Seitenhistorie

Seiteneigenschaften

Beschreibung:

Die in diesem Konfigurationsbeispiel beschriebenen Arbeitsschritte sollen folgendes Szenario darstellen, welches z.B. in einem Hotelbetrieb mit öffentlichen LAN und WLAN-Zugängen Anwendung finden kann:

...

In diesem Artikel wird beschrieben, wie der Content-Filter und der Public-Spot

...

für ein Gast-Netzwerk eingerichtet werden und die Kommunikation aus dem Gast-Netzwerk über eine separate Internet-Verbindung geleitet wird.

Info
Mit diesem Szenario ist es möglich, maximal 128 Benutzerkonten für die Nutzung der Public-Spot-Funktionalität anzulegen. Wenn Sie mehr Public-Spot-Benutzer benötigen, muss ein Router der 19xx Serie, ein WLAN-Controller, ein Central Site Gateway mit Public

...

Spot

...

XL Option oder ein vRouter (ab vRouter 500) eingesetzt werden.

Es wird ein LANCOM 1790VAW als zentraler Router eingesetzt. Eine Public-Spot Option und eine Content-Filter Option (z.B. 10 User, 3 Jahre Laufzeit) ist auf dem Gerät aktiviert.
Der LANCOM 1790VAW verfügt bereits über zwei funktionierende DSL-Anbindungen. Die erste Internet-Anbindung (INTERNET 1) ist über das integrierte VDSL-Modem des Gerätes angeschlossen und konfiguriert, die zweite Internet-Anbindung (INTERNET 2) wird über ein externes Modem am Ethernet-Port 4 (ETH-4) betrieben.
Auf dem LANCOM 1790VAW soll ein lokales Verwaltungs-Netzwerk eingerichtet werden (IP: 192.168.10.0/24), welches folgenden Anforderungen genügen muss:

LAN-seitig wird das Verwaltungs-Netzwerk auf dem Port ETH-1 konfiguriert, WLAN-seitig auf dem logischen WLAN-Interface WLAN-1.
Das WLAN wird zudem eine SSID mit dem Namen Verwaltung erhalten. Die Authentifizierung am WLAN erfolgt über die Verschlüsselungs-Methode WPA2.
Die Benutzer des Verwaltungs-Netzwerks sollen ausschließlich die Internet-Verbindung INTERNET 1 verwenden dürfen.

Für die Gäste wird auf dem LANCOM 1790VAW ein separates Netzwerk eingerichtet (IP: 192.168.20.0/24 , ebenfalls LAN & WLAN). Dieses Gast-Netzwerk muss folgenden Anforderungen genügen:

Voraussetzungen:

LANCOM WLAN-Router
LCOS ab Version 9.24 (download aktuelle Version)
LANtools ab Version 9.24 (download aktuelle Version)
Zwei konfigurierte und funktionionsfähige Internet-Verbindungen
Aktivierte Public-Spot-Option
Aktivierte Content-Filter-Option

Info

Das Gerät mit dem Public Spot muss zwingend als Gateway und als DNS-Server im Public Spot Netzwerk konfiguriert sein!

Die Management-Ports für HTTP (Port 80) und HTTPS (Port 443) dürfen nicht abgeändert werden und müssen auf den Standard-Werten verbleiben! Beachten Sie dazu diesen Artikel in unserer Knowledge Base (siehe Schritte 1.8 - 1.9).

Wird das integrierte SSL-Zertifikat verwendet, kommt es bei Aufruf einer Webseite per HTTPS zu einer Warnmeldung aufgrund eines unbekannten Zertifikates! Beachten Sie dazu diesen Artikel in unserer Knowledge Base (siehe "Sicherheitshinweis für das SSL-HTTPS-Zertifikat").

Szenario:

Es wird ein LANCOM 1790VAW als zentraler Router eingesetzt. Eine Public-Spot Option und eine Content-Filter Option (z.B. 10 User, 3 Jahre Laufzeit) sind auf dem Gerät aktiviert.
Der LANCOM 1790VAW verfügt bereits über zwei funktionierende DSL-Anbindungen. Die erste Internet-Anbindung (INTERNET1) ist über das integrierte VDSL-Modem des Gerätes angeschlossen und konfiguriert, die zweite Internet-Anbindung (INTERNET2) wird über ein externes Modem am Ethernet-Port 4 (ETH-4) betrieben.
- Der Internet-Verbindung INTERNET1 ist das Routing-Tag 0 zugewiesen.
- Der Internet-Verbindung INTERNET2 ist das Routing-Tag 1 zugewiesen.
Auf dem LANCOM 1790VAW soll ein lokales Verwaltungs-Netzwerk mit dem IP-Adressbereich 192.168.10.0/24 eingerichtet werden, welches folgenden Anforderungen genügen muss:
- LAN-seitig wird das Verwaltungs-Netzwerk auf dem Port ETH-1 konfiguriert, WLAN-seitig auf dem logischen WLAN-Interface WLAN-1.
- Das WLAN wird zudem eine SSID mit dem Namen Verwaltung erhalten. Die Authentifizierung am WLAN erfolgt über die Verschlüsselungs-Methode WPA2.
- Die Benutzer des Verwaltungs

...

