Beschreibung:
Dieses Dokument beschreibt die Konfiguration eines WLAN-Netzwerkes über mehrere LANCOM Access Points, bei dem sich die Gast-Benutzer am zentralen Gateway mit Benutzerdaten anmelden müssen, um mit dem Internet kommunizieren zu können (Public Spot).
Voraussetzung:
- LCOS ab Version 8 (download aktuelle Version)
- LANtools ab Version 8 (download aktuelle Version)
- Aktivierte LANCOM Public Spot Option auf dem zentralen Gateway Router
- Das lokale kabelgebundene Firmennetzwerk ist bereits funktionsfähig eingerichtet und verwendet den IP-Adressbereich 192.168.0.0/24.
Das Gerät mit dem Public Spot muss zwingend als Gateway und als DNS-Server im Public Spot Netzwerk konfiguriert sein!
Die Management-Ports für HTTP (Port 80) und HTTPS (Port 443) dürfen nicht abgeändert werden und müssen auf den Standard-Werten verbleiben! Beachten Sie dazu diesen Artikel in unserer Knowledge Base (siehe Schritte 1.8 - 1.9).
Wird das integrierte SSL-Zertifikat verwendet, kommt es bei Aufruf einer Webseite per HTTPS zu einer Warnmeldung aufgrund eines unbekannten Zertifikates! Beachten Sie dazu diesen Artikel in unserer Knowledge Base (siehe "Sicherheitshinweis für das SSL-HTTPS-Zertifikat").
Szenario:
- Gäste sollen nach einer Benutzer-Anmeldung über das LAN und/oder WLAN am Public Spot die Möglichkeit haben, mit dem Internet zu kommunizieren.
- Mitarbeiter sollen im LAN und/oder WLAN ohne Benutzer-Anmeldung mit dem Internet und Intranet kommunizieren dürfen.
- Eine Kommunikation zwischen den Netzwerken Gast und Firma ist nicht erlaubt.
Die folgenden Schritte beschreiben die Konfiguration des zentralen LANCOM Gateways mit Public Spot Option sowie die Konfiguration des LANCOM Switches und eines LANCOM Access Points. Sofern mehr als ein LANCOM Access Point eingesetzt werden soll, kann die Konfiguration des Access Points auf beliebig viele ausgeweitet werden.
Vorgehensweise:
1. Konfiguration der lokalen Netzwerke und der VLANs auf dem Gateway Router:
1.1 Öffnen Sie die Konfiguration des Gateways per LANconfig und wechseln in das Menü IPv4 → Allgemein → IP-Netzwerke.
1.2 Klicken Sie im Dialog IP-Netzwerke auf die Schaltfläche Hinzufügen, um ein neues Netzwerk zu erstellen.
1.3 Passen Sie folgende Parameter für das Gast-Netz an:
- Netzwerkname: Vergeben Sie einen aussagekräftigen Namen für das Gast-Netzwerk (in diesem Fall GAST).
- IP-Adresse: Geben Sie eine IP-Adresse aus einem noch nicht verwendeten IP-Adressbereich an.
- Netzmaske: Hinterlegen Sie die zu der IP-Adresse zugehörige Subnetzmaske .
1.4 Die Tabelle IP-Netzwerke muss anschließend wie folgt aussehen:
1.5 Wechseln Sie in das Menü IPv4 → DHCPv4 → DHCP-Netzwerke.
1.6 Klicken Sie auf Hinzufügen, um einen neuen Eintrag in der Tabelle DHCP-Netzwerke zu erstellen.
1.7 Passen Sie folgende Parameter an:
- Netzwerkname: Wählen Sie im Dropdownmenü das in Schritt 1.3 erstellte Netzwerk aus (in diesem Beispiel das Netzwerk GAST).
- DHCP-Server aktiviert: Wählen Sie im Dropdownmenü Ja aus, um den DHCP-Server zu aktivieren.
Ist bei Adressen für DHCP-Clients und Nameserver-Adressen bei den einzelnen Parametern die 0.0.0.0 hinterlegt, vergibt der Router seine eigene IP-Adresse in diesem Netzwerk als Gateway und DNS-Server und verwendet alle freien IP-Adressen in diesem Netzwerk für die Adressvergabe. Bei Bedarf können Sie die einzelnen Parameter anpassen.
