Gast WLAN auf AccessPoint einrichten

[ziegler]

Hallo,

ich bin Einsteiger was opnsense und Netzwerke angeht.
Aber ich interessiere mich allgemein für IT Sicherheit und möchte aus Interesse ein GAST-WLAN einrichten um einen Saugroboter aus China etwas besser unter Kontrolle zu haben. Ich will das Gerät nicht in meinem allgemeinem WLAN haben.

Ich habe einen 10 Jahre alten AccessPoint aus dem "Müll" gerettet und mit openwrt wieder neues Leben gegeben.

Meinen Netzwerkplan habe ich im Anhang hochgeladen.
Es ist eigentlich eine einfache Struktur, ein Vodafone Kabelanschluss mit der VodafoneStation im Bridge-Modus, daran
per DHCP die opnsense die insgesamt 3 LAN Schnittstellen hat. Eine WAN, die an der Vodafone Station hängt, eine die als LAN fungiert und eine die als WLAN fungiert.

An der WLAN Schnittstelle ist eine AccessPoint Aerohive121 mit openwrt angeschlossen. Der Aerohive121 ist ein reiner AccessPoint und hat nur 1 LAN Schnittstelle.

Hier ist das Gerät verlinkt: https://openwrt.org/toh/aerohive/ap121

Jetzt gibt es Anleitungen bei openwrt wie man ein Gast WLAN einrichtet, aber das bezieht sich eigentlich immer auf Router mit mehreren Netzwerkschnittstellen. Dort werden dann vlans erstellt usw. Den Eintrag SWITCH z.B. habe ich auch gar nicht in openwrt bei mir.

So wie ich das in dem Link vom Gerät sehe, beherscht der Aerohive121 keine vlans. Bei vlan steht da ein umgedrehtes Fragezeichen.

Es gibt auch Anleitungen wie man das ohne vlan hinbekommen kann, jedoch ist da dann immer eine WAN-Schnittstelle im Spiel. Diese habe ich ja eigentlich auch nicht. Auch habe ich die Firewall, DNS und DHCP auf dem Aerohive121 abgeschaltet weil ich ja die opnsense habe. Die macht DHCP, DNS und Firewall auf dem WLAN Interface.

Das mit der fehlenden WAN Schnittstelle beschreibt auch jemand im openwrt Forum so: https://forum.openwrt.org/t/archer-c7-v5-0-access-point-with-separate-guest-wifi/137061/4

Code: [Select]

That's a problem because you cannot differentiate lan/wan by firewall zone since your Internet connection is provided by lan, not wan.

I do the guest routing on the main router in the basement (which does not have WiFi at all) and use tagged VLANs to have both zones, i.e. lan and guest, available at the AP. My APs only have one single Ethernet connection. Is this similar to your setup?
Meine Frage:

Ist es möglich auf der opnsense ein vlan zu erstellen, welches ich z.B. dann eine IP 192.168.3.1 gebe um dann auf dem Accesspoint an der einen LAN-Schnittstelle die ja aktuell 192.168.2.2 hat noch zusätzlich die IP 192.168.3.2 habe um ein Gast WLAN zu erstellen? Oder muss der Aerohive121 dafür vlan Fähigkeiten haben.

Ich frage das weil mir vlans noch überhaupt nicht vertraut sind.
Auch finde ich diesen Lösungsansatz schöner, weil der Aerohive121 soll eigentlich nur ein "dummer" AccesPoint bleiben, ohne extra Firewall, DHCP usw. Weil dann müsste ich 2 Firewalls verwalten.

Vielen Dank

[micneu]

ich setze swar eine pfsense ein aber hatte vorher auch eine pfsense.
- mit openwrt kann ich dir nicht helfen da musst du wohl in deren forum fragen (hat ja auch nichts mitr der sense zu tun)
es ist ganz einfach:
- in der sense erstellst du ein vlan auf deinem lan interface
- das vlan auch entsprechend auf dem switch und auch im ap erstellen
ich habe das so am laufen, hier mein netzwerkplan wie ich es bei mir habe
 

[Bob.Dig]

ich bin Einsteiger was opnsense und Netzwerke angeht.

Viel Glück!
https://youtu.be/qeuZqRqH-ug?t=817

[ziegler]

Vielen Dank.

Mein vorhaben wird dann über vlans realisierbar sein, vorrausgesetzt der openwrt AP kann mit vlans umgehen.
Wenn dem so ist, sollte das wie im verlinkten Video möglich sein.

Also ein vlan auf der opnsene auf dem LAN Interface erstellen und dann das entsprechende Gegenstück auf dem openwrt.

Die Berechtigungen was dann im neuen Gastwlan erlaubt ist erfolgt dann über die Firwall der opnsense.
Auf dem openwrt lass ich die Firewall deaktiviert.

Ich werde mich da mal entsprechend einlesen.

