Gäste-WLAN

Mit ein Grund, warum ich mir den Unifi AP AC Pro gekauft habe – oder generell einen professionellen WLAN-Access-Point – ist der Wusch, ein separates Gäste-WLAN aufmachen zu können. Gut, dass kann die FritzBox auch, aber nur, wenn man sie auch als Router benutzt – und das ist bei mir schon länger nicht mehr der Fall.

Dem Access-Point kann man über die Oberfläche des Unifi Controllers recht einfach beibringen, ein weiteres WLAN aufzumachen. Man muss lediglich eine weitere SSID mit entsprechendem Passwort konfigurieren und dieser zusätzlich eine VLAN-ID hinterlegen.

Auf dem Router – bei mir ein MikroTik hEX – habe ich das ganze ein wenig aufwändiger gestaltet. Hier ist eine neue Gäste-Bridge konfiguriert worden, auf welcher dann ein neuer DHCP-Server, die VLAN-Interfaces und zusätzlich noch ein echtes Interface liegen. Über die auf dem Access-Point konfigurierte VLAN-ID und das auf einem normalen LAN-Port basierenden VLAN-Interface auf dem Router ist die Kommunikation zwischen den zwei Geräten „ausbruchsicher“ hergestellt. Der Router hat auf der Bridge ebenfalls eine IP-Adresse aus dem Gästenetz bekommen. Aufpassen muss man hier, dass man auch die entsprechenden Firewall-Regeln erstellt, dass die Gäste zum einen keinen Zugriff auf irgend ein anderes Netz haben, sondern nur auf’s Internet, und zum anderen aber auch nicht auf den Router selbst zugreifen dürfen, da dieser ja eine IP-Adresse aus dem Gästenetz hat.
Zwei Ausnahmen gibt es aber bei mir. Die eine Ausnahme ist, dass aus dem normalen LAN auf das Gästenetz zugegriffen werden darf. Die andere Ausnahme sind meine privaten Server. Der DNS-Server ist – auch im Gästenetz – mein Router und hier sind einige DNS-Einträge mit lokalen IPs hinterlegt, so dass der Traffic direkt über’s LAN die Dienste erreicht. Nun liegen diese Dienste aber im normalen LAN, so dass hier explizite Ausnahmen für Traffic aus dem Gästenetz geschaffen wurden.

Da ich von meinem DSL-Provider ein 29er IPv4 und ein 48er IPv6 Netz bekommen habe, hat das Gästenetz eine eigene ausgehende IPv4 Adresse und ein eigenes IPv6 64er Netz, so dass auch das Gästenetz per DualStack angebunden ist. Alles andere vorher beschriebene natürlich ebenfalls per DualStack.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.