Beschreibung: Dieses Dokument beschreibt die Konfiguration eines WLAN-Netzwerkes über mehrere LANCOM Access Points, bei dem sich die Gast-Benutzer am zentralen Gateway mit Benutzerdaten anmelden müssen, um mit dem Internet kommunizieren zu können (Public Spot).
Szenario:- Gäste sollen nach einer Benutzer-Anmeldung über das LAN und/oder WLAN am Public Spot die Möglichkeit haben, mit dem Internet zu kommunizieren.
- Mitarbeiter sollen im LAN und/oder WLAN ohne Benutzer-Anmeldung mit dem Internet und Intranet kommunizieren dürfen.
- Eine Kommunikation zwischen den Netzwerken Gast und Firma ist nicht erlaubt.
Die folgenden Schritte beschreiben die Konfiguration des zentralen LANCOM Gateways mit Public Spot Option, sowie die Konfiguration des LANCOM Switch und eines LANCOM Access Point. Sofern mehr als ein LANCOM Access Point eingesetzt werden soll, kann die Konfiguration des Access Point auf beliebig viele ausgeweitet werden.
Vorgehensweise: 1. Konfiguration der lokalen Netzwerke und der VLANs auf dem Gateway Router: 1.1. Öffnen Sie die Konfiguration des Gateways per LANconfig und wechseln in das Menü IPv4 → Allgemein → IP-Netzwerke. 1.2. Klicken Sie im Dialog IP-Netzwerke auf die Schaltfläche Hinzufügen, um ein neues Netzwerk zu erstellen. 1.3. Vergeben Sie in diesem Dialog einen beliebigen Netzwerknamen. In diesem Konfigurationsbeispiel wird das Public-Spot-Netzwerk GAST genannt. Das neue IP-Netzwerk muss sich außerhalb des IP-Bereiches des bereits bestehenden Netzwerkes INTRANET befinden. Die IP-Adresse 192.168.1.1/24 wird beispielhaft konfiguriert. 1.4. Übernehmen Sie die erweiterte Tabelle IP-Netzwerke wird mit einem Klick auf OK. 1.5. Wechseln Sie in das Menü IPv4 → DHCPv4 → DHCP-Netzwerke. 1.6. Klicken Sie auf Hinzufügen, um einen neuen Eintrag in der Tabelle DHCP-Netzwerke zu erstellen. 1.7. Wählen Sie im Dropdownmenü bei Netzwerkname das in Schritt 1.3 erstellte Netzwerk aus (in diesem Beispiel das Netzwerk GAST). Info:
Bei Bedarf können Sie einen bestimmten IP-Adressbereich über Erste Adresse und Letzte Adresse vergeben. Im Rahmen dieses Dokumentes wird auf die Festlegung eines bestimmten IP-Bereiches verzichtet. 1.8. Die erweiterte Tabelle DHCP-Netzwerke wird mit einem Klick auf OK geschlossen. 1.9.Wechseln Sie in das Menü Schnittstellen → VLAN und aktivieren das VLAN-Modul. 1.10 Wechseln Sie in das Menü VLAN-Tabelle. 1.11. Markieren Sie den Eintrag Default_VLAN und klicken auf Bearbeiten. 1.12. Klicken Sie bei Port-Liste auf die Schaltfläche Wählen, um das Interface LAN-1 auszuwählen. Info:
Das mit VLAN ID 1 gesetzte Netzwerk und der dazugehörige Datenverkehr, welcher über dieses Interface erreicht wird, werden später dem Netzwerk FIRMA zugeordnet. 1.13 Für das zweite Netzwerk (GAST) wird die VLAN ID 2 gesetzt. Der Zugang zum Netzwerk GAST wird ebenfalls über das logische Interface LAN-1 erfolgen. 1.14 Überprüfen Sie die Einstellungen dieser Tabelle und bestätigen Sie mit OK. 1.15 Wechseln Sie in das Menü Schnittstellen → VLAN → Port-Tabelle. 1.16. Die Port-Tabelle enthält Informationen zu allen VLAN-Ports, den Tagging-Modi und ob andere VLAN-IDs von dem jeweiligen Port erlaubt werden sollen. Markieren Sie den VLAN-Port LAN-1: Lokales Netzwerk 1 und klicken auf Bearbeiten. 1.17. Stellen Sie Sicher, dass bei VLAN-Tagging-Modus der Modus Hybrid (Gemischt) hinterlegt ist und bei Port-VLAN-ID die 1. 1.18. Wechseln Sie in das Menü IPv4 → Allgemein → IP-Netzwerke, um in den Netzwerken die VLAN-IDs zu hinterlegen. 1.19. Markieren Sie das Netzwerk INTRANET und klicken auf Bearbeiten. 1.20. Setzen Sie die zum Netzwerk gehörende VLAN-ID auf den Wert 1. 1.21. Öffnen Sie der Eintrag GAST mit einem Klick auf Bearbeiten. 1.22. Hinterlegen Sie bei VLAN-ID den Wert 2. Um die Kommunikation zwischen dem Netzwerk GAST und dem Netzwerk INTRANET zu unterbinden, muss bei Schnittstellen-Tag ein Wert ungleich 0 hinterlegt werden (in diesem Beispiel das Tag 1). Info:
Netzwerke, welche über ein Schnittstellen-Tag verfügen, können nur mit Netzwerken kommunizieren, die über das gleiche Schnittstellen-Tag verfügen. Außerdem bedeutet dies, dass das Netzwerk INTRANET, welches über das Schnittstellen-Tag 0 verfügt, mit allen Netzwerken mit beliebigem Schnittstellen-Tag kommunizieren kann. Dies dient dem einfacheren Zugriff vom INTRANET-Netzwerk auf das GAST-Netzwerk. Eine Kommunikation vom GAST-Netzwerk in das INTRANET-Netzwerk ist nicht möglich. 1.23. Übernehmen Sie die bisherige Konfiguration, indem Sie alle offenen Dialoge von LANconfig schließen und die Konfiguration somit in das Gerät schreiben. Die VLAN-Trennung beider Netzwerke ist nun durchgeführt.
2. Konfiguration des Public-Spot und des RADIUS-Servers auf dem Gateway Router: 2.1. Wechseln Sie in das Menü Public-Spot → Anmeldung und setzen den Anmeldungs-Modus auf Anmeldung mit Name und Passwort. 2.2.Wechseln Sie in das Menü Public Spot → Server → Betriebseinstellungen. 2.3 Wechseln Sie in das Menü Interfaces. 2.4. Markieren Sie das Interface, über die die Authentifizierung am Public Spot erfolgen soll (in diesem Beispiel das Interface LAN-1), und klicken auf Bearbeiten. 2.5. Aktivieren Sie die Benutzer-Anmeldung für das Interface LAN-1: Lokales Netzwerk 1. 2.6. Wechseln Sie in das Menü VLAN-Tabelle, um festzulegen, welche VLAN-ID in Verbindung mit dem Public-Spot verwendet werden soll. 2.7. Erstellen Sie einen neuen Eintrag, indem Sie auf Hinzufügen klicken. 2.8. Tragen Sie in das Feld VLAN-ID die VLAN-ID 2 ein und bestätigen Sie mit OK. 2.9. Wechseln Sie in das Menü Public Spot → Benutzer → RADIUS-Server, um einen Verweis auf den integrierten RADIUS-Server zu hinterlegen. 2.10 Erstellen Sie einen neuen Eintrag mit dem Menüpunkt Hinzufügen. 2.11 Für die Benutzerauthentifizierung wird der interne RADIUS-Server Ihres LANCOM Routers verwendet. Ab Werk ist bereits ein Eintrag namens LOCAL vorhanden. Dieser verweist auf den integrierten RADIUS- und Accounting-Server. Info:
Sollte noch kein Eintrag vorhanden sein, legen Sie diesen an und vergeben einen beliebigen Namen. Stellen Sie sicher, dass die Parameter wie folgt gesetzt sind: - Auth.-Server Adresse: 127.0.0.1
- Auth.-Server Port: 1812
- Acc.-Server Adresse: 127.0.0.1
- Acc.-Server Port: 1813
2.13. Wechseln Sie in das Menü Public Spot → Assistent → Public Spot SSIDs. 2.14. Erzeugen Sie einen neuen Eintrag mit dem Menüpunkt Hinzufügen. 2.15. Tragen Sie in dem markierten Feld die SSID GAST ein, um den Namen der SSID für den Public-Spot-Zugang auf die Voucher für die Public Spot Benutzer zu drucken. Die Option SSID selektiert gibt an, ob bei der Verwendung des Benutzer-Erstellungs-Assistenten dieser Eintrag standardmäßig ausgewählt sein soll. 2.16. Wechseln Sie in das Menü RADIUS → Server und aktivieren die Funktionen RADIUS-Authentisierung und RADIUS-Accounting. 2.17 Wechseln Sie in das Menü RADIUS-Dienste Ports. 2.18 Stellen Sie sicher, dass bei Authentifizierungs-Port der Port 1812 und bei Accounting-Port der Port 1813 hinterlegt ist. Mit Durchführung dieses Konfigurationspunktes ist die Konfiguration des Public-Spot und des LANCOM-internen RADIUS-Servers abgeschlossen.
