Sie zeigen eine alte Version dieser Seite an. Zeigen Sie die aktuelle Version an.

Unterschiede anzeigen Seitenhistorie anzeigen

« Vorherige Version anzeigen Version 14 Nächste Version anzeigen »


Beschreibung:
Die in diesem Konfigurationsbeispiel beschriebenen Arbeitsschritte sollen folgendes Szenario darstellen, welches z.B. in einem Hotelbetrieb mit öffentlichen LAN und WLAN-Zugängen Anwendung finden kann:
Info: Mit diesem Szenario ist es möglich, maximal 64 Benutzerkonten für die Nutzung der Public-Spot-Funktionalität anzulegen. Wenn Sie mehr Public-Spot-Benutzer benötigen, muss ein WLAN-Controller mit Public-Spot Option eingesetzt werden.
  • Es wird ein LANCOM 1790VAW als zentraler Router eingesetzt. Eine Public-Spot Option und eine Content-Filter Option (z.B. 10 User, 3 Jahre Laufzeit) ist auf dem Gerät aktiviert.
  • Der LANCOM 1790VAW verfügt bereits über zwei funktionierende DSL-Anbindungen. Die erste Internet-Anbindung (INTERNET 1) ist über das integrierte VDSL-Modem des Gerätes angeschlossen und konfiguriert, die zweite Internet-Anbindung (INTERNET 2) wird über ein externes Modem am Ethernet-Port 4 (ETH-4) betrieben.
  • Auf dem LANCOM 1790VAW soll ein lokales Verwaltungs-Netzwerk eingerichtet werden (IP: 192.168.10.0/24), welches folgenden Anforderungen genügen muss:
    • LAN-seitig wird das Verwaltungs-Netzwerk auf dem Port ETH-1 konfiguriert, WLAN-seitig auf dem logischen WLAN-Interface WLAN-1.
    • Das WLAN wird zudem eine SSID mit dem Namen Verwaltung erhalten. Die Authentifizierung am WLAN erfolgt über die Verschlüsselungs-Methode WPA2.
    • Die Benutzer des Verwaltungs-Netzwerks sollen ausschließlich die Internet-Verbindung INTERNET 1 verwenden dürfen.
  • Für die Gäste wird auf dem LANCOM 1790VAW ein separates Netzwerk eingerichtet (IP: 192.168.20.0/24 , ebenfalls LAN & WLAN). Dieses Gast-Netzwerk muss folgenden Anforderungen genügen:
    • Das Gast-Netzwerk benötigt einen LAN-Anschluss, an welchen ein kabelgebundenes Internet-Terminal angeschlossen werden kann. Dieser Anschluss wird am Port ETH-2 konfiguriert. Der Zugriff auf das LAN wird über die Public Spot-Funktionalität realisiert und reglementiert.
    • Im Gast-Netzwerk ist ebenfalls ein WLAN verfügbar (eigene SSID Gast). Der Zugriff auf das WLAN wird über die Public Spot-Funktionalität realisiert und reglementiert.
    • Es soll nicht möglich sein, vom Gast-Netzwerk Zugriffe in das Verwaltungs-Netzwerk durchzuführen.
    • Die Benutzer des Gast-Netzwerks sollen ausschließlich die Internet-Verbindung INTERNET 2 verwenden dürfen.
    • Die Internet-Zugriffe aus dem Gast-Netzwerk werden durch den Content-Filter geprüft. Zehn Benutzer sollen den Content-Filter pro Tag verwenden dürfen, kommt ein elfter (oder weitere) Benutzer hinzu, soll der Internet-Zugang für diese(n) Benutzer unterbunden werden.



Voraussetzungen:

Das Gerät mit dem Public Spot muss zwingend als Gateway und als DNS-Server im Public Spot Netzwerk konfiguriert sein!

Die Management-Ports für HTTP (Port 80) und HTTPS (Port 443) dürfen nicht abgeändert werden und müssen auf den Standard-Werten verbleiben! Beachten Sie dazu diesen Artikel in unserer Knowledge Base (siehe Schritte 1.8 - 1.9).

Wird das integrierte SSL-Zertifikat verwendet, kommt es bei Aufruf einer Webseite per HTTPS zu einer Warnmeldung aufgrund eines unbekannten Zertifikates! Beachten Sie dazu diesen Artikel in unserer Knowledge Base (siehe "Sicherheitshinweis für das SSL-HTTPS-Zertifikat").