1.8 Die Tabelle DHCP-Netzwerke muss anschließend wie folgt aussehen:
1.9 Wechseln Sie in das Menü Schnittstellen → VLAN und aktivieren das VLAN-Modul.
1.10 Wechseln Sie in das Menü VLAN-Tabelle.
1.11 Markieren Sie den Eintrag Default_VLAN und klicken auf Bearbeiten.
1.12 Klicken Sie bei Port-Liste auf die Schaltfläche Wählen, um das Interface LAN-1 auszuwählen.
Die VLAN-ID 1 wird dem Firmen-Netzwerk zugeordnet.
1.13 Erstellen Sie ein einen neuen Eintrag und passen folgende Parameter an:
- VLAN-Name: Vergeben Sie einen aussagekräftigen Namen für das VLAN (in diesem Beispiel GAST).
- VLAN-ID: Hinterlegen Sie die VLAN-ID 2.
- Port-Liste: Fügen Sie die logische Schnittstelle LAN-1 hinzu.
1.14 Die VLAN-Tabelle muss anschließend wie folgt aussehen:
1.15 Wechseln Sie in das Menü Port-Tabelle.
1.16 Markieren Sie den VLAN-Port LAN-1: Lokales Netzwerk 1 und klicken auf Bearbeiten.
1.17 Passen Sie folgende Parameter an:
- VLAN-Tagging-Modus: Stellen Sie sicher, dass der Tagging-Modus Hybrid (Gemischt) ausgewählt ist.
- Port-VLAN-ID: Stellen Sie sicher, dass die VLAN-ID 1 hinterlegt ist.
1.18 Wechseln Sie in das Menü IPv4 → Allgemein → IP-Netzwerke, um in den Netzwerken die VLAN-IDs zu hinterlegen.
1.19 Markieren Sie das Netzwerk INTRANET und klicken auf Bearbeiten.
1.20 Setzen Sie die zum Netzwerk gehörende VLAN-ID auf den Wert 1.
1.21 Bearbeiten Sie das Netzwerk GAST und passen folgende Parameter an:
- VLAN-ID: Hinterlegen Sie die VLAN-ID 2.
- Schnittstellen-Tag: Hinterlegen Sie ein Schnittstellen-Tag ungleich 0, damit die Kommunikation zwischen dem Netzwerk GAST und dem Netzwerk INTRANET unterbunden wird (in diesem Beispiel wird das Tag 1 verwendet).
Netzwerke, welche über ein Schnittstellen-Tag verfügen, können nur mit Netzwerken kommunizieren, die über das gleiche Schnittstellen-Tag verfügen.
Außerdem bedeutet dies, dass das Netzwerk INTRANET, welches über das Schnittstellen-Tag 0 verfügt, mit allen Netzwerken mit beliebigem Schnittstellen-Tag kommunizieren kann. Dies dient dem einfacheren Zugriff vom INTRANET-Netzwerk auf das GAST-Netzwerk. Eine Kommunikation vom GAST-Netzwerk in das INTRANET-Netzwerk ist nicht möglich.
1.22 Die Tabelle IP-Netzwerke muss anschließend wie folgt aussehen:
1.23 Die Netzwerk- und VLAN-Konfiguration ist damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.
2. Konfiguration des Public-Spot und des RADIUS-Servers auf dem Gateway Router:
2.1 Wechseln Sie in das Menü Public-Spot → Anmeldung und setzen den Anmeldungs-Modus auf Anmeldung mit Name und Passwort.
2.2 Wechseln Sie in das Menü Public Spot → Server → Betriebseinstellungen.
2.3 Wechseln Sie in das Menü Interfaces.
2.4 Markieren Sie das Interface, über die die Authentifizierung am Public Spot erfolgen soll (in diesem Beispiel das Interface LAN-1), und klicken auf Bearbeiten.
2.5 Aktivieren Sie die Benutzer-Anmeldung für das Interface LAN-1: Lokales Netzwerk 1.
2.6 Wechseln Sie in das Menü VLAN-Tabelle, um festzulegen, welche VLAN-ID in Verbindung mit dem Public-Spot verwendet werden soll.
