Sie zeigen eine alte Version dieser Seite an. Zeigen Sie die aktuelle Version an.

Unterschiede anzeigen Seitenhistorie anzeigen

« Vorherige Version anzeigen Version 13 Nächste Version anzeigen »


Beschreibung:
Die in diesem Konfigurationsbeispiel beschriebenen Arbeitsschritte sollen folgendes Szenario darstellen, welches z.B. in einem Hotelbetrieb mit öffentlichen LAN und WLAN-Zugängen Anwendung finden kann:
Info: Mit diesem Szenario ist es möglich, maximal 64 Benutzerkonten für die Nutzung der Public-Spot-Funktionalität anzulegen. Wenn Sie mehr Public-Spot-Benutzer benötigen, muss ein WLAN-Controller mit Public-Spot Option eingesetzt werden.
  • Es wird ein LANCOM 1790VAW als zentraler Router eingesetzt. Eine Public-Spot Option und eine Content-Filter Option (z.B. 10 User, 3 Jahre Laufzeit) ist auf dem Gerät aktiviert.
  • Der LANCOM 1790VAW verfügt bereits über zwei funktionierende DSL-Anbindungen. Die erste Internet-Anbindung (INTERNET 1) ist über das integrierte VDSL-Modem des Gerätes angeschlossen und konfiguriert, die zweite Internet-Anbindung (INTERNET 2) wird über ein externes Modem am Ethernet-Port 4 (ETH-4) betrieben.
  • Auf dem LANCOM 1790VAW soll ein lokales Verwaltungs-Netzwerk eingerichtet werden (IP: 192.168.10.0/24), welches folgenden Anforderungen genügen muss:
    • LAN-seitig wird das Verwaltungs-Netzwerk auf dem Port ETH-1 konfiguriert, WLAN-seitig auf dem logischen WLAN-Interface WLAN-1.
    • Das WLAN wird zudem eine SSID mit dem Namen Verwaltung erhalten. Die Authentifizierung am WLAN erfolgt über die Verschlüsselungs-Methode WPA2.
    • Die Benutzer des Verwaltungs-Netzwerks sollen ausschließlich die Internet-Verbindung INTERNET 1 verwenden dürfen.
  • Für die Gäste wird auf dem LANCOM 1790VAW ein separates Netzwerk eingerichtet (IP: 192.168.20.0/24 , ebenfalls LAN & WLAN). Dieses Gast-Netzwerk muss folgenden Anforderungen genügen:
    • Das Gast-Netzwerk benötigt einen LAN-Anschluss, an welchen ein kabelgebundenes Internet-Terminal angeschlossen werden kann. Dieser Anschluss wird am Port ETH-2 konfiguriert. Der Zugriff auf das LAN wird über die Public Spot-Funktionalität realisiert und reglementiert.
    • Im Gast-Netzwerk ist ebenfalls ein WLAN verfügbar (eigene SSID Gast). Der Zugriff auf das WLAN wird über die Public Spot-Funktionalität realisiert und reglementiert.
    • Es soll nicht möglich sein, vom Gast-Netzwerk Zugriffe in das Verwaltungs-Netzwerk durchzuführen.
    • Die Benutzer des Gast-Netzwerks sollen ausschließlich die Internet-Verbindung INTERNET 2 verwenden dürfen.
    • Die Internet-Zugriffe aus dem Gast-Netzwerk werden durch den Content-Filter geprüft. Zehn Benutzer sollen den Content-Filter pro Tag verwenden dürfen, kommt ein elfter (oder weitere) Benutzer hinzu, soll der Internet-Zugang für diese(n) Benutzer unterbunden werden.



Voraussetzungen:

Das Gerät mit dem Public Spot muss zwingend als Gateway und als DNS-Server im Public Spot Netzwerk konfiguriert sein!

