vlan WLAN AccessPoint

[ziegler]

Guten Tag,

ich möchte mein internes Netz ein wenig sicherer machen und habe dazu eine Verständnisfrage.
Ich habe eine opnsense mit 3 Netzwerkanschlüssen.

An Port 1 (WAN) hängt das Kabelmoden (in Bridgemode)
An Port2 (LAN) direkt mein einziger PC
An Port 3 (WLAN) ein AccessPoint

An diesem AccessPoint sind 3 WLAN fähige Geräte verbunden, 1 Smartphone, ein Tablett und ein Saugroboter.
Den AccessPoint konnte ich so einstellen das es keinen Zugriff von WLAN auf LAN gibt.
Auf der opnsense habe ich dann eine FW-Regel erstellt die keinen Zugriff von LAN auf WLAN ermöglicht.
Das klappt auch alles wunderbar.

Jetzt möchte ich aber noch den Saugroboter von den anderen WLAN Endgeräten isolieren.
Weil die WLAN Geräte sehen sich ja untereinander, ich kann z.b. vom Tablett aus den Saugroboter anpingen.

Brauche ich dafür einen weiteren AccessPoint um ein eigenes WLAN-Netz nur für den Saugroboter zu erstellen?
Oder kann ich auf dem Port 3 (Wlan) sogenannte VLAN's erstellen, in meinem Fall 2 Stück.
VLAN1 für den Saugroboter und VLAN2 für die anderen Geräte?
Und diese dann so einstellen das VLAN1 von allem isoliert ist aber trotzdem natürlich Zugriff auf den AccessPoint hat?

Der Saugroboter muss leider für die Raumkarte mit der Chinacloud komunizieren, deshalb will ich nur das der Internet hat und sonst nichts im LAN sehen darf.

Vielen Dank
 

 

[avanix]

Hallo,

kommt auf deinen Access Point an. Es gibt Geräte, die können mehrere SSIDs bereitstellen und diese jeweils einem anderen VLAN zuordnen. Unifi sollte das können, grandstream GWN7660 kann das oder eine FRITZ!Box 4040 mit Openwrt geflasht geht auch. Die Aufzählung ist nicht vollständig.

[ziegler]

Hallo,

danke für Deine Antwort.

Ich glaube ich verstehe das Prinzip jetzt.
Der AccessPoint muss mehrerer WLAN's (also SSID's) ausstrahlen können, in meinem Fall 2.
Aber 2 SSID's auf der gleichen Frequenz, z.B. 2,4 GHZ, oder ist das egal?
Dann stelle ich auf der opnsense an dem LAN Port der mit dem AccessPoint verbunden ist 2 VLAN's ein, so wäre eine Trennung möglich.

Jetzt habe ich einen recht günstigen ASUS AccessPoint, der kann 2,4 und 5 GHZ ausstrahlen.
Der Saugroboter funktioniert nur mit 2,4 GHZ.
Meine beiden anderen Clients funktionieren auch mit 5 GHZ.

Aktuell haben 2,4 GHZ und 5 GHZ die selbe SSID.
Wenn ich also jetzt für jede Frequenz einen eigene SSID einstelle und auf der opnsense zwei Vlan's konfiguriere, ist so
auch eine Trennung dann möglich?

Vielen Dank

[avanix]

Wie schon geschrieben muss dein AP auch VLANs unterstützen. Das ist unabhängig von der Frequenz. Du legst am LAN Port wo der AP angeschlossen ist zwei tagged vlans an und in der Konfigurationsoberfläche des AP ordnest du der jeweiligen SSID das VLAN.zu. Dein günstiger ASUS kann das aber wahrscheinlich nicht.

[ziegler]

Ok, dann scheitert es an meinem AccessPoint.
Der beherrscht keine vlans.
Werde dann in naher Zukuft diesen mal ersetzen.

Vielen Dank :-)

[avanix]

Denke auch daran, dass alle evtl. zwischengeschalteten Switche VLAN fähig sein müssen. Die billigen unmanaged Switche beherrschen das nicht. Ein Switch, der mit VLAN  funktioniert ist z.b. der TP-Link TL-SG108E.