Beschreibung:
In diesem Artikel wird beschrieben, wie der Content-Filter und der Public-Spot für ein Gast-Netzwerk eingerichtet werden und die Kommunikation aus dem Gast-Netzwerk über eine separate Internet-Verbindung geleitet wird.
Mit diesem Szenario ist es möglich, maximal 128 Benutzerkonten für die Nutzung der Public-Spot-Funktionalität anzulegen. Wenn Sie mehr Public-Spot-Benutzer benötigen, muss ein Router der 19xx Serie, ein WLAN-Controller, ein Central Site Gateway mit Public Spot XL Option oder ein vRouter (ab vRouter 500) eingesetzt werden.
Voraussetzungen:
- LANCOM WLAN-Router
- LCOS ab Version 9.24 (download aktuelle Version)
- LANtools ab Version 9.24 (download aktuelle Version)
- Zwei konfigurierte und funktionionsfähige Internet-Verbindungen
- Aktivierte Public-Spot-Option
- Aktivierte Content-Filter-Option
Das Gerät mit dem Public Spot muss zwingend als Gateway und als DNS-Server im Public Spot Netzwerk konfiguriert sein!
Die Management-Ports für HTTP (Port 80) und HTTPS (Port 443) dürfen nicht abgeändert werden und müssen auf den Standard-Werten verbleiben! Beachten Sie dazu diesen Artikel in unserer Knowledge Base (siehe Schritte 1.8 - 1.9).
Wird das integrierte SSL-Zertifikat verwendet, kommt es bei Aufruf einer Webseite per HTTPS zu einer Warnmeldung aufgrund eines unbekannten Zertifikates! Beachten Sie dazu diesen Artikel in unserer Knowledge Base (siehe "Sicherheitshinweis für das SSL-HTTPS-Zertifikat").
Szenario:
- Es wird ein LANCOM 1790VAW als zentraler Router eingesetzt. Eine Public-Spot Option und eine Content-Filter Option (z.B. 10 User, 3 Jahre Laufzeit) sind auf dem Gerät aktiviert.
- Der LANCOM 1790VAW verfügt bereits über zwei funktionierende DSL-Anbindungen. Die erste Internet-Anbindung (INTERNET1) ist über das integrierte VDSL-Modem des Gerätes angeschlossen und konfiguriert, die zweite Internet-Anbindung (INTERNET2) wird über ein externes Modem am Ethernet-Port 4 (ETH-4) betrieben.
- Der Internet-Verbindung INTERNET1 ist das Routing-Tag 0 zugewiesen.
- Der Internet-Verbindung INTERNET2 ist das Routing-Tag 1 zugewiesen.
- Auf dem LANCOM 1790VAW soll ein lokales Verwaltungs-Netzwerk mit dem IP-Adressbereich 192.168.10.0/24 eingerichtet werden, welches folgenden Anforderungen genügen muss:
- LAN-seitig wird das Verwaltungs-Netzwerk auf dem Port ETH-1 konfiguriert, WLAN-seitig auf dem logischen WLAN-Interface WLAN-1.
- Das WLAN wird zudem eine SSID mit dem Namen Verwaltung erhalten. Die Authentifizierung am WLAN erfolgt über die Verschlüsselungs-Methode WPA2.
- Die Benutzer des Verwaltungs-Netzwerks sollen ausschließlich die Internet-Verbindung INTERNET1 verwenden dürfen.
- Zusätzlich soll auf dem LANCOM 1790VAW ein separates Gast-Netzwerk mit dem IP-Adressbereich 192.168.20.0/24 eingerichtet (ebenfalls per LAN & WLAN). Dieses Gast-Netzwerk muss folgenden Anforderungen genügen:
- Das Gast-Netzwerk benötigt einen LAN-Anschluss, an welchen ein kabelgebundenes Internet-Terminal angeschlossen werden kann. Dieser Anschluss wird am Port ETH-2 konfiguriert.
- Im Gast-Netzwerk ist ebenfalls ein WLAN verfügbar (eigene SSID Gast mit dem logischen Interface WLAN-1-2).
- Der Zugriff auf das Gast-Netzwerk wird über die Public-Spot-Funktionalität realisiert und reglementiert.
- Es soll nicht möglich sein, vom Gast-Netzwerk Zugriffe in das Verwaltungs-Netzwerk durchzuführen.
- Die Benutzer des Gast-Netzwerks sollen ausschließlich die Internet-Verbindung INTERNET2 verwenden dürfen.