- -Netzwerks sollen ausschließlich die Internet-Verbindung

...

- INTERNET1 verwenden dürfen.

...

Zusätzlich soll auf dem LANCOM 1790VAW ein separates Gast-Netzwerk

...

mit dem IP-Adressbereich 192.168.20.0/24 eingerichtet (ebenfalls per LAN & WLAN). Dieses Gast-Netzwerk muss folgenden Anforderungen genügen:
- Das Gast-Netzwerk benötigt einen LAN-Anschluss, an welchen ein kabelgebundenes Internet-Terminal angeschlossen werden kann. Dieser Anschluss wird am Port ETH-2 konfiguriert.
- Im Gast-Netzwerk ist ebenfalls ein WLAN verfügbar (eigene SSID Gast mit dem logischen Interface WLAN-1-2).
- Der Zugriff auf das Gast-Netzwerk wird über die Public-Spot-Funktionalität realisiert und reglementiert.
- Es soll nicht möglich sein, vom Gast-Netzwerk Zugriffe in das Verwaltungs-Netzwerk durchzuführen.
- Die Benutzer des Gast-Netzwerks sollen ausschließlich die Internet-Verbindung INTERNET2 verwenden dürfen.
- Die Internet-Zugriffe aus dem Gast-Netzwerk werden durch den Content-Filter geprüft. Zehn Benutzer sollen den Content-Filter pro Tag verwenden dürfen, kommt ein elfter (oder weitere) Benutzer hinzu, soll der Internet-Zugang für diesen Benutzer unterbunden werden.

Szenario-Grafik für einen WLAN-Router mit separatem Gast-Netz sowie Public-Spot und Content-Filter Image Added

Vorgehensweise:

1. Einrichtung der lokalen Netzwerke für Verwaltung und Gäste:

1.1

...

LCOS ab Version 10.12 (download aktuelle Version)
LANtools ab Version 10.12 (download aktuelle Version)
zwei funktionierende Internet-Verbindungen
aktivierte Public Spot-Option
aktivierte Content-Filter-Option

Info

Das Gerät mit dem Public Spot muss zwingend als Gateway und als DNS-Server im Public Spot Netzwerk konfiguriert sein!

Die Management-Ports für HTTP (Port 80) und HTTPS (Port 443) dürfen nicht abgeändert werden und müssen auf den Standard-Werten verbleiben! Beachten Sie dazu diesen Artikel in unserer Knowledge Base (siehe Schritte 1.8 - 1.9).

Wird das integrierte SSL-Zertifikat verwendet, kommt es bei Aufruf einer Webseite per HTTPS zu einer Warnmeldung aufgrund eines unbekannten Zertifikates! Beachten Sie dazu diesen Artikel in unserer Knowledge Base (siehe "Sicherheitshinweis für das SSL-HTTPS-Zertifikat").

...

Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in

...

das Menü IPv4 → Allgemein → IP-Netzwerke.

Menü IP-Netzwerke im Router aufrufen Image Modified

1.2

...

Markieren Sie das Netzwerk INTRANET und klicken auf Bearbeiten. Dieses Netzwerk wird für die Verwaltung verwendet.

Netzwerk INTRANET (Verwaltungs-Netzwerk) bearbeiten Image Modified

1.3

...

Passen Sie

...

die folgenden Parameter an:

IP-Adresse: Vergeben Sie eine IP-Adresse aus dem Verwaltungs-Netzwerk (in diesem Beispiel die 192.168.10.1).
Netzmaske: Vergeben Sie die zum Verwaltungs-Netzwerk zugehörige Subnetzmaske (in diesem Beispiel die Subnetzmaske 255.255.255.0).
Schnittstellen-Zuordnung: Stellen Sie sicher, dass die Bridge-Gruppe BRG-1 hinterlegt ist (Das ist die Bridge-Gruppe, unter der der Ethernet-Port ETH-1 im späteren Konfigurationsverlauf mit dem logischen WLAN-Interface WLAN-1 zusammengefasst wird).

IP-Parameter und Schnittstelle für das Verwaltungs-Netzwerk angeben Image Modified

1.4

...

Erstellen Sie ein neues Netzwerk für die Gäste und passen folgende Parameter an:

Netzwerkname: Vergeben Sie einen aussagekräftigen

...

Namen (in diesem Beispiel GAST).
IP-Adresse: Vergeben Sie eine IP-Adresse aus dem Gast-Netzwerk (in diesem Beispiel die 192.168.20.1).
Netzmaske: Vergeben Sie die zum Gast-Netzwerk zugehörige Subnetzmaske (in diesem Beispiel die Subnetzmaske 255.255.255.0).
Schnittstellen-Zuordnung: Hinterlegen Sie die Bridge-Gruppe BRG-2 (Das ist die Bridge-Gruppe, unter der der Ethernet-Port ETH-2 im späteren Konfigurationsverlauf mit dem logischen WLAN-Interface WLAN-1-2 zusammengefasst werden).
Schnittstellen-Tag: Hinterlegen Sie das Schnittstellen-Tag 1 (Dieses Schnittstellen-Tag sorgt dafür, dass vom Netzwerk

...