Einrichtung der lokalen Netzwerke VERWALTUNG und GAESTE:
1. Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü IPv4 → Allgemein → IP-Netzwerke.
2. Markieren Sie das Netzwerk INTRANET und klicken auf Bearbeiten. Dieses Netzwerk wird für die Verwaltung verwendet.
3. Passen Sie folgende Parameter an:
  • IP-Adresse: Vergeben Sie eine IP-Adresse aus dem Verwaltungs-Netzwerk (in diesem Beispiel die 192.168.10.1).
  • Netzmaske: Vergeben Sie die zum Verwaltungs-Netzwerk zugehörige Subnetzmaske (in diesem Beispiel die Subnetzmaske 255.255.255.0).
  • Schnittstellen-Zuordnung: Stellen Sie sicher, dass die Bridge-Gruppe BRG-1 hinterlegt ist (Das ist die Bridge-Gruppe, unter der der Ethernet-Port ETH-1 im späteren Konfigurationsverlauf mit dem logischen WLAN-Interface WLAN-1 zusammengefasst wird).
4. Erstellen Sie ein neues Netzwerk für die Gäste und passen folgende Parameter an:
  • Netzwerkname: Vergeben Sie einen aussagekräftigen Namen.
  • IP-Adresse: Vergeben Sie eine IP-Adresse aus dem Gast-Netzwerk (in diesem Beispiel die 192.168.20.1).
  • Netzmaske: Vergeben Sie die zum Gast-Netzwerk zugehörige Subnetzmaske (in diesem Beispiel die Subnetzmaske 255.255.255.0).
  • Schnittstellen-Zuordnung: Hinterlegen Sie die Bridge-Gruppe BRG-2 (Das ist die Bridge-Gruppe, unter der der Ethernet-Port ETH-2 im späteren Konfigurationsverlauf mit dem logischen WLAN-Interface WLAN-1-2 zusammengefasst werden).
  • Schnittstellen-Tag: Hinterlegen Sie das Schnittstellen-Tag 1 (Dieses Schnittstellen-Tag sorgt dafür, dass vom Netzwerk GAESTE kein Zugriff auf das Netzwerk VERWALTUNG möglich sein wird).

Info:
Netzwerke, welche über ein Schnittstellen-Tag verfügen, können nur mit Netzwerken kommunizieren, die über das gleiche Schnittstellen-Tag verfügen. Außerdem bedeutet dies, dass das Netzwerk INTRANET, welches über das Schnittstellen-Tag 0 verfügt, mit allen Netzwerken mit beliebigem Schnittstellen-Tag kommunizieren kann. Dies dient dem einfacheren Zugriff vom INTRANET-Netzwerk auf das GAST-Netzwerk. Eine Kommunikation vom GAST-Netzwerk in das INTRANET-Netzwerk ist nicht möglich.

5. Die Tabelle IP-Netzwerke sollte nun folgendermaßen aussehen:
6. Wechseln Sie in das Menü Wireless-LAN → Allgemein und wählen das Land aus, in dem der WLAN-Router betrieben wird.
7. Wechseln Sie in das Menü Physikalische WLAN-Einst..
8. Setzen Sie den Haken bei WLAN-Interface aktiviert, um das WLAN-Modul zu aktivieren.
Die weiteren physikalischen WLAN-Einstellungen belassen wir in diesem Konfigurationsbeispiel bei den voreingestellten Standardwerten.
9. Wechseln Sie in das Menü Logische WLAN-Einstellungen → WLAN-Netzwerk 1. Dieses soll für das Verwaltungs-Netzwerk verwendet werden.
10. Passen Sie folgende Parameter an:
  • Stellen Sie sicher, dass der Haken bei WLAN-Netzwerk aktiviert gesetzt ist.
  • Vergeben Sie bei Netzwerk-Name (SSID) einen aussagekräftigen Namen für die SSID.