- Die Internet-Zugriffe aus dem Gast-Netzwerk werden durch den Content-Filter geprüft. Zehn Benutzer sollen den Content-Filter pro Tag verwenden dürfen, kommt ein elfter (oder weitere) Benutzer hinzu, soll der Internet-Zugang für diesen Benutzer unterbunden werden.
Vorgehensweise:
1. Einrichtung der lokalen Netzwerke für Verwaltung und Gäste:
1.1 Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü IPv4 → Allgemein → IP-Netzwerke.
1.2 Markieren Sie das Netzwerk INTRANET und klicken auf Bearbeiten. Dieses Netzwerk wird für die Verwaltung verwendet.
1.3 Passen Sie die folgenden Parameter an:
- IP-Adresse: Vergeben Sie eine IP-Adresse aus dem Verwaltungs-Netzwerk (in diesem Beispiel die 192.168.10.1).
- Netzmaske: Vergeben Sie die zum Verwaltungs-Netzwerk zugehörige Subnetzmaske (in diesem Beispiel die Subnetzmaske 255.255.255.0).
- Schnittstellen-Zuordnung: Stellen Sie sicher, dass die Bridge-Gruppe BRG-1 hinterlegt ist (Das ist die Bridge-Gruppe, unter der der Ethernet-Port ETH-1 im späteren Konfigurationsverlauf mit dem logischen WLAN-Interface WLAN-1 zusammengefasst wird).
1.4 Erstellen Sie ein neues Netzwerk für die Gäste und passen folgende Parameter an:
- Netzwerkname: Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel GAST).
- IP-Adresse: Vergeben Sie eine IP-Adresse aus dem Gast-Netzwerk (in diesem Beispiel die 192.168.20.1).
- Netzmaske: Vergeben Sie die zum Gast-Netzwerk zugehörige Subnetzmaske (in diesem Beispiel die Subnetzmaske 255.255.255.0).
- Schnittstellen-Zuordnung: Hinterlegen Sie die Bridge-Gruppe BRG-2 (Das ist die Bridge-Gruppe, unter der der Ethernet-Port ETH-2 im späteren Konfigurationsverlauf mit dem logischen WLAN-Interface WLAN-1-2 zusammengefasst werden).
- Schnittstellen-Tag: Hinterlegen Sie das Schnittstellen-Tag 1 (Dieses Schnittstellen-Tag sorgt dafür, dass vom Netzwerk GAST kein Zugriff auf das Netzwerk INTRANET möglich sein wird).
Netzwerke, welche über ein Schnittstellen-Tag verfügen, können nur mit Netzwerken kommunizieren, die über das gleiche Schnittstellen-Tag verfügen. Außerdem bedeutet dies, dass das Netzwerk INTRANET, welches über das Schnittstellen-Tag 0 verfügt, mit allen Netzwerken mit beliebigem Schnittstellen-Tag kommunizieren kann. Dies dient dem einfacheren Zugriff vom Netzwerk INTRANET auf das Netzwerk GAST. Eine Kommunikation vom Netzwerk GAST in das Netzwerk INTRANET ist nicht möglich.
1.5 Die Tabelle IP-Netzwerke sollte nun folgendermaßen aussehen:
1.6 Wechseln Sie in das Menü IPv4 → DHCPv4 → DHCP-Netzwerke.
1.7 Wählen Sie das Netzwerk INTRANET aus und klicken auf Bearbeiten.
1.8 Wählen Sie bei DHCP-Server aktiviert die Option Ja aus.
1.9 Klicken Sie auf Hinzufügen, um ein neues DHCP-Netzwerk anzulegen.
1.10 Passen Sie die folgenden Parameter an:
- Netzwerkname: Wählen Sie im Dropdown-Menü das in Schritt 1.4 erstellte Gast-Netzwerk aus (in diesem Beispiel GAST).
- DHCP-Server aktiviert: Wählen Sie im Dropdown-Menü die Option Ja aus.
2. Konfiguration des WLAN:
2.1 Wechseln Sie in das Menü Wireless-LAN → Allgemein und wählen das Land aus, in dem der WLAN-Router betrieben wird.
2.2 Wechseln Sie in das Menü Physikalische WLAN-Einst..
2.3 Setzen Sie den Haken bei WLAN-Interface aktiviert, um das WLAN-Modul zu aktivieren.
Die weiteren physikalischen WLAN-Einstellungen belassen wir in diesem Konfigurationsbeispiel bei den voreingestellten Standardwerten.
2.4 Wechseln Sie in das Menü Logische WLAN-Einstellungen → WLAN-Netzwerk 1. Dieses soll für das Verwaltungs-Netzwerk verwendet werden.