2.7 Erstellen Sie einen neuen Eintrag, indem Sie auf Hinzufügen klicken.
2.8 Tragen Sie in das Feld VLAN-ID die VLAN-ID 2 ein und bestätigen Sie mit OK.
2.9 Wechseln Sie in das Menü Public Spot → Benutzer → RADIUS-Server, um einen Verweis auf den integrierten RADIUS-Server zu hinterlegen.
2.10 Ab Werk ist bereits ein Eintrag namens LOCAL vorhanden. Dieser verweist auf den integrierten RADIUS- und Accounting-Server.
Sollte noch kein Eintrag vorhanden sein, legen Sie diesen an und vergeben einen beliebigen Namen.
Stellen Sie sicher, dass die Parameter wie folgt gesetzt sind:
- Auth.-Server Adresse: 127.0.0.1
- Auth.-Server Port: 1812
- Acc.-Server Adresse: 127.0.0.1
- Acc.-Server Port: 1813
2.11 Wechseln Sie in das Menü Public Spot → Assistent → Public Spot SSIDs.
2.12 Erstellen Sie einen neuen Eintrag und passen folgende Parameter an:
- SSID: Hinterlegen Sie die in Schritt 4.4 erstellte SSID (in diesem Beispiel GAST), um den Namen der SSID für den Public-Spot-Zugang auf die Voucher für die Public Spot Benutzer zu drucken.
- SSID selektiert: Setzen Sie diese Option auf Ja, damit die SSID immer bei Durchlaufen des Setup-Assistenten Public-Spot-Benutzer erstellen auf den Voucher gedruckt wird.
2.13 Wechseln Sie in das Menü RADIUS → Server und aktivieren die Funktionen RADIUS-Authentisierung und RADIUS-Accounting.
2.14 Wechseln Sie in das Menü RADIUS-Dienste Ports.
2.15 Stellen Sie sicher, dass bei Authentifizierungs-Port der Port 1812 und bei Accounting-Port der Port 1813 hinterlegt ist.
2.16 Die Konfiguration des Public Spot und des RADIUS-Servers ist damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.
3. VLAN-Konfiguration auf dem LANCOM Switch:
3.1 Öffnen Sie die Konfiguration des LANCOM Switch in einem Web-Browser und wechseln Sie in das Menü Configuration → VLAN → VLAN Membership.
3.2. In diesem Konfigurationsbeispiel sollen die Switch Ports folgendermaßen belegt sein:
- LANCOM Access Point am Port 1
- LANCOM Gateway Router am Port 3
- Port 23 wird für den kabelgebundenen LAN-Zugang zum Netzwerk FIRMA (192.168.0.0/24) verwendet.
- Port 24 wird für den kabelgebundenen LAN-Zugang zum Netzwerk GAST (192.168.1.0/24) verwendet. Der Zugang wird per Public Spot geregelt.
3.3 Tragen Sie im bereits existierenden Default-VLAN den Namen des Netzwerkes FIRMA ein.
3.4 Erstellen Sie ein neues VLAN mit der Schaltfläche Add New VLAN. Vergeben Sie die VLAN-ID 2 und tragen Sie als Namen GAST ein.
3.5 Setzen Sie bei dem Netzwerk GAST jeweils einen Haken bei Port 1, Port 3 und Port 24.
3.6 Wechseln Sie in das Menü Ports und nehmen Sie die Port-Konfiguration für die verwendeten Ports 1, 3, 23 und 24 vor:
- Stellen Sie sicher, dass bei den Ports 1 und 3 als Egress Rule der Wert Hybrid und als PVID der Wert 1 hinterlegt ist.
- Setzen Sie bei Port 23 die Egress Rule auf den Wert Access und stellen sicher, dass bei PVID der Wert 1 hinterlegt ist.
- Setzen Sie bei Port 24 die Egress Rule auf den Wert Access und hinterlegen im Feld PVID die VLAN-ID 2.
3.7. Die VLAN-Konfiguration auf dem LANCOM Switch ist damit abgeschlossen. Schreiben Sie die Konfiguration in das Gerät zurück.
4. Konfiguration eines LANCOM Access Point:
4.1 Wechseln Sie in das Menü IPv4 → Allgemein → IP-Netzwerke.
4.2 Vergeben Sie dem Access Point eine IP-Adresse aus dem Netzwerk INTRANET (in diesem Beispiel das Netzwerk 192.168.0.0/24) und hinterlegen die VLAN-ID 1.