3. VLAN-Konfiguration auf dem LANCOM Switch: 3.1. Öffnen Sie die Konfiguration des LANCOM Switch in einem Web-Browser und wechseln Sie in das Menü Configuration → VLAN → VLAN Membership. 3.2. In diesem Konfigurationsbeispiel sollen die Switch Ports folgendermaßen belegt sein: - LANCOM Access Point am Port 1
- LANCOM Gateway Router am Port 3
- Port 23 wird für den kabelgebundenen LAN-Zugang zum FIRMA-Netzwerk (192.168.0.0/24) verwendet.
- Port 24 wird für den kabelgebundenen LAN-Zugang zum GAST-Netzwerk (192.168.1.0/24) verwendet. Der Zugang wird per Public Spot geregelt.
3.3. Tragen Sie im bereits existierenden Default-VLAN den Namen des Netzwerkes FIRMA ein. 3.4. Erstellen Sie ein neues VLAN mit der Schaltfläche Add New VLAN. Vergeben Sie die VLAN-ID 2 und tragen Sie als Namen GAST ein. 3.5. Setzen Sie jeweils einen Haken bei Port 1, Port 3 und Port 24. 3.6. Wechseln Sie in das Menü Ports und nehmen Sie die Port-Konfiguration für die verwendeten Ports 1, 3, 23 und 24 vor: - Bei den Ports 1 und 3 wird als Egress Rule der Wert Trunk eingestellt.
 - Beim Port 23 muss die Egress Rule auf den Wert Access eingestellt werden.
- Beim Port 24 muss die Egress Rule auf den Wert Access eingestellt und im Feld PVID muss die VLAN-ID 2 eingetragen werden.
3.7. Die VLAN-Konfiguration auf dem LANCOM Switch ist damit abgeschlossen. Schreiben Sie die Konfiguration in das Gerät zurück.
4. Konfiguration eines LANCOM Access Point: 4.1. Wechseln Sie in das Menü IPv4 → Allgemein → IP-Netzwerke. 4.2 Vergeben Sie dem Acess Point eine IP-Adresse aus dem Netzwerk INTRANET (in diesem Beispiel das Netzwerk 192.168.0.0/24) und hinterlegen die VLAN-ID 1. 4.3 Wechseln Sie in das Menü Wireless-LAN → Allgemein → Logische WLAN-Einstellungen. 4.4 Erstellen Sie für jedes WLAN-Modul jeweils ein WLAN mit der SSID FIRMA und GAST und passen die Verschlüsselungs-Einstellungen an. WLAN-Interface 1 - Netzwerk 1: Reiter Netzwerk: - Stellen Sie sicher, dass der Haken bei WLAN-Netzwerk aktiviert gesetzt ist.
- Vergeben Sie einen aussagekräftigen Netzwerk-Namen für die SSID (in diesem Beispiel der Name FIRMA).
Reiter Verschlüsselung: - Hinterlegen Sie bei Schlüssel 1/Passphrase einen WPA-Key, der in den WLAN-Geräten eingegeben werden muss, damit diese sich im WLAN einbuchen können.
 
WLAN-Interface 1 - Netzwerk 2: Reiter Netzwerk: - Stellen Sie sicher, dass der Haken bei WLAN-Netzwerk aktiviert gesetzt ist.
