Beschreibung: Dieses Dokument beschreibt die Konfiguration eines WLAN-Gastzugangs ohne Nutzung einer Port-based VLAN-Funktionalität. Voraussetzungen: Mögliche Szenarien:1. Die WLAN-Clients, innerhalb der SSID1 (Firmennetz), sind WLAN-Clients der Firma. Diese haben die Berechtigung auf die lokalen Ressourcen im LAN, und auf das Internet zuzugreifen. 2. Die WLAN-Clients, innerhalb der SSID2 (Gastnetz), sind Clients, die nur auf das Internet zugreifen dürfen.
Zwei Szenarien sind hier möglich: Im ersten Szenario ist der LANCOM WLAN-Router oder Access Point das Gateway. Im zweiten Szenario wird vor dem LANCOM WLAN-Router oder Access Poin t ein weiterer LANCOM Router verwendet, der als Gateway betrieben wird. Hinweis: Dieses Szenario funktioniert nicht, wenn mehr als 1 LANCOM Access Point betrieben wird. In diesem Fall muss VLAN eingesetzt werden. In Abhängigkeit des eingesetzten Szenarios werden die LANCOM WLAN-Router oder Access Points unterschiedlich konfiguriert.
Vorgehensweisen:
1. Konfiguration des Szenario 1: Im ersten Szenario konfigurieren Sie zunächst zwei IP-Netzwerke und danach zwei SSIDs. Einen IP-Adressbereich und eine SSID für die WLAN-Clients in der Firma und der andere IP-Adressbereich und die entsprechende SSID für die WLAN-Clients, die den Gastzugang benutzen sollen. 1.1 Die IP-Adressbereich Einstellungen nehmen Sie unter dem Menüpunkt IPv4 → Allgemein → IP-Netzwerke vor. Dort definieren Sie z.B. ein INTRANET mit der IP-Adresse 192.168.100.2 und ein Gastnetz mit der IP-Adresse 192.168.200.1 . Diesen beiden Netze weisen Sie im Konfigurationspunkt Schnittstellen unterschiedlichen Bridgegruppen (BRG) zu. Standarmäßig sind alle Schnittstellen auf die Bridgegruppe BRG-1 eingestellt. Sie trennen die Netze , indem Sie dem logischen WLAN-1-2 (SSID 2) eine anderen Bridgegruppe zuordnen (BRG-2) und ein Schnittstellen-Tag vergeben (5) . Dieses Schnittstellen Tag verhindert den Zugriff vom Gastnetz auf das Intranet. Ein Zugriff vom Intranet auf das Gastnetz ist weiterhin möglich. 1.2 Im Menü Schnittstellen → LAN → LAN-Bridge-Einstellungen → Port-Tabelle müssen Sie die Bridgegruppe BRG-2 für das logische WLAN-1-2 einstellen. 1.3 Damit alle WLAN-Clients entsprechend ihrer Zugehörigkeit eine IP-Adresse zugewiesen bekommen, richten Sie im Menü IPv4 → DHCPv4 → DHCP-Netzwerke noch den DHCP-Dienst jeweils für das Netzwerk INTRANET und GAST ein. 1.4 Im Menü Wireless LAN → Allgemein → Logische WLAN-Einstellungen müssen jetzt die beiden SSIDs für das Firmennetz und das Gastnetz eingerichtet werden. Die SSID für das Firmennetzwerk wird in diesem Beispiel auf dem logischen WLAN-Netzwerk 1 eingerichtet. 1.5 Tragen Sie im Feld Netzwerk-Name (SSID) eine Namensbezeichnung ein (z.B. Firmennetz). Alle anderen Felder bleiben in den Standardeinstellungen. 1.6 Die SSID für das Gastnetzwerk wird in diesem Beispiel auf dem logischen WLAN-Netzwerk 2 eingerichtet. 1.7 Tragen Sie im Feld Netzwerk-Name (SSID) eine Namensbezeichnung ein (z.B. Gastnetz). Alle anderen Felder bleiben in den Standardeinstellungen. Info: Um das WLAN so sicher wie möglich zu machen, empfehlen wir die WPA2-Verschlüsselung auszuwählen. 1.8 Schreiben Sie die Konfiguration in den LANCOM WLAN-Router oder Access Point zurück. Beide Netze können danach das Internet nutzen, ein Zugriff des Gastnetzes auf das Intranet ist allerdings nicht möglich.
2. Konfiguration des Szenario 2: Info: Die WLAN Einstellungen auf dem WLAN-Router oder Access Point sind identisch zu denen im Szenario 1 .
2.1 Im zweiten Szenario wird vor dem LANCOM WLAN-Router oder Access Point ein weiterer LANCOM-Router verwendet, der als Gateway betrieben wird. Das Gateway ist Mitglied des Netzwerkes INTRANET und hat die IP-Adresse 192.168.100.1. Wichtig: Das Gastnetz darf nicht auf dem Gateway angelegt werden! 2.2 Das Gateway wird auch als DHCP-Server für das Netzwerk INTRANET verwendet. 2.3 Neben der Default-Route benötigt das Gateway eine Rückroute in das Gastnetz (192.168.200.0), das auf dem WLAN-Router oder Access Point mit der IP-Adresse 192.168.100.2 definiert ist. Die Rückroute wird im Menü IP-Router → Routing → Routing-Tabelle konfiguriert. 2.4 Auf dem WLAN-Router oder Access Point ändern sich bezugnehmend auf die Konfiguration aus Szenario 1 folgende Werte. Unter IPv4 → Allgemein → IP-Netzwerke wird kein Schnittstellen-Tag gesetzt. 2.5 Deaktivieren Sie auf dem WLAN-Router oder Access Point die DHCP-Funktion für das INTRANET im Menü IPv4 → DHCPv4 → DHCP-Netzwerke. 2.6 Unter IPv4 → DNS → Weiterleitungen muss auf dem WLAN-Router / Access Point die IP-Adresse eines DNS-Servers hinterlegt werden (etwa der vorgeschaltete Router), um die Namensauflösung für das Gastnetz zu realisieren. 2.7 In der Routing Tabelle des WLAN-Routers oder Access Point s wird nun eine Default-Route auf die IP-Adresse des Gateways (192.168.100.1) konfiguriert. 2.8 Damit vom Gastnetz nicht auf das Intranet zugegriffen werden kann, muss im Menü Firewall → IPv4-Regeln → Regeln eine Firewall Regel definiert werden. Info: Die konfigurierte Firewall-Regel bewirkt, dass Zugriffe vom lokalen Gast-Netzwerk auf das lokale INTRANET komplett unterbunden werden. Wird aber aus dem lokalen Gast-Netzwerk eine öffentliche DNS- oder IP-Adresse angesprochen, greift die Firewall-Regel nicht und der Internetzugang ist somit möglich.
|