1-2 und LAN-2.

...

Die Tabelle Interfaces muss anschließend wie folgt aussehen:

4.5 . Wechseln Sie in das Menü Public Spot → Benutzer → RADIUS-Server.

4.6 . In diesem Menü muss ein Verweis auf den integrierten RADIUS-Server hinterlegt werden.

...

  • Auth.-Server Adresse: 127.0.0.1
  • Auth.-Server Port:1812
  • Acc.-Server Adresse127.0.0.1
  • Acc.-Server Port: 1813

4.7 . Wechseln Sie in das Menü RADIUS → Server und aktivieren die RADIUS-Authentisierung, das RADIUS-Accounting sowie die Funktion Benutzertabelle automatisch bereinigen.

4.8 . Wechseln Sie in das Menü RADIUS-Dienste Ports.

4.9 . Stellen Sicher, dass bei Authentifizierungs-Port der Port 1812 und bei Accounting-Port der Port 1813 hinterlegt ist.

4.10 . Die manuellen Konfigurations-Schritte in LANconfig sind vorerst abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.



5. Einrichtung der Content-Filter-Funktion für das Netzwerk GAST:

Eine weitere Anforderung an unser Szenario ist, dass die Internetzugriffe im GästeGast-Netzwerk durch den Content-Filter reglementiert werden. Es wird in diesem Beispiel eine Content-Filter-Lizenz für 10 Benutzer verwendet. Der Internet-Zugriff für einen elften (oder weitere) Content-Filter Benutzer soll geblockt werden.

Info

In diesem Beispiel wird eine Grundkonfiguration des Content-Filters durchgeführt. Es gibt sehr viele weitere Konfigurationsvarianten. Informationen dazu können Sie im Referenzhandbuch oder der LANCOM Support Knowledge Base nachlesen.

5.1 . Zur initialen Einrichtung des Content-Filters empfiehlt es sich, den den Setup-Assistenten des Gerätes zu verwenden.

5.2 . Wählen Sie die Option Content-Filter einrichten und klicken Sie auf Weiter.

5.3 . Bestätigen Sie den folgenden Dialog mit Weiter.

5.4 . In diesem Beispiel verwenden wir das Sicherheits-Profil Basis, da dieses die wesentlichen Sicherheitsparameter abbildet.

5.5 Beenden Sie den Setup-Assistenten mit Fertig stellen.

5.6 . Öffnen Sie den Konfigurationsdialog des Routers in LANconfig und wechseln in das Menü Content-Filter → Allgemein.

Stellen Sie sicher, dass der Content Filter aktiv und die Lizenzüberschreitung verboten ist.



6. Routing des Datenverkehrs aus dem Gast-Netzwerk über die Internet-Verbindung INTERNET2:

Der Datenverkehr wird ohne weitere Einstellungen grundsätzlich über die Default-Route mit dem Routing-Tag 0 geleitet (die Internet-Verbindung INTERNET1). Für das Verwaltungs-Netzwerk besteht daher kein weiterer Handlungsbedarf. Für das Gast-Netzwerk müssen weitere Einstellungen vorgenommen werden, damit der Datenverkehr über die Internet-Verbindung INTERNET2 geleitet wird.

6.1 . Wechseln Sie in das Menü Firewall/QoS → IPv4-Regeln → Regeln.

6.2 . Markieren Sie die durch den Setup-Assistenten erstellte Firewall-Regel CONTENT-Filter und klicken auf Bearbeiten.

6.3 . Tragen Sie bei Routing-Tag das Tag 1 ein, damit Webseiten (HTTP und HTTPS) aus dem Gast-Netzwerk über die Internet-Verbindung INTERNET2 aufgerufen werden.

6.4 . Wechseln Sie in den Reiter Stationen und entfernen das Objekt LOCALNET.

Info

Das Objekt LOCALNET enthält alle lokalen Netzwerke und muss daher entfernt werden.

6.5 . Klicken Sie auf Hinzufügen → Benutzerdefinierte Station hinzufügen.

6.6 Wählen Sie im Dropdownmenü das Netzwerk GAST aus, damit nur das Gast-Netzwerk durch den Content Filter geprüft wird.

6.7 . Erstellen Sie eine weitere Firewall-Regel, um jeglichen weiteren Datenverkehr außer HTTP und HTTPS ebenso über die Internet-Verbindung INTERNET2 zu routen.

6.8 . Vergeben Sie einen aussagekräftigen Namen und hinterlegen das Routing-Tag 1, damit der Datenverkehr über die Internet-Verbindung INTERNET2 geroutet wird.

6.9 . Wechseln Sie in den Reiter Aktionen und entfernen das Objekt REJECT.

6.10 . Fügen Sie das Objekt ACCEPT hinzu, um die Datenübertragung zu erlauben.

6.11 . Wechseln Sie in den Reiter Stationen und wechseln auf Verbindungen von folgenden Stationen → Hinzufügen → Benutzerdefinierte Station hinzufügen.

6.12 . Wählen Sie im Dropdownmenü das Netzwerk GAST aus.

6.13 . Die Tabelle Firewall-Regeln muss anschließend wie folgt aussehen:

6.14 . Die Konfiguration ist damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.