4.3 Wechseln Sie in das Menü Wireless-LAN → Allgemein → Logische WLAN-Einstellungen.
4.4 Erstellen Sie für jedes WLAN-Modul jeweils ein WLAN mit der SSID FIRMA und GAST und passen die Verschlüsselungs-Einstellungen an.
WLAN-Interface 1 - Netzwerk 1:
Reiter Netzwerk:
- Stellen Sie sicher, dass der Haken bei WLAN-Netzwerk aktiviert gesetzt ist.
- Vergeben Sie einen aussagekräftigen Netzwerk-Namen für die SSID (in diesem Beispiel der Name FIRMA).
Reiter Verschlüsselung:
- Hinterlegen Sie bei Schlüssel 1/Passphrase einen WPA-Key, der in den WLAN-Geräten eingegeben werden muss, damit diese sich im WLAN einbuchen können.
WLAN-Interface 1 - Netzwerk 2:
Reiter Netzwerk:
- Stellen Sie sicher, dass der Haken bei WLAN-Netzwerk aktiviert gesetzt ist.
- Vergeben Sie einen aussagekräftigen Netzwerk-Namen für die SSID (in diesem Beispiel der Name GAST).
Reiter Verschlüsselung:
- Deaktivieren Sie die Verschlüsselung. WLAN-Geräte sollen sich am Public Spot nur über die Zugangs-Daten authentifizieren.
WLAN-Interface 2 - Netzwerk 1:
Reiter Netzwerk:
- Stellen Sie sicher, dass der Haken bei WLAN-Netzwerk aktiviert gesetzt ist.
- Vergeben Sie einen aussagekräftigen Netzwerk-Namen für die SSID (in diesem Beispiel der Name FIRMA).
Reiter Verschlüsselung:
- Hinterlegen Sie bei Schlüssel 1/Passphrase den WPA-Key, den Sie bereits für die Schnittstelle WLAN-Interface 1 - Netzwerk 1 vergeben haben.
WLAN-Interface 2 - Netzwerk 2:
Reiter Netzwerk:
- Stellen Sie sicher, dass der Haken bei WLAN-Netzwerk aktiviert gesetzt ist.
- Vergeben Sie einen aussagekräftigen Netzwerk-Namen für die SSID (in diesem Beispiel der Name GAST).
Reiter Verschlüsselung:
- Deaktivieren Sie die Verschlüsselung. WLAN-Geräte sollen sich am Public Spot nur über die Zugangs-Daten authentifizieren.
4.5 Wechseln Sie in das Menü Schnittstellen → VLAN und aktivieren das VLAN-Modul.
4.6 Wechseln Sie in das Menü VLAN-Tabelle.
4.7 Markieren Sie den Eintrag Default_VLAN und klicken auf Bearbeiten.
4.8 Klicken Sie bei Port-Liste auf Wählen, um die logischen Schnittstellen für das Firmen-Netzwerk hinzuzufügen.
Ist bei Port-Liste die Wildcard *-* für alle logischen Schnittstellen hinterlegt, ist es empfehlenswert diese zu löschen und stattdessen die tatsächlich verwendeten Ports zu hinterlegen.
4.9 Wählen Sie alle logischen Schnittstellen aus, über die das Firmen-Netzwerk kommunizieren soll (in diesem Beispiel die Schnittstellen LAN-1, WLAN-1 und WLAN-2).
4.10 Erstellen Sie einen weiteren Eintrag und passen folgende Parameter an:
- VLAN-Name: Vergeben Sie einen aussagekräftigen Namen für das VLAN (in diesem Beispiel GAST).
- VLAN-ID: Hinterlegen Sie die VLAN-ID 2.
- Klicken Sie anschließend bei Port-Liste auf Wählen , um die logischen Schnittstellen für das Gast-Netzwerk hinzuzufügen.
4.11 Wählen Sie alle logischen Schnittstellen aus, über die das Gast-Netzwerk kommunizieren soll (in diesem Beispiel die Schnittstellen LAN-1, WLAN-1-2 und WLAN-2-2).
4.12 Die VLAN-Tabelle muss anschließend wie folgt aussehen:
4.13 Wechseln Sie in das Menü Port-Tabelle.
4.14 Passen Sie die einzelnen logischen Schnittstellen wie folgt an:
LAN-1:
- VLAN-Tagging-Modus: Stellen Sie sicher, dass der Tagging-Modus Hybrid (Gemischt) hinterlegt ist.