- Vergeben Sie einen aussagekräftigen Netzwerk-Namen für die SSID (in diesem Beispiel der Name GAST).
Reiter Verschlüsselung: - Deaktivieren Sie die Verschlüsselung. WLAN-Geräte sollen sich am Public Spot nur über die Zugangs-Daten authentifizieren.
 
WLAN-Interface 2 - Netzwerk 1: Reiter Netzwerk: - Stellen Sie sicher, dass der Haken bei WLAN-Netzwerk aktiviert gesetzt ist.
- Vergeben Sie einen aussagekräftigen Netzwerk-Namen für die SSID (in diesem Beispiel der Name FIRMA).
Reiter Verschlüsselung: - Hinterlegen Sie bei Schlüssel 1/Passphrase den WPA-Key, den Sie bereits für die Schnittstelle WLAN-Interface 1 - Netzwerk 1 vergeben haben.
WLAN-Interface 2 - Netzwerk 2: Reiter Netzwerk: - Stellen Sie sicher, dass der Haken bei WLAN-Netzwerk aktiviert gesetzt ist.
- Vergeben Sie einen aussagekräftigen Netzwerk-Namen für die SSID (in diesem Beispiel der Name GAST).
Reiter Verschlüsselung: - Deaktivieren Sie die Verschlüsselung. WLAN-Geräte sollen sich am Public Spot nur über die Zugangs-Daten authentifizieren.
4.5 Wechseln Sie in das Menü Schnittstellen → VLAN und aktivieren das VLAN-Modul. 4.6 Wechseln Sie in das Menü VLAN-Tabelle. 4.7 Markieren Sie den Eintrag Default_VLAN und klicken auf Bearbeiten. 4.8 Klicken Sie bei Port-Liste auf Wählen, um die logischen Schnittstellen für das Firmen-Netzwerk hinzuzufügen. 4.9 Wählen Sie alle logischen Schnittstellen aus, über die das Firmen-Netzwerk kommunizieren soll (in diesem Beispiel die Schnittstellen LAN-1, WLAN-1 und WLAN-2). 4.10 Erstellen Sie einen weiteren Eintrag und passen folgende Parameter an: - VLAN-Name: Vergeben Sie einen aussagekräftigen Namen für das VLAN (in diesem Beispiel GAST).
- VLAN-ID: Hinterlegen Sie die VLAN-ID 2.
Klicken Sie anschließend bei Port-Liste auf Wählen, um die logischen Schnittstellen für das Gast-Netzwerk hinzuzufügen. 
4.11 Wählen Sie alle logischen Schnittstellen aus, über die das Firmen-Netzwerk kommunizieren soll (in diesem Beispiel die Schnittstellen LAN-1, WLAN-1-2 und WLAN-2-2). 
4.12 Die VLAN-Tabelle muss anschließend wie folgt aussehen: 4.13 Wechseln Sie in das Menü Port-Tabelle. 4.14 Passen Sie die einzelnen logischen Schnittstellen wie folgt an: LAN-1: - VLAN-Tagging-Modus: Wählen Sie im Dropdownmenü den Tagging-Modus Hybrid (Gemischt) aus.
- Port-VLAN-ID: Stellen Sie sicher, dass die Port-VLAN-ID 1 hinterlegt ist.
WLAN-1: - VLAN-Tagging-Modus: Wählen Sie im Dropdownmenü den Tagging-Modus Access (Niemals) aus.
- Port-VLAN-ID: Stellen Sie sicher, dass die Port-VLAN-ID 1 hinterlegt ist.
WLAN-2: - VLAN-Tagging-Modus: Wählen Sie im Dropdownmenü den Tagging-Modus Access (Niemals) aus.
- Port-VLAN-ID: Stellen Sie sicher, dass die Port-VLAN-ID 1 hinterlegt ist.
 
WLAN-1-2: - VLAN-Tagging-Modus: Wählen Sie im Dropdownmenü den Tagging-Modus Access (Niemals) aus.
- Port-VLAN-ID: Hinterlegen Sie die Port-VLAN-ID 2.
WLAN-2-2: - VLAN-Tagging-Modus: Wählen Sie im Dropdownmenü den Tagging-Modus Access (Niemals) aus.