GAST kein Zugriff auf das Netzwerk

...

INTRANET möglich sein wird).

...

Info
Netzwerke, welche über ein Schnittstellen-Tag verfügen, können nur mit Netzwerken kommunizieren, die über das gleiche Schnittstellen-Tag verfügen.

...

Außerdem bedeutet dies, dass das Netzwerk

...

INTRANET, welches über das Schnittstellen-

...

Tag 0

...

verfügt,

...

mit allen Netzwerken mit beliebigem Schnittstellen-Tag kommunizieren kann.

...

Dies dient dem einfacheren Zugriff vom

...

Netzwerk

...

INTRANET auf das

...

Netzwerk GAST

...

. Eine Kommunikation vom

...

Netzwerk

...

GAST in das

...

Netzwerk

...

INTRANET ist nicht möglich.

IP-Parameter und Schnittstelle für das Gast-Netzwerk angeben Image Modified

1.5

...

Die Tabelle IP-Netzwerke sollte nun folgendermaßen aussehen:

Übersicht der konfigurierten Netzwerke in dem Menü IP-Netzwerke Image Modified

1.6

...

Wechseln Sie in das Menü

...

Image Removed

7. Wechseln Sie in das Menü Physikalische WLAN-Einst..

Image Removed

8. Setzen Sie den Haken bei WLAN-Interface aktiviert, um das WLAN-Modul zu aktivieren.

Image Removed

9. Wechseln Sie in das Menü Logische WLAN-Einstellungen.

Image Removed

6. Wechseln Sie in das Menü Wireless-LAN und kontrollieren Sie zunächst, ob das physikalische WLAN-Interface aktiviert ist. Sollte das nicht der Fall sein, aktivieren Sie dieses über den Menüpunkt Physikalische WLAN-Einst. → WLAN-Interface. Die weiteren physikalischen WLAN-Einstelllungen belassen wir in diesem Konfigurationsbeispiel bei den voreingestellten Standardwerten.

9. Stellen Sie im Bereich Allgemein die Ländereinstellung auf Deutschland ein (bzw. das Land, in dem Sie das WLAN betreiben wollen).

Image Removed

10. Klicken Sie nun auf Logische WLAN-Einstellungen → WLAN-Netzwerk 1 und aktivieren Sie dieses logische WLAN-Netzwerk. Als Netzwerk-Name tragen Sie bitte WLAN_VERWALTUNG ein. Alle anderen Einstellungen in diesem Dialog belassen wir bei den voreingestellten Standardwerten.

11. Schließen Sie den Dialog mit OK.

Image Removed

12. Klicken Sie auf Logische WLAN-Einstellungen → WLAN-Netzwerk 2 und aktivieren Sie dieses logische WLAN-Netzwerk. Als Netzwerk-Name tragen Sie bitte WLAN_GAESTE ein. Alle anderen Einstellungen in diesem Dialog belassen wir bei den voreingestellten Standardwerten.

13. Schließen Sie den Dialog mit OK.

Image Removed

14. Für die beiden eingerichteten WLAN-Netzwerke müssen nun noch die Verschlüsselungs-Einstellungen konfiguriert werden.

Laut unserer Szenario-Vorgabe, soll das Verwaltungs-WLAN verschlüsselt sein und es soll mit einer fest definierten Passphrase zugegriffen werden können.

Der Zugriff auf das Gäste-WLAN wird später über die Public-Spot Option reglementiert, daher kann die Verschlüsselung für dieses WLAN-Netzwerk deaktiviert werden.

15. Wechseln Sie in den Bereich 802.11i/WEP und klicken Sie auf die Schaltfläche WPA-/Einzel-WEP-Einstell....

Image Removed

16. Markieren Sie den ersten Eintrag (Wireless Netzwerk 1) in der Liste und klicken Sie auf Bearbeiten....

Image Removed

17. Die Verschlüsselungs-Einstellungen für das Verwaltungs-WLAN belassen wir auf der sicheren WPA1/2 mit TKIP/AES Methode. Im Feld Schlüssel 1/Passphrase müssen Sie nun die zur Authentifizierung nötige Passphrase (Kennwort) eintragen. Schließen Sie den Dialog dann mit OK.

Image Removed

18. Markieren Sie den zweiten Eintrag (Wireless Netzwerk 2) in der Liste und klicken Sie auf Bearbeiten....

Image Removed

19. Die Verschlüsselungs-Einstellungen für das Gäste-WLAN können Sie deaktivieren, da sich die Gäste später über die Public-Spot Funktion mit Benutzername und Passwort anmelden müssen, um in das Gäste-LAN bzw. -WLAN zu kommen. Schließen Sie den Dialog dann mit OK.