- Port-VLAN-ID: Stellen Sie sicher, dass die Port-VLAN-ID 1 hinterlegt ist.
WLAN-1:
- VLAN-Tagging-Modus: Wählen Sie im Dropdownmenü den Tagging-Modus Access (Niemals) aus.
- Port-VLAN-ID: Stellen Sie sicher, dass die Port-VLAN-ID 1 hinterlegt ist.
WLAN-2:
- VLAN-Tagging-Modus: Wählen Sie im Dropdownmenü den Tagging-Modus Access (Niemals) aus.
- Port-VLAN-ID: Stellen Sie sicher, dass die Port-VLAN-ID 1 hinterlegt ist.
WLAN-1-2:
- VLAN-Tagging-Modus: Wählen Sie im Dropdownmenü den Tagging-Modus Access (Niemals) aus.
- Port-VLAN-ID: Hinterlegen Sie die Port-VLAN-ID 2.
WLAN-2-2:
- VLAN-Tagging-Modus: Wählen Sie im Dropdownmenü den Tagging-Modus Access (Niemals) aus.
- Port-VLAN-ID: Hinterlegen Sie die Port-VLAN-ID 2.
4.15 Die Port-Tabelle muss anschließend wie folgt aussehen:
4.16 Die Konfiguration des Access Points ist damit abgeschlossen. Schreiben Sie die Konfiguration in das Gerät zurück.
5. Einrichtung eines weiteren Administrators zur Einrichtung und Verwaltung von Public Spot Benutzern:
5.1 Öffnen Sie die Konfiguration des Gateway-Routers in LANconfig und wechseln in das Menü Management → Admin → Weitere Administratoren.
5.2 Erstellen Sie einen weiteren Administrator und passen folgende Parameter an:
- Administrator: Vergeben Sie einen aussagekräftigen Namen für den weiteren Administrator.
- Passwort: Hinterlegen Sie ein Passwort. mit dem sich der Administrator in WEBconfig anmelden kann.
- Zugriffs-Rechte: Wählen Sie im Dropdownmenü Keine aus.
- Deaktivieren Sie alle Funktions-Rechte bis auf Public-Spot-Assistent (Benutzer anlegen) und Public-Spot-Assistent (Benutzer verwalten), damit der Administrator Public Spot Benutzer anlegen und verwalten kann.
5.3 Die Konfiguration des weiteren Administrators ist damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.
6. Einrichtung und Verwaltung eines Public Spot Benutzers in WEBconfig:
6.1 Rufen Sie die IP-Adresse des Gateway-Routers in in einem Browser auf und loggen sich mit den Login-Daten des weiteren Administrators ein (siehe Schritt 5.2).
6.2 In dem Menü Public-Spot-Benutzer einrichten können Sie folgende Aktionen vornehmen:
- Erstellen Sie einen oder mehrere neue Public Spot Benutzer, indem Sie auf die Schaltfläche Anlegen und Drucken klicken.
- Erstellen Sie einen oder mehrere neue Public Spot Benutzer, indem Sie auf die Schaltfläche Anlegen und CSV-Export klicken. Zusätzlich werden die Benutzer-Daten in eine CSV-Datei exportiert, damit diese anschließend weiter bearbeitet werden können.
- Mit einem Klick auf die Schaltfläche Benutzerverwaltung aufrufen gelangen Sie in das Menü Public-Spot-Benutzer verwalten.
6.3 In dem Menü Public-Spot-Benutzer verwalten können Sie folgende Aktionen vornehmen:
- Unter Spalte zeigen/verstecken können Sie einzelne Spalten ausblenden. Im Standard werden alle Spalten angezeigt.
- Mit einem Klick auf Als CSV speichern wird eine CSV-Datei mit allen aktuell angelegten Benutzern abgespeichert.
- Einzelne Parameter wie z.B. das Passwort oder der Ablauf-Typ können abgeändert und dann gespeichert werden.
- Mit einem Klick auf Löschen können einzelne Benutzer gelöscht werden.
- Mit einem Klick auf die Schaltfläche Benutzer anlegen gelangen Sie in das Menü Public-Spot-Benutzer einrichten.