Thanks

[mueller]

Hi,

ich habe ebenfalls einen AP mit OpenWRT hier zu Hause laufen.
Die Frage eines Gast-Netzes stellte sich mir auch.
Ich habe es folgendermaßen hinbekommen:

(1) Ein neues WLAN-Netzwerk anlegen:
      > bei: radio0 > Add
      General Setup
      > Wireless Network is enabled
      > Operation frequenty: N > 11 (2462 MHz) > 20 MHz   # war schon so eingestellt
      > Maximun transmit power: driver default   # war schon so eingestellt
      > Mode: Access Point   # war schon so eingestellt
      > ESSID: Wireless Name eintragen
      > Network: custom > gast
      > Hide SSID: keinen Haken   # war schon so eingestellt
      > WMM Mode: Haken setzen     # war schon so eingestellt
      Wireless security
      > Encyption: WPA2-PSK   # NEU: mixed WPA2/WPA3 PSK, SAE (CCMP)
      > Cipher: auto   # war schon so eingestellt
      > Key: ***
      Advanced Settings
      > Country Code: DE Germany
      > Allow legacy 802.11b rates: Haken setzen   # war schon so eingestellt

(2) Neues „Gast-Interface“ bearbeiten
      network > interfaces > GAST > edit
      static adress > switch to protocoll
      protocoll: static address
      IPv4 Adress: 192.168.2.1   # z.B.
      IPv4 netmask: 255.255.255.0

      DHCP Server aktivieren:
      oben den Tab   DHCP Server: aktivieren

      neue Firewall-Zone einrichten:
      oben Tab   Firewall Settings   > custom > gast

(3) Neue Firewall-Zone bearbeiten:
      Network > Firewall > gast > edit
      Name: gast
      Input: reject
      Output: accept
      Foreward: reject

      Covered networks: gast
      Allow foreward destination zones: lan

(4) Übersicht:
      Network > Firewall
      ACHTUNG: Haken unter Masquerading bei:
      lan → wan
      wan → reject
      bei: gast → lan   # KEINEN Haken

(5) Firewall-Regeln setzen:
      > Network > Firewall > Traffic Rules > add

      Name: gast-dhcp
      Protocoll: UDP
Source zone: gast
      Source Adress: --add IP--
      Source port: any
      Destination zone: Device (input)
      Destination Address: --add IP--
      Destination Port: 67-68
      Action: Accept

      Name: gast-dns
      Protocoll: TCP+UDP
Source zone: gast
      Source Adress: --add IP--
      Source port: any
      Destination zone: Device (input)
      Destination Address: --add IP--
      Destination Port: 53
      Action: Accept

      Name: verweigern
      Protocoll: any
Source zone: gast
      Source Address: --add IP--
      Source port: any
      Destination zone: lan
      Destination Address: 192.168.10.0/24   # Netzwerk auf das nicht zu gegriffen werden darf
      Action: drop

ANMERKUNG: Nachdem ich das so eingerichtet habe, konnte ich unter: Network > Interfaces   die WAN-Schnittstellen löschen (unter:   Network > Firewall   waren die Einstellungen (s.o.) noch erhalten

im Wesentlichen habe ich mich an folgende Anleitung mit leichten Abweichungen gehalten:
https://openwrt.org/docs/guide-user/network/wifi/guestwifi/guestwifi_dumbap

Bei mir funktioniert das sehr gut :-)

[ziegler]

ich habe es mal mit dem vlan versucht, aber dann haben meine clients keine IP mehr von der opnsense bekommmen.

@mueller
Dein AP, hat der auch nur einen LAN-Schnittstelle?
Die WAN-Schnittstelle auf meinem AP verstehe ich sowieso nicht, weil ich habe die ja eigentlich gar nicht, weil nur
ein LAN was mit der opnsense verbunden ist.

Bei Deiner Lösung ist es so das auf dem AP dann die Firewall und er DHCP aktiv ist, die opnsense also quasi
damit gar nichts zu tun hat?

Wenn das so klappt finde ich die Lösung gut, weil dann ist es ja auch möglich den Clients den Zugriff auf das LuCI interface z.B. zu verbieten. Über die opnsense geht das ja so nicht, weil die ja hinter dem AP hängt.

Aktuell habe ich auf dem AP die Firewall, DNS und DHCP ausgeschaltet.

Ich werde das mal über Deinen Lösungsweg versuchen.

Gibt es da denn Vor oder Nachteile, z.B. wenn man es über ein vlan über die opnsense macht oder wenn man den Weg wie hier beschrieben wählt?

[mueller]

Genau, die OPNsense ist hier außen vor.
Das "Gast-Wlan" wird nur auf der Ebene von OpenWRT konfiguriert.
Man schafft so einen Bereich, der abgeschirmt ist, eben nur für die Gäste (wie auch in der Beschreibung unten zu lesen ist).
In  meinem "Heimnetz" fahre ich damit ganz gut.

[ziegler]

Ich weiss das ist jetzt kein opnsese Ding, aber ich frage trotzdem.

Bei Punkt 2: In openwrt bei Neues „Gast-Interface“ bearbeiten, da gibt es dann ja noch den Punkt "Device".
Trage ich da dann nichts ein oder trage ich da das vorher erstellte "wireless Network" ein?
Gateway lasse ich auch weg weil ich später in der Firewall unter Punkt 4 den Haken bei Masquerading mache?

Ohne Gateway bekomme ich ja kein DNS von der opnsense.

[mueller]

Guten Morgen,
so wie es aussieht, hat sich die GUI im Laufe der Zeit leicht verändert.
Unter:
network > interfaces > GAST > edit > General Settings > Device

... habe ich hier: unspecified stehen - also nichts eingetragen.
Das Gateway steht da schon leicht "ausgegraut" - wird also automatisch eingetragen.

Ich denke alle weiteren Fragen betreffen OpenWRT und sind sicherlich in diesem Forum besser aufgehoben:
https://forum.openwrt.org/

[ziegler]

Ich werde das mal am Wochende in Ruhe angehen.

Vielen Dank schon mal :-)