Image Removed

20. Klicken Sie im Dialog WPA-/Einzel-WEP-Einstell... auf die Schaltfläche OK und Sie befinden sich wieder im Konfigurationsdialog des LANCOM. Damit ist die Konfiguration des Verwaltungs- und Gäste-WLAN abgeschlossen.

21. Da die jeweiligen LAN- und WLAN-Netzwerke für Verwaltung und Gäste über den jeweils gleichen IP-Adressbereich erreicht werden sollen, müssen wir die logischen Interfaces für LAN und WLAN nun in sogenannten Bridge-Gruppen zusammenfassen. Folgendes soll zusammengefasst werden:

Netzwerk VERWALTUNG:
- LAN-Ports ETH-1 und ETH-2 sollen mit dem logischen WLAN-Interface WLAN-1 in der Bridge-Gruppe 1 (BRG-1) zusammengefasst werden.

Netzwerk GAESTE:
- LAN-Port ETH-4 soll mit dem logischen WLAN-Interface WLAN-1-2 in der Bridge-Gruppe 2 (BRG-2) zusammengefasst werden.

22. Wechseln Sie in das Menü Schnittstellen → LAN.

23. Da auf dem physikalischen LAN-Port ETH 4 das Gäste-Netzwerk betrieben werden soll, müssen Sie dieses zunächst einem anderen logischen LAN-Interface zuweisen. Klicken Sie dazu auf Ethernet-Ports → ETH 4 und stellen Sie im folgenden Dialog die Interface-Verwendung auf LAN-4. Schließen Sie das Fenster dann mit OK.

Image Removed

24. Jetzt beginnen wir damit, die logischen LAN- und WLAN-Interfaces in Bridge-Gruppen zusammenzufassen.

25. Klicken Sie auf Port-Tabelle → LAN-1 und weisen Sie dem logischen Netzwerk LAN-1 die Bridge-Gruppe BRG-1 zu. Schließen Sie das Fenster dann mit OK.

26. Klicken Sie auf Port-Tabelle → WLAN-1 und weisen Sie dem logischen Netzwerk WLAN-1 ebenfalls die Bridge-Gruppe BRG-1 zu. Schließen Sie das Fenster dann mit OK.

27. Damit haben Sie die Zusammenfassung in Bridge-Gruppen für das Netzwerk VERWALTUNG abgeschlossen.

Image Removed

28. Klicken Sie auf Port-Tabelle → LAN-4 und weisen Sie dem logischen Netzwerk LAN-4 die Bridge-Gruppe BRG-2 zu. Schließen Sie das Fenster dann mit OK.

29. Klicken Sie auf Port-Tabelle → WLAN-1-2 und weisen Sie dem logischen Netzwerk WLAN-1-2 ebenfalls die Bridge-Gruppe BRG-2 zu. Schließen Sie das Fenster dann mit OK.

30. Damit haben Sie die Zusammenfassung in Bridge-Gruppen für das Netzwerk GAESTE abgeschlossen.

...

1. Wechseln Sie im Konfigurationsdialog des LANCOM Routers in das Menü Public-Spot und aktivieren Sie Option mit dem Modus Public-Spot - mit Name und Passwort anmelden.

Image Removed

2. Öffnen Sie die Registerkarte Public-Spot und aktivieren Sie die Option nun für das logische Interface LAN-4 und das logische WLAN-Interface WLAN-1-2.

Image Removed

3. In diesem Konfigurationsbeispiel verwenden wir den internen RADIUS-Server des LANCOM Routers zur Verwaltung der Public-Spot Benutzerdaten. Daher müssen Sie die Verbindungsdaten des internen RADIUS-Servers in der Anbieter-Liste der Registerkarte Public-Spot-Benutzer eintragen.

Image Removed

4. Klicken Sie auf die Schaltfläche Hinzufügen....

Image Removed

5. Tragen Sie im Feld Anbieter einen Namen ein. In diesem Beispiel verwenden wir RADIUS.

6. Da wir den internen RADIUS-Server des LANCOM Routers verwenden, müssen Sie in den Feldern Auth.-Server IP-Adresse und Acc.-Server IP-Adresse jeweils die Localhost-Adresse des LANCOM eintragen (127.0.0.1).

7. Als Port-Nummern für Auth.- bzw. Acc.-Server verwenden wir die Standard-Ports 1.812 (Auth.-Server Port) und 1.813 (Acc.- Server Port).

Image Removed

8. Bestätigen Sie Ihre Eingaben mit OK.

9. Jetzt müssen noch einige Konfigurationsschritte am internen RADIUS-Server des LANCOM Routers vorgenommen werde. Wechseln Sie dazu in das Menü RADIUS-Server.

10. Unter RADIUS-Dienst müssen Sie die Port-Nummern für Authentifizierungs-Port (1.812) und Accounting-Port (1.813) eintragen.

11. Eine nützliche Funktion ist die automatische Bereinigung der Benutzertabelle, daher sollten Sie diese Funktion zusätzlich aktivieren.

Image Removed

12. Damit ist die Konfiguration der Public-Spot-Funktion für das Netzwerk GAESTE abgeschlossen.

...

IPv4 → DHCPv4 → DHCP-Netzwerke.