2.5 Passen Sie die folgenden Parameter an:
- Stellen Sie sicher, dass der Haken bei WLAN-Netzwerk aktiviert gesetzt ist.
- Vergeben Sie bei Netzwerk-Name (SSID) einen aussagekräftigen Namen für die SSID.
2.6 Wechseln Sie in den Reiter Verschlüsselung und hinterlegen bei Schlüssel 1/Passphrase einen WPA-Key für die SSID.
Der WPA-Key muss mindestens 8 und darf maximal 63 Zeichen lang sein.
2.7 Klicken Sie auf das WLAN-Netzwerk 2. Dieses soll für das Gast-Netzwerk verwendet werden.
2.8 Passen Sie die folgenden Parameter an:
- Aktivieren Sie die SSID, indem Sie den Haken bei WLAN-Netzwerk aktiviert setzen.
- Vergeben Sie bei Netzwerk-Name (SSID) einen aussagekräftigen Namen für die SSID (in diesem Beispiel Gast).
- Setzen Sie die Option Datenverkehr zwischen Stationen auf Nein (auf allen APs im LAN), damit die Teilnehmer im Gast-WLAN nicht miteinander kommunizieren können.
2.9 Wechseln Sie in den Reiter Verschlüsselung und deaktivieren diese, indem Sie den Haken bei Verschlüsselung aktivieren entfernen.
Die Verschlüsselung wird für das Gast-WLAN nicht benötigt, da die Authentifizierung der Teilnehmer über den Public Spot erfolgt.
3. Konfiguration der Schnittstellen:
3.1 Wechseln Sie in das Menü Schnittstellen → LAN → Ethernet-Ports und klicken auf das Interface ETH 2.
3.2 Wählen Sie im Dropdownmenü bei Interface-Verwendung das logische Interface LAN-2 aus.
3.3 Wechseln Sie in das Menü Port-Tabelle.
3.4 Da die jeweiligen LAN- und WLAN-Schnittstellen für Verwaltung und Gäste über den jeweils gleichen IP-Adressbereich erreicht werden sollen, müssen wir die logischen Interfaces für LAN und WLAN nun in sogenannten Bridge-Gruppen zusammenfassen. Folgendes soll zusammengefasst werden:
- Netzwerk INTRANET:
- Der LAN-Port ETH-1 soll mit dem logischen WLAN-Interface WLAN-1 in der Bridge-Gruppe 1 (BRG-1) zusammengefasst werden.
- Netzwerk GAST:
- Der LAN-Port ETH-2 soll mit dem logischen WLAN-Interface WLAN-1-2 in der Bridge-Gruppe 2 (BRG-2) zusammengefasst werden.
Stellen Sie sicher, dass den logischen Interfaces LAN-1 und WLAN-1 die Bridge-Gruppe BRG-1 zugeordnet ist.
Hinterlegen Sie bei den logischen Interfaces WLAN-1-2 und LAN-2 die Bridge-Gruppe BRG-2.
Die Port-Tabelle muss anschließend wie folgt aussehen:
4. Einrichtung der Public Spot-Funktion für das Netzwerk GAST:
4.1 Wechseln Sie in das Menü Public-Spot → Anmeldung und aktivieren die Option mit dem Modus Anmeldung mit Name und Passwort.
4.2 Wechseln Sie in das Menü Public-Spot → Server → Betriebseinstellungen.
4.3 Wechseln Sie in das Menü Interfaces.
4.4 Aktivieren Sie die Benutzer-Anmeldung für die logischen Interfaces WLAN-1-2 und LAN-2.
Die Tabelle Interfaces muss anschließend wie folgt aussehen:
4.5 Wechseln Sie in das Menü Public Spot → Benutzer → RADIUS-Server.
4.6 In diesem Menü muss ein Verweis auf den integrierten RADIUS-Server hinterlegt werden.
Ab Werk ist bereits ein Eintrag namens LOCAL vorhanden. Dieser verweist auf den integrierten RADIUS- und Accounting-Server.
Sollte noch kein Eintrag vorhanden sein, legen Sie diesen an und vergeben einen beliebigen Namen.
Stellen Sie sicher, dass die Parameter wie folgt gesetzt sind:
- Auth.-Server Adresse: 127.0.0.1
- Auth.-Server Port: 1812
- Acc.-Server Adresse: 127.0.0.1
- Acc.-Server Port: 1813
4.7 Wechseln Sie in das Menü RADIUS → Server und aktivieren die RADIUS-Authentisierung, das RADIUS-Accounting sowie die Funktion Benutzertabelle automatisch bereinigen.