- Port-VLAN-ID: Hinterlegen Sie die Port-VLAN-ID 2.
 
4.15 Die Port-Tabelle muss anschließend wie folgt aussehen: 4.16 Die VLAN-Konfiguration ist damit abgeschlossen. Schreiben Sie die Konfiguration in den Access Point zurück.
5. Verwendung des Public-Spot: 5.1. Öffnen Sie die Konfiguration des Gateway-Routers in LANconfig und wechseln Sie in das Menü Management → Admin → Weitere Administratoren. 5.2. Erstellen Sie einen weiteren Administrator und passen folgende Parameter an: - Administrator: Vergeben Sie einen aussagekräftigen Namen für den weiteren Administrator.
- Passwort: Hinterlegen Sie ein Passwort. mit dem sich der Administrator in WEBconfig anmelden kann.
- Zugriffs-Rechte: Wählen Sie im Dropdownmenü Keine aus.
- Deaktivieren Sie alle Funktions-Rechte bis auf Public-Spot-Assistent (Benutzer anlegen) und Public-Spot-Assistent (Benutzer verwalten), damit der Administrator Public Spot Benutzer anlegen und verwalten kann.
5.3 Die Konfiguration des weiteren Administrators ist damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.
6. Einrichtung und Verwaltung eines Public Spot Benutzers in WEBconfig: 6.1 Rufen Sie die IP-Adresse des Gateway-Routers in in einem Browser auf und loggen sich mit den Login-Daten des weiteren Administrators ein (siehe Schritt 5.2). 6.2
5.3. Schreiben Sie die Konfiguration in den LANCOM Router zurück. 5.4. Um einen Public Spot Voucher, also ein Zugangsticket für Nutzer des Public Spot zu erzeugen, wird die WEBconfig-Oberfläche Ihres LANCOM Routers geöffnet. - Dazu müssen Sie die IP-Adresse des Gateway Routers in Ihren Browser eingeben. In diesem Szenario muss die IP 192.168.0.1 eingetragen werden.
- Geben Sie auf der Anmelde-Seite den Benutzernamen und das Passwort des in Schritt 5.2. angelegten Public Spot Administrators ein.
5.5. Sobald Sie den Zugang zur Weboberfläche haben, klicken Sie auf Setup-Wizards und im Anschluss auf Public-Spot-Benutzer einrichten. 5.6. Die nun erscheinenden Parameter stellen die möglichen Eigenschaften des zu erzeugenden Vouchers dar. In diesem Konfigurationsbeispiel werden die Standardwerte nicht bearbeitet. Mit einem Klick auf Speichern und CSV-Export werden die Zugangsparameter in ein Excelsheet exportiert. 5.7. Ein CSV-Export ist wie folgt aufgebaut. 5.8. Verbinden Sie sich mit der SSID GAST um zu überprüfen, ob der Public-Spot problemlos funktioniert. - Öffnen Sie im Anschluss Ihren Internet-Browser und öffnen Sie eine Seite Ihrer Wahl (optional können Sie die IP des Routers aus dem GAST-Netzwerk in den Browser eingeben: 192.168.1.1).
- Die folgende Login-Seite öffnet sich.
5.9. Geben Sie nun die im Schritt 5.6. exportierten Voucher-Parameter in die zwei Felder ein. 5.10. Bei erfolgreichem Login wird eine Seite mit Sitzungsinformationen aufgerufen. Die Verbindung mit dem Gastnetzwerk wurde hergestellt und der Public-Spot kann verwendet werden. 5.11. Um bereits angelegte Voucher und deren Parameter zu verwalten wird WEBconfig verwendet. - Öffnen Sie die Weboberfläche Ihres Routers und navigieren Sie zu Setup-Wizards → Public-Spot-Benutzer verwalten.
 - In der sich nun öffnenden Tabelle sehen Sie eine Übersicht aller derzeitig angelegten Benutzer des Public-Spots. Auch der in Schritt 5.6. erzeugte Public-Spot-Zugang ist hier zu finden.
Mit Abschluss dieses Schrittes haben Sie die Konfiguration, sowie den Funktionstest der Public-Spot mit VLAN-getrennten Netzen erfolgreich durchgeführt. | 