Menü DHCP-Netzwerke aufrufen Image Added

1.7 Wählen Sie das Netzwerk INTRANET aus und klicken auf Bearbeiten.

Netzwerk INTRANET (Verwaltungs-Netzwerk) bearbeiten Image Added

1.8 Wählen Sie bei DHCP-Server aktiviert die Option Ja aus.

DHCP-Server für das Netzwerk INTRANET (Verwaltungs-Netzwerk) aktivieren Image Added

1.9 Klicken Sie auf Hinzufügen, um ein neues DHCP-Netzwerk anzulegen.

Weiteres DHCP-Netzwerk anlegen Image Added

1.10 Passen Sie die folgenden Parameter an:

Netzwerkname: Wählen Sie im Dropdown-Menü das in Schritt 1.4 erstellte Gast-Netzwerk aus (in diesem Beispiel GAST).
DHCP-Server aktiviert: Wählen Sie im Dropdown-Menü die Option Ja aus.

DHCP-Netzwerk für das Gast-Netzwerk anlegen und DHCP-Server aktivieren Image Added

2. Konfiguration des WLAN:

2.1 Wechseln Sie in das Menü Wireless-LAN → Allgemein und wählen das Land aus, in dem der WLAN-Router betrieben wird.

Ländereinstellung für das WLAN setzen Image Added

2.2 Wechseln Sie in das Menü Physikalische WLAN-Einst..

Menü Physikalische WLAN-Einst. im WLAN aufrufen Image Added

2.3 Setzen Sie den Haken bei WLAN-Interface aktiviert, um das WLAN-Modul zu aktivieren.

Die weiteren physikalischen WLAN-Einstellungen belassen wir in diesem Konfigurationsbeispiel bei den voreingestellten Standardwerten.

WLAN-Modul aktivieren Image Added

2.4 Wechseln Sie in das Menü Logische WLAN-Einstellungen → WLAN-Netzwerk 1. Dieses soll für das Verwaltungs-Netzwerk verwendet werden.

Interface WLAN-Netzwerk 1 aufrufen Image Added

2.5 Passen Sie die folgenden Parameter an:

Stellen Sie sicher, dass der Haken bei WLAN-Netzwerk aktiviert gesetzt ist.
Vergeben Sie bei Netzwerk-Name (SSID) einen aussagekräftigen Namen für die SSID.

SSID-Name für das Verwaltungs-Netzwerk eintragen Image Added

2.6 Wechseln Sie in den Reiter Verschlüsselung und hinterlegen bei Schlüssel 1/Passphrase einen WPA-Key für die SSID.

Info
Der WPA-Key muss mindestens 8 und darf maximal 63 Zeichen lang sein.

WPA-Key für das Verwaltungs-Netzwerk angeben Image Added

2.7 Klicken Sie auf das WLAN-Netzwerk 2. Dieses soll für das Gast-Netzwerk verwendet werden.

Interface WLAN-Netzwerk 2 aufrufen Image Added

2.8 Passen Sie die folgenden Parameter an:

Aktivieren Sie die SSID, indem Sie den Haken bei WLAN-Netzwerk aktiviert setzen.
Vergeben Sie bei Netzwerk-Name (SSID) einen aussagekräftigen Namen für die SSID (in diesem Beispiel Gast).
Setzen Sie die Option Datenverkehr zwischen Stationen auf Nein (auf allen APs im LAN), damit die Teilnehmer im Gast-WLAN nicht miteinander kommunizieren können.

SSID-Name für das Gast-Netzwerk eintragen Image Added

2.9 Wechseln Sie in den Reiter Verschlüsselung und deaktivieren diese, indem Sie den Haken bei Verschlüsselung aktivieren entfernen.

Info
Die Verschlüsselung wird für das Gast-WLAN nicht benötigt, da die Authentifizierung der Teilnehmer über den Public Spot erfolgt.

WLAN-Verschlüsselung für das Gast-Netzwerk deaktivieren Image Added

3. Konfiguration der Schnittstellen:

3.1 Wechseln Sie in das Menü Schnittstellen → LAN → Ethernet-Ports und klicken auf das Interface ETH 2.

Ethernet-Port für das Gast-Netzwerk aufrufen Image Added

3.2 Wählen Sie im Dropdownmenü bei Interface-Verwendung das logische Interface LAN-2 aus.

Ethernet-Port ein separates logisches LAN-Interface zuweisen Image Added

3.3 Wechseln Sie in das Menü Port-Tabelle.

Menü Port-Tabelle aufrufen Image Added

3.4 Da die jeweiligen LAN- und WLAN-Schnittstellen für Verwaltung und Gäste über den jeweils gleichen IP-Adressbereich erreicht werden sollen, müssen wir die logischen Interfaces für LAN und WLAN nun in sogenannten Bridge-Gruppen zusammenfassen. Folgendes soll zusammengefasst werden:

Netzwerk INTRANET:
- Der LAN-Port ETH-1 soll mit dem logischen WLAN-Interface WLAN-1 in der Bridge-Gruppe 1 (BRG-1) zusammengefasst werden.