Die Management-Ports für HTTP (Port 80) und HTTPS (Port 443) dürfen nicht abgeändert werden und müssen auf den Standard-Werten verbleiben! Beachten Sie dazu diesen Artikel in unserer Knowledge Base (siehe Schritte 1.8 - 1.9).

Wird das integrierte SSL-Zertifikat verwendet, kommt es bei Aufruf einer Webseite per HTTPS zu einer Warnmeldung aufgrund eines unbekannten Zertifikates! Beachten Sie dazu diesen Artikel in unserer Knowledge Base (siehe "Sicherheitshinweis für das SSL-HTTPS-Zertifikat").



Einrichtung der lokalen Netzwerke VERWALTUNG und GAESTE:
1. Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü IPv4 → Allgemein → IP-Netzwerke.
2. Markieren Sie das Netzwerk INTRANET und klicken auf Bearbeiten. Dieses Netzwerk wird für die Verwaltung verwendet.
3. Passen Sie folgende Parameter an:
  • IP-Adresse: Vergeben Sie eine IP-Adresse aus dem Verwaltungs-Netzwerk (in diesem Beispiel die 192.168.10.1).
  • Netzmaske: Vergeben Sie die zum Verwaltungs-Netzwerk zugehörige Subnetzmaske (in diesem Beispiel die Subnetzmaske 255.255.255.0).
  • Schnittstellen-Zuordnung: Stellen Sie sicher, dass die Bridge-Gruppe BRG-1 hinterlegt ist (Das ist die Bridge-Gruppe, unter der der Ethernet-Port ETH-1 im späteren Konfigurationsverlauf mit dem logischen WLAN-Interface WLAN-1 zusammengefasst wird).
4. Erstellen Sie ein neues Netzwerk für die Gäste und passen folgende Parameter an:
  • Netzwerkname: Vergeben Sie einen aussagekräftigen Namen.
  • IP-Adresse: Vergeben Sie eine IP-Adresse aus dem Gast-Netzwerk (in diesem Beispiel die 192.168.20.1).
  • Netzmaske: Vergeben Sie die zum Gast-Netzwerk zugehörige Subnetzmaske (in diesem Beispiel die Subnetzmaske 255.255.255.0).
  • Schnittstellen-Zuordnung: Hinterlegen Sie die Bridge-Gruppe BRG-2 (Das ist die Bridge-Gruppe, unter der der Ethernet-Port ETH-2 im späteren Konfigurationsverlauf mit dem logischen WLAN-Interface WLAN-1-2 zusammengefasst werden).
  • Schnittstellen-Tag: Hinterlegen Sie das Schnittstellen-Tag 1 (Dieses Schnittstellen-Tag sorgt dafür, dass vom Netzwerk GAESTE kein Zugriff auf das Netzwerk VERWALTUNG möglich sein wird).

Info:
Netzwerke, welche über ein Schnittstellen-Tag verfügen, können nur mit Netzwerken kommunizieren, die über das gleiche Schnittstellen-Tag verfügen. Außerdem bedeutet dies, dass das Netzwerk INTRANET, welches über das Schnittstellen-Tag 0 verfügt, mit allen Netzwerken mit beliebigem Schnittstellen-Tag kommunizieren kann. Dies dient dem einfacheren Zugriff vom INTRANET-Netzwerk auf das GAST-Netzwerk. Eine Kommunikation vom GAST-Netzwerk in das INTRANET-Netzwerk ist nicht möglich.

5. Die Tabelle IP-Netzwerke sollte nun folgendermaßen aussehen:
6. Wechseln Sie in das Menü Wireless-LAN → Allgemein und wählen das Land aus, in dem der WLAN-Router betrieben wird.
7. Wechseln Sie in das Menü Physikalische WLAN-Einst..
8. Setzen Sie den Haken bei WLAN-Interface aktiviert, um das WLAN-Modul zu aktivieren.
Die weiteren physikalischen WLAN-Einstellungen belassen wir in diesem Konfigurationsbeispiel bei den voreingestellten Standardwerten.
9. Wechseln Sie in das Menü Logische WLAN-Einstellungen → WLAN-Netzwerk 1. Dieses soll für das Verwaltungs-Netzwerk verwendet werden.
10. Passen Sie folgende Parameter an:
  • Stellen Sie sicher, dass der Haken bei WLAN-Netzwerk aktiviert gesetzt ist.
  • Vergeben Sie bei Netzwerk-Name (SSID) einen aussagekräftigen Namen für die SSID.

