...
- Das Gast-Netzwerk benötigt einen LAN-Anschluss, an welchen ein kabelgebundenes Internet-Terminal angeschlossen werden kann. Dieser Anschluss wird am Port ETH-2 konfiguriert. Der Zugriff auf das LAN wird über die Public Spot-Funktionalität realisiert und reglementiert.
- Im Gast-Netzwerk ist ebenfalls ein WLAN verfügbar (eigene SSID Gast mit dem logischen Interface WLAN-1-2). Der Zugriff auf das WLAN wird über die Public Spot-Funktionalität realisiert und reglementiert.
- Es soll nicht möglich sein, vom Gast-Netzwerk Zugriffe in das Verwaltungs-Netzwerk durchzuführen.
- Die Benutzer des Gast-Netzwerks sollen ausschließlich die Internet-Verbindung INTERNET2 verwenden dürfen.
- Die Internet-Zugriffe aus dem Gast-Netzwerk werden durch den Content-Filter geprüft. Zehn Benutzer sollen den Content-Filter pro Tag verwenden dürfen, kommt ein elfter (oder weitere) Benutzer hinzu, soll der Internet-Zugang für diese(n) Benutzer unterbunden werden.
Vorgehensweise:
Einrichtung 1. Einrichtung der lokalen Netzwerke für Verwaltung und Gäste:
1.1 Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü das Menü IPv4 → Allgemein → IP-Netzwerke.
1.2 . Markieren Sie das Netzwerk INTRANET und klicken auf Bearbeiten. Dieses Netzwerk wird für die Verwaltung verwendet.
1.3 . Passen Sie folgende die folgenden Parameter an:
- IP-Adresse: Vergeben Sie eine IP-Adresse aus dem Verwaltungs-Netzwerk (in diesem Beispiel die 192.168.10.1).
- Netzmaske: Vergeben Sie die zum Verwaltungs-Netzwerk zugehörige Subnetzmaske (in diesem Beispiel die Subnetzmaske 255.255.255.0).
- Schnittstellen-Zuordnung: Stellen Sie sicher, dass die Bridge-Gruppe BRG-1 hinterlegt ist (Das ist die Bridge-Gruppe, unter der der Ethernet-Port ETH-1 im späteren Konfigurationsverlauf mit dem logischen WLAN-Interface WLAN-1 zusammengefasst wird).
1.4 . Erstellen Sie ein neues Netzwerk für die Gäste und passen folgende Parameter an:
- Netzwerkname: Vergeben Sie einen aussagekräftigen NamenNamen (in diesem Beispiel GAST).
- IP-Adresse: Vergeben Sie eine IP-Adresse aus dem Gast-Netzwerk (in diesem Beispiel die 192.168.20.1).
- Netzmaske: Vergeben Sie die zum Gast-Netzwerk zugehörige Subnetzmaske (in diesem Beispiel die Subnetzmaske 255.255.255.0).
- Schnittstellen-Zuordnung: Hinterlegen Sie die Bridge-Gruppe BRG-2 (Das ist die Bridge-Gruppe, unter der der Ethernet-Port ETH-2 im späteren Konfigurationsverlauf mit dem logischen WLAN-Interface WLAN-1-2 zusammengefasst werden).
- Schnittstellen-Tag: Hinterlegen Sie das Schnittstellen-Tag 1 (Dieses Schnittstellen-Tag sorgt dafür, dass vom Netzwerk GAST kein Zugriff auf das Netzwerk INTRANET möglich sein wird).
Info |
---|
Netzwerke, welche über ein Schnittstellen-Tag verfügen, können nur mit Netzwerken kommunizieren, die über das gleiche Schnittstellen-Tag verfügen. Außerdem Außerdem bedeutet dies, dass das Netzwerk INTRANET, welches über das Schnittstellen-Tag Tag 0 verfügt, mit mi allen Netzwerken mit beliebigem Schnittstellen-Tag kommunizieren kann. Dies Dies dient dem einfacheren Zugriff vom INTRANET-Netzwerk Netzwerk INTRANET auf das Netzwerk GAST-Netzwerk. Eine Kommunikation vom GAST- Netzwerk GAST in das INTRANET- Netzwerk INTRANET ist nicht möglich. |
1.5 . Die Tabelle IP-Netzwerke sollte nun folgendermaßen aussehen:
1.6 Wechseln Sie in das Menü IPv4 → DHCPv4 → DHCP-Netzwerke.
1.7 Wählen Sie das Netzwerk INTRANET aus und klicken auf Bearbeiten.
1.8 Wählen Sie bei DHCP-Server aktiviert die Option Ja aus.
1.9 Klicken Sie auf Hinzufügen, um ein neues DHCP-Netzwerk anzulegen.
1.10 Passen Sie die folgenden Parameter an:
- Netzwerkname: Wählen Sie im Dropdown-Menü das in Schritt 1.4 erstellte Gast-Netzwerk aus (in diesem Beispiel GAST).