Netzwerk GAST:
- Der LAN-Port ETH-2 soll mit dem logischen WLAN-Interface WLAN-1-2 in der Bridge-Gruppe 2 (BRG-2) zusammengefasst werden.

Stellen Sie sicher, dass den logischen Interfaces LAN-1 und WLAN-1 die Bridge-Gruppe BRG-1 zugeordnet ist.

Zuweisung des Bridge-Interfaces für das logische LAN-Interface für das Verwaltungs-Netzwerk Image AddedImage Added

Hinterlegen Sie bei den logischen Interfaces WLAN-1-2 und LAN-2 die Bridge-Gruppe BRG-2.

Zuweisung des Bridge-Interfaces BRG-1 für das logische WLAN-Interface für das Gast-Netzwerk Image Added Image Added

Die Port-Tabelle muss anschließend wie folgt aussehen:

Übersicht der konfigurierten Interfaces in dem Menü Port-Tabelle Image Added

4. Einrichtung der Public Spot-Funktion für das Netzwerk GAST:

4.1 Wechseln Sie in das Menü Public-Spot → Anmeldung und aktivieren die Option mit dem Modus Anmeldung mit Name und Passwort.

Aktivieren des Public-Spot mit Zugangsdaten Image Added

4.2 Wechseln Sie in das Menü Public-Spot → Server → Betriebseinstellungen.

Menü Betriebseinstellungen im Public-Spot aufrufen Image Added

4.3 Wechseln Sie in das Menü Interfaces.

Menü Interfaces in den Public-Spot Betriebseinstellungen aufrufen Image Added

4.4 Aktivieren Sie die Benutzer-Anmeldung für die logischen Interfaces WLAN-1-2 und LAN-2.

Public-Spot-Authentifizierung für das logische WLAN-Interface für das Gast-Netzwerk aktivieren Image Added Image Added

Die Tabelle Interfaces muss anschließend wie folgt aussehen:

Überblick der konfigurierten Public-Spot-Interfaces Image Added

4.5 Wechseln Sie in das Menü Public Spot → Benutzer → RADIUS-Server.

Menü RADIUS-Server im Public-Spot aufrufen Image Added

4.6 In diesem Menü muss ein Verweis auf den integrierten RADIUS-Server hinterlegt werden.

Ab Werk ist bereits ein Eintrag namens LOCAL vorhanden. Dieser verweist auf den integrierten RADIUS- und Accounting-Server.

Info
Sollte noch kein Eintrag vorhanden sein, legen Sie diesen an und vergeben einen beliebigen Namen.

Stellen Sie sicher, dass die Parameter wie folgt gesetzt sind:

Auth.-Server Adresse: 127.0.0.1
Auth.-Server Port:1812
Acc.-Server Adresse: 127.0.0.1
Acc.-Server Port: 1813

Kontrolle der vorhandenen Ports auf Standard-Parameter Image Added

4.7 Wechseln Sie in das Menü RADIUS → Server und aktivieren die RADIUS-Authentisierung, das RADIUS-Accounting sowie die Funktion Benutzertabelle automatisch bereinigen.

RADIUS-Authentisierung und RADIUS-Accounting aktivieren Image Added

4.8 Wechseln Sie in das Menü RADIUS-Dienste Ports.

Menü RADIUS-Dienste-Ports im RADIUS-Server aufrufen Image Added

4.9 Stellen Sie sicher, dass bei Authentifizierungs-Port der Port 1812 und bei Accounting-Port der Port 1813 hinterlegt ist.

Kontrolle auf Standard-Ports Image Added

4.10 Die manuellen Konfigurations-Schritte in LANconfig sind vorerst abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.

5. Einrichtung der Content-Filter-Funktion für das Netzwerk GAST:

Eine weitere Anforderung an unser Szenario ist, dass die Internetzugriffe im Gast-Netzwerk durch den Content-Filter reglementiert werden. Es wird in diesem Beispiel eine Content-Filter-Lizenz für 10 Benutzer verwendet. Der Internet-Zugriff für einen elften (oder weitere) Content-Filter Benutzer soll geblockt werden.

Zur initialen Einrichtung des Content-Filters empfiehlt es sich, den Setup-Assistenten des Gerätes zu verwenden.

Info
In diesem Beispiel wird eine Grundkonfiguration des Content-Filters durchgeführt. Es gibt sehr viele weitere Konfigurationsvarianten. Informationen dazu können Sie im Referenzhandbuch oder der LANCOM Support Knowledge Base nachlesen.

5.1 Markieren Sie den Router in LANconfig, führen einen Rechtsklick aus und wählen im Kontextmenü die Option Setup-Assistent aus.

5.2 Wählen Sie die Option Content-Filter einrichten und klicken Sie auf Weiter.

Setup-Assistent Content-Filter einrichten aufrufen Image Added

5.3 Bestätigen Sie den folgenden Dialog mit Weiter.

Informationen zum Content-Filter bestätigen Image Added

5.4 In diesem Beispiel verwenden wir das Sicherheits-Profil Basis, da dieses die wesentlichen Sicherheitsparameter abbildet.