11. Wechseln Sie in den Reiter Verschlüsselung und hinterlegen bei Schlüssel 1/Passphrase einen WPA-Key für die SSID.
Info:
Der WPA-Key muss mindestens 8 und darf maximal 63 Zeichen lang sein.
11. Klicken Sie auf das WLAN-Netzwerk 2. Dieses soll für das Gast-Netzwerk verwendet werden.
12. Passen Sie folgende Parameter an:
  • Aktivieren Sie die SSID, indem Sie den Haken bei WLAN-Netzwerk aktiviert setzen.
  • Vergeben Sie bei Netzwerk-Name (SSID) einen aussagekräftigen Namen für die SSID.
  • Setzen Sie die Option Datenverkehr zwischen Stationen auf Nein (auf allen APs im LAN), damit die Teilnehmer im Gast-WLAN nicht miteinander kommunizieren können.
12. Wechseln Sie in den Reiter Verschlüsselung und deaktivieren diese, indem Sie den Haken bei Verschlüsselung aktivieren entfernen.
Info:
Die Verschlüsselung wird für das Gast-WLAN nicht benötigt, da die Authentifizierung der Teilnehmer über den Public Spot erfolgt.
13. Wechseln Sie in das Menü Schnittstellen → LAN → Ethernet-Ports.
14. Wechseln Sie in das Menü Schnittstellen → LAN → Ethernet-Ports → ETH-2.
15. Wählen Sie im Dropdownmenü bei Interface-Verwendung das logische Interface LAN-2 aus.
16. Wechseln Sie in das Menü Port-Tabelle.
17. Da die jeweiligen LAN- und WLAN-Schnittstellen für Verwaltung und Gäste über den jeweils gleichen IP-Adressbereich erreicht werden sollen, müssen wir die logischen Interfaces für LAN und WLAN nun in sogenannten Bridge-Gruppen zusammenfassen. Folgendes soll zusammengefasst werden:
  • Netzwerk INTRANET:
    • Der LAN-Port ETH-1 soll mit dem logischen WLAN-Interface WLAN-1 in der Bridge-Gruppe 1 (BRG-1) zusammengefasst werden.
  • Netzwerk GAST:
    • Der LAN-Port ETH-2 soll mit dem logischen WLAN-Interface WLAN-1-2 in der Bridge-Gruppe 2 (BRG-2) zusammengefasst werden.

Stellen Sie sicher, dass den logischen Interfaces LAN-1 und WLAN-1 die Bridge-Gruppe BRG-1 zugeordnet ist.

  
Hinterlegen Sie bei den logischen Interfaces WLAN-1-2 und LAN-2 die Bridge-Gruppe BRG-2.
  
Die Port-Tabelle muss anschließend wie folgt aussehen:


Einrichtung der Public Spot-Funktion für das Netzwerk GAESTE:
1. Wechseln Sie im Konfigurationsdialog des LANCOM Routers in das Menü Public-Spot und aktivieren Sie Option mit dem Modus Public-Spot - mit Name und Passwort anmelden.
2. Öffnen Sie die Registerkarte Public-Spot und aktivieren Sie die Option nun für das logische Interface LAN-4 und das logische WLAN-Interface WLAN-1-2.
3. In diesem Konfigurationsbeispiel verwenden wir den internen RADIUS-Server des LANCOM Routers zur Verwaltung der Public-Spot Benutzerdaten. Daher müssen Sie die Verbindungsdaten des internen RADIUS-Servers in der Anbieter-Liste der Registerkarte Public-Spot-Benutzer eintragen.
4. Klicken Sie auf die Schaltfläche Hinzufügen....
5. Tragen Sie im Feld Anbieter einen Namen ein. In diesem Beispiel verwenden wir RADIUS.
6. Da wir den internen RADIUS-Server des LANCOM Routers verwenden, müssen Sie in den Feldern Auth.-Server IP-Adresse und Acc.-Server IP-Adresse jeweils die Localhost-Adresse des LANCOM eintragen (127.0.0.1).
7. Als Port-Nummern für Auth.- bzw. Acc.-Server verwenden wir die Standard-Ports 1.812 (Auth.-Server Port) und 1.813 (Acc.- Server Port).
8. Bestätigen Sie Ihre Eingaben mit OK.
9. Jetzt müssen noch einige Konfigurationsschritte am internen RADIUS-Server des LANCOM Routers vorgenommen werde. Wechseln Sie dazu in das Menü RADIUS-Server.
10. Unter RADIUS-Dienst müssen Sie die Port-Nummern für Authentifizierungs-Port (1.812) und Accounting-Port (1.813) eintragen.
11. Eine nützliche Funktion ist die automatische Bereinigung der Benutzertabelle, daher sollten Sie diese Funktion zusätzlich aktivieren.
12. Damit ist die Konfiguration der Public-Spot-Funktion für das Netzwerk GAESTE abgeschlossen.
13. Schreiben Sie die bisherige Konfiguration des LANCOM Routers mit OK in das Gerät zurück.


Einrichtung der Content-Filter-Funktion für das Netzwerk GAESTE:
Eine weitere Anforderung an unser Szenario ist, dass die Internetzugriffe im Gäste-Netzwerk durch den Content-Filter reglementiert werden. Es wird in diesem Beispiel eine Content-Filter-Lizenz für 10 Benutzer verwendet. Der Internet-Zugriff für einen elften (oder weitere) Content-Filter Benutzer soll geblockt werden.
Info:
In diesem Beispiel wird eine Grundkonfiguration des Content-Filters durchgeführt. Es gibt sehr viele weitere Konfigurationsvarianten. Informationen dazu können Sie im Handbuch des Content-Filters oder der LANCOM Support Knowledgebase nachlesen.
1. Zur initialen Einrichtung des Content-Filters empfiehlt es sich, den Setup-Assistenten des Gerätes zu verwenden.
2. Wählen Sie die Option Content-Filter einrichten und klicken Sie auf Weiter.
3. Bestätigen Sie den folgenden Dialog mit Weiter.
4. In diesem Beispiel verwenden wir das Sicherheits-Profil Basis, da dieses die wesentlichen Sicherheitsparameter abbildet.
5. Klicken Sie auf Weiter und beenden Sie den Setup-Assistenten mit Fertig stellen.
6. Öffnen Sie den Konfigurationsdialog des LANCOM-Routers und wechseln Sie in das Menü Content-Filter.
7. Stellen Sie sicher, dass der Content-Filter aktiviert ist und das bei der Option Bei Lizenzüberschreitung der Parameter Verboten eingestellt ist. Damit ist sichergestellt, das der Internetzugriff für einen elften (oder weitere) Benutzer (siehe Szenario-Vorgabe) geblockt wird.
8. Da der Content-Filter nur für Internet-Zugriffe aus dem Gäste-Netzwerk eingesetzt werden soll, müssen Sie nun noch die Firewall-Regel für den Content-Filter modifizieren.
Wechseln Sie hierzu in das Menü Firewall/QoS und bearbeiten Sie die Firewall Regel CONTENT-FILTER.
9. In der Registerkarte Stationen müssen Sie bei der Verbindungs-Quelle das Objekt LOCALNET entfernen und stattdessen das Netzwerk GAESTE eintragen.
10. Markieren Sie zunächst das Objekt LOCALNET und klicken Sie dann auf Entfernen.
11. Klicken Sie auf Hinzufügen → Benutzerdefinierte Station hinzufügen.
12. Wählen Sie im folgenden Dialog Alle Stationen in lokalen Netzwerk aus und stellen Sie bei Netzwerk-Name den Parameter GAESTE ein.
13. Bestätigen Sie Ihre Eingaben mit OK.
14. Die modifizierte Firewall-Regel sollte dann folgendermaßen aussehen:
15. Damit ist die Konfiguration des Content-Filters abgeschlossen.