11. Wechseln Sie in den Reiter Verschlüsselung und hinterlegen bei Schlüssel 1/Passphrase einen WPA-Key für die SSID.
Info:
Der WPA-Key muss mindestens 8 und darf maximal 63 Zeichen lang sein.
11. Klicken Sie auf das WLAN-Netzwerk 2. Dieses soll für das Gast-Netzwerk verwendet werden.
12. Passen Sie folgende Parameter an:
  • Aktivieren Sie die SSID, indem Sie den Haken bei WLAN-Netzwerk aktiviert setzen.
  • Vergeben Sie bei Netzwerk-Name (SSID) einen aussagekräftigen Namen für die SSID.
  • Setzen Sie die Option Datenverkehr zwischen Stationen auf Nein (auf allen APs im LAN), damit die Teilnehmer im Gast-WLAN nicht miteinander kommunizieren können.
12. Wechseln Sie in den Reiter Verschlüsselung und deaktivieren diese, indem Sie den Haken bei Verschlüsselung aktivieren entfernen.
Info:
Die Verschlüsselung wird für das Gast-WLAN nicht benötigt, da die Authentifizierung der Teilnehmer über den Public Spot erfolgt.
13. Wechseln Sie in das Menü Schnittstellen → LAN → Ethernet-Ports.
14. Wechseln Sie in das Menü Schnittstellen → LAN → Ethernet-Ports → ETH-2.
15. Wählen Sie im Dropdownmenü bei Interface-Verwendung das logische Interface LAN-2 aus.
16. Wechseln Sie in das Menü Port-Tabelle.
17. Da die jeweiligen LAN- und WLAN-Schnittstellen für Verwaltung und Gäste über den jeweils gleichen IP-Adressbereich erreicht werden sollen, müssen wir die logischen Interfaces für LAN und WLAN nun in sogenannten Bridge-Gruppen zusammenfassen. Folgendes soll zusammengefasst werden:
  • Netzwerk INTRANET:
    • Der LAN-Port ETH-1 soll mit dem logischen WLAN-Interface WLAN-1 in der Bridge-Gruppe 1 (BRG-1) zusammengefasst werden.
  • Netzwerk GAST:
    • Der LAN-Port ETH-2 soll mit dem logischen WLAN-Interface WLAN-1-2 in der Bridge-Gruppe 2 (BRG-2) zusammengefasst werden.

Stellen Sie sicher, dass den logischen Interfaces LAN-1 und WLAN-1 die Bridge-Gruppe BRG-1 zugeordnet ist.

  
Hinterlegen Sie bei den logischen Interfaces WLAN-1-2 und LAN-2 die Bridge-Gruppe BRG-2.
  
Die Port-Tabelle muss anschließend wie folgt aussehen:


Einrichtung der Public Spot-Funktion für das Netzwerk GAST:
1. Wechseln Sie in das Menü Public-Spot → Anmeldung und aktivieren die Option mit dem Modus Anmeldung mit Name und Passwort.
2. Wechseln Sie in das Menü Public-Spot → Server → Betriebseinstellungen.
3. Wechseln Sie in das Menü Interfaces.
4. Aktivieren Sie die Benutzer-Anmeldung für die logischen Interfaces WLAN-1-2 und LAN-2.
  
Die Tabelle Interfaces muss anschließend wie folgt aussehen:
5. Wechseln Sie in das Menü Public Spot → Benutzer → RADIUS-Server.
6. In diesem Menü muss ein Verweis auf den integrierten RADIUS-Server hinterlegt werden.
Ab Werk ist bereits ein Eintrag namens LOCAL vorhanden. Dieser verweist auf den integrierten RADIUS- und Accounting-Server.
Info:
Sollte noch kein Eintrag vorhanden sein, legen Sie diesen an und vergeben einen beliebigen Namen.
Stellen Sie sicher, dass die Parameter wie folgt gesetzt sind:
  • Auth.-Server Adresse: 127.0.0.1
  • Auth.-Server Port: 1812
  • Acc.-Server Adresse127.0.0.1
  • Acc.-Server Port: 1813
7. Wechseln Sie in das Menü RADIUS → Server und aktivieren die RADIUS-Authentisierung, das RADIUS-Accounting sowie die Funktion Benutzertabelle automatisch bereinigen.
8. Wechseln Sie in das Menü RADIUS-Dienste Ports.
9. Stellen Sicher, dass bei Authentifizierungs-Port der Port 1812 und bei Accounting-Port der Port 1813 hinterlegt ist.
10. Die manuellen Konfigurations-Schritte in LANconfig sind vorerst abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.