Content-Filter-Profil auswählen Image Added

5.5 Beenden Sie den Setup-Assistenten mit Fertig stellen.

Setup-Assistent für den Content-Filter abschließen Image Added

5.6 Öffnen Sie den Konfigurationsdialog des Routers in LANconfig und wechseln in das Menü Content-Filter → Allgemein.

Stellen Sie sicher, dass der Content Filter aktiv und die Lizenzüberschreitung verboten ist.

Prüfen der konfigurierten Parameter für den Content-Filter Image Added

6. Routing des Datenverkehrs aus dem Gast-Netzwerk über die Internet-Verbindung INTERNET2:

Der Datenverkehr wird ohne weitere Einstellungen grundsätzlich über die Default-Route mit dem Routing-Tag 0 geleitet (die Internet-Verbindung INTERNET1). Für das Verwaltungs-Netzwerk besteht daher kein weiterer Handlungsbedarf. Für das Gast-Netzwerk müssen weitere Einstellungen vorgenommen werden, damit der Datenverkehr über die Internet-Verbindung INTERNET2 geleitet wird.

6.1 Wechseln Sie in das Menü Firewall/QoS → IPv4-Regeln → Regeln.

Menü Regeln in der Firewall des Routers aufrufen Image Added

6.2 Markieren Sie die durch den Setup-Assistenten erstellte Firewall-Regel CONTENT-Filter und klicken auf Bearbeiten.

Regel CONTENT-FILTER bearbeiten Image Added

6.3 Tragen Sie bei Routing-Tag das Tag 1 ein, damit Webseiten (HTTP und HTTPS) aus dem Gast-Netzwerk über die Internet-Verbindung INTERNET2 aufgerufen werden.

Routing-Tag für die zweite Internet-Verbindung in der Regel hinterlegen Image Added

6.4 Wechseln Sie in den Reiter Stationen und entfernen das Objekt LOCALNET.

Info
Das Objekt LOCALNET enthält alle lokalen Netzwerke und muss daher entfernt werden.

Objekt für alle lokalen Netze bei der Verbindungs-Quelle in der Regel entfernen Image Added

6.5 Klicken Sie auf Hinzufügen → Benutzerdefinierte Station hinzufügen.

Benutzerdefinierte Station für die Verbindungs-Quelle in der Regel hinzufügen Image Added

6.6 Wählen Sie im Dropdownmenü das Netzwerk GAST aus, damit nur das Gast-Netzwerk durch den Content Filter geprüft wird.

Gast-Netzwerk für die Verbindungs-Quelle auswählen Image Added

6.7 Erstellen Sie eine weitere Firewall-Regel, um jeglichen weiteren Datenverkehr außer HTTP und HTTPS ebenso über die Internet-Verbindung INTERNET2 zu routen.

Weitere Firewall-Regel erstellen Image Added

6.8 Vergeben Sie einen aussagekräftigen Namen und hinterlegen das Routing-Tag 1, damit der Datenverkehr über die Internet-Verbindung INTERNET2 geroutet wird.

Name für Regel angeben und Routing-Tag für die zweite Internet-Verbindung hinterlegen Image Added

6.9 Wechseln Sie in den Reiter Aktionen und entfernen das Objekt REJECT.

Aktions-Objekt REJECT in der Regel entfernen Image Added

6.10 Fügen Sie das Objekt ACCEPT hinzu, um die Datenübertragung zu erlauben.

Aktions-Objekt ACCEPT in der Regel hinterlegen Image Added

6.11 Wechseln Sie in den Reiter Stationen und wechseln auf Verbindungen von folgenden Stationen → Hinzufügen → Benutzerdefinierte Station hinzufügen.

Benutzerdefinierte Station für die Verbindungs-Quelle in der Regel hinzufügen Image Added

6.12 Wählen Sie im Dropdownmenü das Netzwerk GAST aus.

Gast-Netzwerk für die Verbindungs-Quelle auswählen Image Added

6.13 Die Tabelle Firewall-Regeln muss anschließend wie folgt aussehen:

Überblick der konfigurierten Regeln in der Firewall Image Added

6.14 Die Konfiguration ist damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück

Eine weitere Anforderung an unser Szenario ist, dass die Internetzugriffe im Gäste-Netzwerk durch den Content-Filter reglementiert werden. Es wird in diesem Beispiel eine Content-Filter-Lizenz für 10 Benutzer verwendet. Der Internet-Zugriff für einen elften (oder weitere) Content-Filter Benutzer soll geblockt werden.

Info:
In diesem Beispiel wird eine Grundkonfiguration des Content-Filters durchgeführt. Es gibt sehr viele weitere Konfigurationsvarianten. Informationen dazu können Sie im Handbuch des Content-Filters oder der LANCOM Support Knowledgebase nachlesen.