- DHCP-Server aktiviert: Wählen Sie im Dropdown-Menü die Option Ja aus.
2. Konfiguration des WLAN:
2.1 Wechseln . Wechseln Sie in das Menü Wireless-LAN → Allgemein und wählen das Land aus, in dem der WLAN-Router betrieben wird.
72.2 Wechseln Sie in das Menü Physikalische WLAN-Einst..
82.3 Setzen Sie den Haken bei WLAN-Interface aktiviert, um das WLAN-Modul zu aktivieren.
Die weiteren physikalischen WLAN-Einstellungen belassen wir in diesem Konfigurationsbeispiel bei den voreingestellten Standardwerten.
92.4 Wechseln Sie in das Menü Logische WLAN-Einstellungen → WLAN-Netzwerk 1. Dieses soll für das Verwaltungs-Netzwerk verwendet werden.
102.5 Passen Sie folgende die folgenden Parameter an:
- Stellen Sie sicher, dass der Haken bei WLAN-Netzwerk aktiviert gesetzt ist.
- Vergeben Sie bei Netzwerk-Name (SSID) einen aussagekräftigen Namen für die SSID.
112.6 Wechseln Sie in den Reiter Verschlüsselung und hinterlegen bei Schlüssel 1/Passphrase einen WPA-Key für die SSID.
Info |
---|
Der WPA-Key muss mindestens 8 und darf maximal 63 Zeichen lang sein. |
112.7 Klicken Sie auf das WLAN-Netzwerk 2. Dieses soll für das Gast-Netzwerk verwendet werden.
122.8 Passen Sie folgende die folgenden Parameter an:
- Aktivieren Sie die SSID, indem Sie den Haken bei WLAN-Netzwerk aktiviert setzen.
- Vergeben Sie bei Netzwerk-Name (SSID) einen aussagekräftigen Namen für die SSIDSSID (in diesem Beispiel Gast).
- Setzen Sie die Option Datenverkehr zwischen Stationen auf Nein (auf allen APs im LAN), damit die Teilnehmer im Gast-WLAN nicht miteinander kommunizieren können.
122.9 Wechseln Sie in den Reiter Verschlüsselung und deaktivieren diese, indem Sie den Haken bei Verschlüsselung aktivieren entfernen.
Info |
---|
Die Verschlüsselung wird für das Gast-WLAN nicht benötigt, da die Authentifizierung der Teilnehmer über den Public Spot erfolgt. |
3. Konfiguration der Schnittstellen:
3.1 13. Wechseln Sie in das Menü Menü Schnittstellen → LAN → Ethernet-Ports.
14. Wechseln Sie in das Menü Schnittstellen → LAN → Ethernet-Ports → ETH- und klicken auf das Interface ETH 2.
153. Wählen 2 Wählen Sie im Dropdownmenü bei Interface-Verwendung das logische Interface LAN-2 aus.
163.3 Wechseln Sie in das Menü Port-Tabelle.
173. Da 4 Da die jeweiligen LAN- und WLAN-Schnittstellen für Verwaltung und Gäste über den jeweils gleichen IP-Adressbereich erreicht werden sollen, müssen wir die logischen Interfaces für LAN und WLAN nun in sogenannten Bridge-Gruppen zusammenfassen. Folgendes soll zusammengefasst werden:
...
Die Port-Tabelle muss anschließend wie folgt aussehen:
4. Einrichtung der Public Spot-Funktion für das Netzwerk GAST:
4.1 . Wechseln Sie in das Menü Public-Spot → Anmeldung und aktivieren die Option mit dem Modus Anmeldung mit Name und Passwort.
4.2 . Wechseln Sie in das Menü Public-Spot → Server → Betriebseinstellungen.
4.3 . Wechseln Sie in das Menü Interfaces.
4.4 Aktivieren Sie die Benutzer-Anmeldung für die logischen Interfaces WLAN-1-2 und LAN-2.
...
Die Tabelle Interfaces muss anschließend wie folgt aussehen:
4.5 . Wechseln Sie in das Menü Public Spot → Benutzer → RADIUS-Server.
4.6 . In diesem Menü muss ein Verweis auf den integrierten RADIUS-Server hinterlegt werden.
...
- Auth.-Server Adresse: 127.0.0.1
- Auth.-Server Port:1812
- Acc.-Server Adresse: 127.0.0.1
- Acc.-Server Port: 1813
4.7 . Wechseln Sie in das Menü RADIUS → Server und aktivieren die RADIUS-Authentisierung, das RADIUS-Accounting sowie die Funktion Benutzertabelle automatisch bereinigen.