Einrichtung der Internet-Zugriffs-Regelung für die Netzwerke VERWALTUNG und GAESTE:
Eine weitere Vorgabe dieses Szenarios ist es, dass die Netzwerke VERWALTUNG und GAESTE jeweils eine eigene Internet-Verbindung benutzen sollen.
Dazu sind auf dem LANCOM Router zwei DSL-Gegenstellen eingerichtet (INTERNET1 und INTERNET2) und fertig konfiguriert.
Es soll nun möglich sein, dass die Internet-Zugriffe aus dem Netz VERWALTUNG nur über die Internet-Verbindung INTERNET1 laufen, die Internet-Zugriffe aus dem Netz GAESTE sollen ausschließlich über die Internet-Verbindung INTERNET2 laufen.
Um dies zu realisieren müssen in der Firewall zwei entsprechende Regeln angelegt werden.
1. Öffnen Sie den Konfigurationsdialog des LANCOM-Routers und wechseln Sie in das Menü Firewall/QoS → Regeln → Regeln....
2. Klicken Sie auf Hinzufügen... und vergeben Sie in der Registerkarte Allgemein einen Namen für die Firewall-Regel (hier: INTERNET_VERWALTUNG).
2. Stellen Sie in der Registerkarte Aktionen das Aktions-Objekt ACCEPT ein.
3. Wählen Sie unter Verbindungs-Quelle die Option Verbindung von folgenden Stationen und fügen Sie mit Hinzufügen... die benutzerdefinierte Station VERWALTUNG hinzu.
4. Wählen Sie unter Verbindungs-Ziel die Option Verbindung von folgenden Stationen und fügen Sie mit Hinzufügen... die benutzerdefinierte Station INTERNET1 hinzu.
5. Speichern Sie die Firewall-Regel dann mit der Schaltfläche OK.
6. Klicken Sie in der Firewall-Liste erneut auf Hinzufügen... und vergeben Sie in der Registerkarte Allgemein einen Namen für die zweite Firewall-Regel (hier: INTERNET_GAESTE).
7. Stellen Sie in der Registerkarte Aktionen das Aktions-Objekt ACCEPT ein.
8. Wählen Sie unter Verbindungs-Quelle die Option Verbindung von folgenden Stationen und fügen Sie mit Hinzufügen... die benutzerdefinierte Station GAESTE hinzu.
9. Wählen Sie unter Verbindungs-Ziel die Option Verbindung von folgenden Stationen und fügen Sie mit Hinzufügen... die benutzerdefinierte Station INTERNET2 hinzu.
10. Speichern Sie die Firewall-Regel dann mit der Schaltfläche OK.
11. Die Konfiguration der Firewall-Regeln ist damit abgeschlossen.
12. Bestätigen Sie alle Konfigurationsdialoge mit der Schaltfläche OK und schreiben Sie die Konfiguration in den LANCOM Router zurück.
13. Die Konfiguration dieses Beispiel-Szenarios ist damit abgeschlossen. Testen Sie bitte die Funktionalität.



  • Keine Stichwörter

Alle LANCOM Produkte und Software-Versionen unterliegen dem LANCOM Software Lifecycle Management.
Informationen erhalten Sie auf unserer Webseite unter https://www.lancom-systems.de/produkte/firmware/software-lifecycle-management

© 2019-2024 LANCOM Systems GmbH