1. Zur initialen Einrichtung des Content-Filters empfiehlt es sich, den Setup-Assistenten des Gerätes zu verwenden.

2. Wählen Sie die Option Content-Filter einrichten und klicken Sie auf Weiter.

Image Removed

3. Bestätigen Sie den folgenden Dialog mit Weiter.

Image Removed

4. In diesem Beispiel verwenden wir das Sicherheits-Profil Basis, da dieses die wesentlichen Sicherheitsparameter abbildet.

Image Removed

5. Klicken Sie auf Weiter und beenden Sie den Setup-Assistenten mit Fertig stellen.

Image Removed

6. Öffnen Sie den Konfigurationsdialog des LANCOM-Routers und wechseln Sie in das Menü Content-Filter.

7. Stellen Sie sicher, dass der Content-Filter aktiviert ist und das bei der Option Bei Lizenzüberschreitung der Parameter Verboten eingestellt ist. Damit ist sichergestellt, das der Internetzugriff für einen elften (oder weitere) Benutzer (siehe Szenario-Vorgabe) geblockt wird.

Image Removed

8. Da der Content-Filter nur für Internet-Zugriffe aus dem Gäste-Netzwerk eingesetzt werden soll, müssen Sie nun noch die Firewall-Regel für den Content-Filter modifizieren.

Wechseln Sie hierzu in das Menü Firewall/QoS und bearbeiten Sie die Firewall Regel CONTENT-FILTER.

Image Removed

9. In der Registerkarte Stationen müssen Sie bei der Verbindungs-Quelle das Objekt LOCALNET entfernen und stattdessen das Netzwerk GAESTE eintragen.

10. Markieren Sie zunächst das Objekt LOCALNET und klicken Sie dann auf Entfernen.

Image Removed

11. Klicken Sie auf Hinzufügen → Benutzerdefinierte Station hinzufügen.

12. Wählen Sie im folgenden Dialog Alle Stationen in lokalen Netzwerk aus und stellen Sie bei Netzwerk-Name den Parameter GAESTE ein.

13. Bestätigen Sie Ihre Eingaben mit OK.

Image Removed

14. Die modifizierte Firewall-Regel sollte dann folgendermaßen aussehen:

Image Removed

...

Eine weitere Vorgabe dieses Szenarios ist es, dass die Netzwerke VERWALTUNG und GAESTE jeweils eine eigene Internet-Verbindung benutzen sollen.

Dazu sind auf dem LANCOM Router zwei DSL-Gegenstellen eingerichtet (INTERNET1 und INTERNET2) und fertig konfiguriert.

Image Removed

Es soll nun möglich sein, dass die Internet-Zugriffe aus dem Netz VERWALTUNG nur über die Internet-Verbindung INTERNET1 laufen, die Internet-Zugriffe aus dem Netz GAESTE sollen ausschließlich über die Internet-Verbindung INTERNET2 laufen.

Um dies zu realisieren müssen in der Firewall zwei entsprechende Regeln angelegt werden.

1. Öffnen Sie den Konfigurationsdialog des LANCOM-Routers und wechseln Sie in das Menü Firewall/QoS → Regeln → Regeln....

Image Removed

2. Klicken Sie auf Hinzufügen... und vergeben Sie in der Registerkarte Allgemein einen Namen für die Firewall-Regel (hier: INTERNET_VERWALTUNG).

Image Removed

2. Stellen Sie in der Registerkarte Aktionen das Aktions-Objekt ACCEPT ein.

Image Removed

3. Wählen Sie unter Verbindungs-Quelle die Option Verbindung von folgenden Stationen und fügen Sie mit Hinzufügen... die benutzerdefinierte Station VERWALTUNG hinzu.

Image Removed

4. Wählen Sie unter Verbindungs-Ziel die Option Verbindung von folgenden Stationen und fügen Sie mit Hinzufügen... die benutzerdefinierte Station INTERNET1 hinzu.

5. Speichern Sie die Firewall-Regel dann mit der Schaltfläche OK.

Image Removed

6. Klicken Sie in der Firewall-Liste erneut auf Hinzufügen... und vergeben Sie in der Registerkarte Allgemein einen Namen für die zweite Firewall-Regel (hier: INTERNET_GAESTE).

Image Removed

7. Stellen Sie in der Registerkarte Aktionen das Aktions-Objekt ACCEPT ein.

Image Removed

8. Wählen Sie unter Verbindungs-Quelle die Option Verbindung von folgenden Stationen und fügen Sie mit Hinzufügen... die benutzerdefinierte Station GAESTE hinzu.

Image Removed

9. Wählen Sie unter Verbindungs-Ziel die Option Verbindung von folgenden Stationen und fügen Sie mit Hinzufügen... die benutzerdefinierte Station INTERNET2 hinzu.

10. Speichern Sie die Firewall-Regel dann mit der Schaltfläche OK.

Image Removed

11. Die Konfiguration der Firewall-Regeln ist damit abgeschlossen.

Image Removed

12. Bestätigen Sie alle Konfigurationsdialoge mit der Schaltfläche OK und schreiben Sie die Konfiguration in den LANCOM Router zurück.

...

.

Versionen im Vergleich

Alte Version 11

Neue Version Aktuell

Schlüssel

Service & Support

Links