4.8 Wechseln Sie in das Menü RADIUS-Dienste Ports.
4.9 Stellen Sie sicher, dass bei Authentifizierungs-Port der Port 1812 und bei Accounting-Port der Port 1813 hinterlegt ist.
4.10 Die manuellen Konfigurations-Schritte in LANconfig sind vorerst abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.
5. Einrichtung der Content-Filter-Funktion für das Netzwerk GAST:
Eine weitere Anforderung an unser Szenario ist, dass die Internetzugriffe im Gast-Netzwerk durch den Content-Filter reglementiert werden. Es wird in diesem Beispiel eine Content-Filter-Lizenz für 10 Benutzer verwendet. Der Internet-Zugriff für einen elften (oder weitere) Content-Filter Benutzer soll geblockt werden.
Zur initialen Einrichtung des Content-Filters empfiehlt es sich, den Setup-Assistenten des Gerätes zu verwenden.
In diesem Beispiel wird eine Grundkonfiguration des Content-Filters durchgeführt. Es gibt sehr viele weitere Konfigurationsvarianten. Informationen dazu können Sie im Referenzhandbuch oder der LANCOM Support Knowledge Base nachlesen.
5.1 Markieren Sie den Router in LANconfig, führen einen Rechtsklick aus und wählen im Kontextmenü die Option Setup-Assistent aus.
5.2 Wählen Sie die Option Content-Filter einrichten und klicken Sie auf Weiter.
5.3 Bestätigen Sie den folgenden Dialog mit Weiter.
5.4 In diesem Beispiel verwenden wir das Sicherheits-Profil Basis, da dieses die wesentlichen Sicherheitsparameter abbildet.
5.5 Beenden Sie den Setup-Assistenten mit Fertig stellen.
5.6 Öffnen Sie den Konfigurationsdialog des Routers in LANconfig und wechseln in das Menü Content-Filter → Allgemein.
Stellen Sie sicher, dass der Content Filter aktiv und die Lizenzüberschreitung verboten ist.
6. Routing des Datenverkehrs aus dem Gast-Netzwerk über die Internet-Verbindung INTERNET2:
Der Datenverkehr wird ohne weitere Einstellungen grundsätzlich über die Default-Route mit dem Routing-Tag 0 geleitet (die Internet-Verbindung INTERNET1). Für das Verwaltungs-Netzwerk besteht daher kein weiterer Handlungsbedarf. Für das Gast-Netzwerk müssen weitere Einstellungen vorgenommen werden, damit der Datenverkehr über die Internet-Verbindung INTERNET2 geleitet wird.
6.1 Wechseln Sie in das Menü Firewall/QoS → IPv4-Regeln → Regeln.
6.2 Markieren Sie die durch den Setup-Assistenten erstellte Firewall-Regel CONTENT-Filter und klicken auf Bearbeiten.
6.3 Tragen Sie bei Routing-Tag das Tag 1 ein, damit Webseiten (HTTP und HTTPS) aus dem Gast-Netzwerk über die Internet-Verbindung INTERNET2 aufgerufen werden.
6.4 Wechseln Sie in den Reiter Stationen und entfernen das Objekt LOCALNET.
Das Objekt LOCALNET enthält alle lokalen Netzwerke und muss daher entfernt werden.
6.5 Klicken Sie auf Hinzufügen → Benutzerdefinierte Station hinzufügen.
6.6 Wählen Sie im Dropdownmenü das Netzwerk GAST aus, damit nur das Gast-Netzwerk durch den Content Filter geprüft wird.
6.7 Erstellen Sie eine weitere Firewall-Regel, um jeglichen weiteren Datenverkehr außer HTTP und HTTPS ebenso über die Internet-Verbindung INTERNET2 zu routen.
6.8 Vergeben Sie einen aussagekräftigen Namen und hinterlegen das Routing-Tag 1, damit der Datenverkehr über die Internet-Verbindung INTERNET2 geroutet wird.
6.9 Wechseln Sie in den Reiter Aktionen und entfernen das Objekt REJECT.
6.10 Fügen Sie das Objekt ACCEPT hinzu, um die Datenübertragung zu erlauben.
6.11 Wechseln Sie in den Reiter Stationen und wechseln auf Verbindungen von folgenden Stationen → Hinzufügen → Benutzerdefinierte Station hinzufügen.
6.12 Wählen Sie im Dropdownmenü das Netzwerk GAST aus.
6.13 Die Tabelle Firewall-Regeln muss anschließend wie folgt aussehen:
6.14 Die Konfiguration ist damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.