Einrichtung der Content-Filter-Funktion für das Netzwerk GAST:
Eine weitere Anforderung an unser Szenario ist, dass die Internetzugriffe im Gäste-Netzwerk durch den Content-Filter reglementiert werden. Es wird in diesem Beispiel eine Content-Filter-Lizenz für 10 Benutzer verwendet. Der Internet-Zugriff für einen elften (oder weitere) Content-Filter Benutzer soll geblockt werden.
Info:
In diesem Beispiel wird eine Grundkonfiguration des Content-Filters durchgeführt. Es gibt sehr viele weitere Konfigurationsvarianten. Informationen dazu können Sie im Handbuch des Content-Filters oder der LANCOM Support Knowledgebase nachlesen.
1. Zur initialen Einrichtung des Content-Filters empfiehlt es sich, den Setup-Assistenten des Gerätes zu verwenden.
2. Wählen Sie die Option Content-Filter einrichten und klicken Sie auf Weiter.
3. Bestätigen Sie den folgenden Dialog mit Weiter.
4. In diesem Beispiel verwenden wir das Sicherheits-Profil Basis, da dieses die wesentlichen Sicherheitsparameter abbildet.
5. Beenden Sie den Setup-Assistenten mit Fertig stellen.
6. Öffnen Sie den Konfigurationsdialog des Routers in LANconfig und wechseln in das Menü Content-Filter → Allgemein.
Stellen Sie sicher, dass der Content Filter aktiv und die Lizenzüberschreitung verboten ist.
7. Wechseln Sie in das Menü Firewall/QoS → IPv4-Regeln → Regeln.
8. Markieren Sie die durch den Setup-Assistenten erstellte Firewall-Regel CONTENT-Filter und klicken auf Bearbeiten.
9. Tragen Sie bei Routing-Tag das Tag 1 ein, damit Webseiten (HTTP und HTTPS) aus dem Gast-Netzwerk über die Internet-Verbindung INTERNET2 aufgerufen werden.
10. Wechseln Sie in den Reiter Stationen und entfernen das Objekt LOCALNET.
Info:
Das Objekt LOCALNET enthält alle lokalen Netzwerke und muss daher entfernt werden.
11. Klicken Sie auf Hinzufügen → Benutzerdefinierte Station hinzufügen.
12. Wählen Sie im Dropdownmenü das Netzwerk GAST aus, damit nur das Gast-Netzwerk durch den Content Filter geprüft wird.
13. Erstellen Sie eine weitere Firewall-Regel, um jeglichen weiteren Datenverkehr außer HTTP und HTTPS ebenso über die Internet-Verbindung INTERNET2 zu routen.
14.




1


Einrichtung der Internet-Zugriffs-Regelung für die Netzwerke VERWALTUNG und GAESTE:
Eine weitere Vorgabe dieses Szenarios ist es, dass die Netzwerke VERWALTUNG und GAESTE jeweils eine eigene Internet-Verbindung benutzen sollen.
Dazu sind auf dem LANCOM Router zwei DSL-Gegenstellen eingerichtet (INTERNET1 und INTERNET2) und fertig konfiguriert.
Es soll nun möglich sein, dass die Internet-Zugriffe aus dem Netz VERWALTUNG nur über die Internet-Verbindung INTERNET1 laufen, die Internet-Zugriffe aus dem Netz GAESTE sollen ausschließlich über die Internet-Verbindung INTERNET2 laufen.
Um dies zu realisieren müssen in der Firewall zwei entsprechende Regeln angelegt werden.
1. Öffnen Sie den Konfigurationsdialog des LANCOM-Routers und wechseln Sie in das Menü Firewall/QoS → Regeln → Regeln....
2. Klicken Sie auf Hinzufügen... und vergeben Sie in der Registerkarte Allgemein einen Namen für die Firewall-Regel (hier: INTERNET_VERWALTUNG).
2. Stellen Sie in der Registerkarte Aktionen das Aktions-Objekt ACCEPT ein.
3. Wählen Sie unter Verbindungs-Quelle die Option Verbindung von folgenden Stationen und fügen Sie mit Hinzufügen... die benutzerdefinierte Station VERWALTUNG hinzu.
4. Wählen Sie unter Verbindungs-Ziel die Option Verbindung von folgenden Stationen und fügen Sie mit Hinzufügen... die benutzerdefinierte Station INTERNET1 hinzu.
5. Speichern Sie die Firewall-Regel dann mit der Schaltfläche OK.
6. Klicken Sie in der Firewall-Liste erneut auf Hinzufügen... und vergeben Sie in der Registerkarte Allgemein einen Namen für die zweite Firewall-Regel (hier: INTERNET_GAESTE).
7. Stellen Sie in der Registerkarte Aktionen das Aktions-Objekt ACCEPT ein.
8. Wählen Sie unter Verbindungs-Quelle die Option Verbindung von folgenden Stationen und fügen Sie mit Hinzufügen... die benutzerdefinierte Station GAESTE hinzu.
9. Wählen Sie unter Verbindungs-Ziel die Option Verbindung von folgenden Stationen und fügen Sie mit Hinzufügen... die benutzerdefinierte Station INTERNET2 hinzu.
10. Speichern Sie die Firewall-Regel dann mit der Schaltfläche OK.
11. Die Konfiguration der Firewall-Regeln ist damit abgeschlossen.
12. Bestätigen Sie alle Konfigurationsdialoge mit der Schaltfläche OK und schreiben Sie die Konfiguration in den LANCOM Router zurück.
13. Die Konfiguration dieses Beispiel-Szenarios ist damit abgeschlossen. Testen Sie bitte die Funktionalität.



  • Keine Stichwörter

Alle LANCOM Produkte und Software-Versionen unterliegen dem LANCOM Software Lifecycle Management.
Informationen erhalten Sie auf unserer Webseite unter https://www.lancom-systems.de/produkte/firmware/software-lifecycle-management

© 2019-2024 LANCOM Systems GmbH