4.8 . Wechseln Sie in das Menü RADIUS-Dienste Ports.
4.9 . Stellen Sicher, dass bei Authentifizierungs-Port der Port 1812 und bei Accounting-Port der Port 1813 hinterlegt ist.
4.10 . Die manuellen Konfigurations-Schritte in LANconfig sind vorerst abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.
5. Einrichtung der Content-Filter-Funktion für das Netzwerk GAST:
Eine weitere Anforderung an unser Szenario ist, dass die Internetzugriffe im GästeGast-Netzwerk durch den Content-Filter reglementiert werden. Es wird in diesem Beispiel eine Content-Filter-Lizenz für 10 Benutzer verwendet. Der Internet-Zugriff für einen elften (oder weitere) Content-Filter Benutzer soll geblockt werden.
Info |
---|
In diesem Beispiel wird eine Grundkonfiguration des Content-Filters durchgeführt. Es gibt sehr viele weitere Konfigurationsvarianten. Informationen dazu können Sie im Referenzhandbuch oder der LANCOM Support Knowledge Base nachlesen. |
5.1 . Zur initialen Einrichtung des Content-Filters empfiehlt es sich, den den Setup-Assistenten des Gerätes zu verwenden.
5.2 . Wählen Sie die Option Content-Filter einrichten und klicken Sie auf Weiter.
5.3 . Bestätigen Sie den folgenden Dialog mit Weiter.
5.4 . In diesem Beispiel verwenden wir das Sicherheits-Profil Basis, da dieses die wesentlichen Sicherheitsparameter abbildet.
5.5 Beenden Sie den Setup-Assistenten mit Fertig stellen.
5.6 . Öffnen Sie den Konfigurationsdialog des Routers in LANconfig und wechseln in das Menü Content-Filter → Allgemein.
Stellen Sie sicher, dass der Content Filter aktiv und die Lizenzüberschreitung verboten ist.
6. Routing des Datenverkehrs aus dem Gast-Netzwerk über die Internet-Verbindung INTERNET2:
Der Datenverkehr wird ohne weitere Einstellungen grundsätzlich über die Default-Route mit dem Routing-Tag 0 geleitet (die Internet-Verbindung INTERNET1). Für das Verwaltungs-Netzwerk besteht daher kein weiterer Handlungsbedarf. Für das Gast-Netzwerk müssen weitere Einstellungen vorgenommen werden, damit der Datenverkehr über die Internet-Verbindung INTERNET2 geleitet wird.
6.1 . Wechseln Sie in das Menü Firewall/QoS → IPv4-Regeln → Regeln.
6.2 . Markieren Sie die durch den Setup-Assistenten erstellte Firewall-Regel CONTENT-Filter und klicken auf Bearbeiten.
6.3 . Tragen Sie bei Routing-Tag das Tag 1 ein, damit Webseiten (HTTP und HTTPS) aus dem Gast-Netzwerk über die Internet-Verbindung INTERNET2 aufgerufen werden.
6.4 . Wechseln Sie in den Reiter Stationen und entfernen das Objekt LOCALNET.
Info |
---|
Das Objekt LOCALNET enthält alle lokalen Netzwerke und muss daher entfernt werden. |
6.5 . Klicken Sie auf Hinzufügen → Benutzerdefinierte Station hinzufügen.
6.6 Wählen Sie im Dropdownmenü das Netzwerk GAST aus, damit nur das Gast-Netzwerk durch den Content Filter geprüft wird.
6.7 . Erstellen Sie eine weitere Firewall-Regel, um jeglichen weiteren Datenverkehr außer HTTP und HTTPS ebenso über die Internet-Verbindung INTERNET2 zu routen.
6.8 . Vergeben Sie einen aussagekräftigen Namen und hinterlegen das Routing-Tag 1, damit der Datenverkehr über die Internet-Verbindung INTERNET2 geroutet wird.
6.9 . Wechseln Sie in den Reiter Aktionen und entfernen das Objekt REJECT.
6.10 . Fügen Sie das Objekt ACCEPT hinzu, um die Datenübertragung zu erlauben.
6.11 . Wechseln Sie in den Reiter Stationen und wechseln auf Verbindungen von folgenden Stationen → Hinzufügen → Benutzerdefinierte Station hinzufügen.
6.12 . Wählen Sie im Dropdownmenü das Netzwerk GAST aus.
6.13 . Die Tabelle Firewall-Regeln muss anschließend wie folgt aussehen:
6.14 . Die Konfiguration ist damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.