Realisation Gast WLAN mit Fritz! Hardware

[Baender]

Hallo zusammen,

neues Jahr, neuer Anlauf mein OPNSense Projekt umzusetzen. Insbesondere jetzt, wo die Probleme mit der Telefonie durch den Betreiber behoben wurden.. Das war auch was..

Was mich aktuell noch davon abhält ist die Frage, wie zukünftig das Thema Gast-WLAN umgesetzt werden kann.
Aktuell gehe ich mit einer Fritz!Box, über einen ONT ins Internet. An die Fritz!Box sind zwei Fritz! 1200AX Repeater in ein Fritz!Mesh eingebunden. Über die Repeater wird sowohl das gängige WLAN ausgestrahlt, als auch ein zweites - das Gast-WLAN. Da ich zukünftig die Fritz!Box im Client-Modus betreiben will und darüber nur noch DECT abgewickelt werden soll, entfällt mit dem Modus auch die Aussendung von zwei WLANs. Zukünftig können die Repeater nur noch ein Netz ausstrahlen.

Ich kenne aus zahlreichen Blogs und Artikeln die Vorzüge von Ubiquiti und Co., möchte jetzt jedoch nicht schon wieder Geld in die Hand nehmen und meine Repeater ersetzen. Daher die Frage, welche Möglichkeiten es gibt, zu steuern, wer in welches Subnetz oder VLAN kommt. Gibt es vielleicht eine Möglichkeit per MAC Geräte in ein VLAN zu schieben und wenn die MAC nicht bekannt ist, in das Default VLAN zu schieben? Kann man da was mit einer Anmeldeseite machen? Und wenn ja, wie geht man mit dummen Geräten wie dem Fernseher um, der mit der Anmeldeseite nicht klarkommt?

Vielen Dank für Eure Hilfe.

[Patrick M. Hausen]

Da die AVM-Geräte keine VLANs beherrschen, existiert keine solche Möglichkeit. Sobald eine Fritzbox als IP-Client im LAN hinter einem fremden Router (Firewall) ist, gibt es nur noch eine SSID und ein WLAN.

Ein einzelner billiger kleiner AP, der an einem separaten Port der OPNsense hängt, wäre keine Lösung? Evtl. brauchen die Gäste ja nicht dieselbe räumliche Abdeckung wie das Produktiv-WLAN?

[Baender]

Danke für das Feedback. Ich habe mich jetzt etwas mit dem Ubiquiti UniFi U6+ angefreundet. Wozu ich jedoch nichts finde, sind Informationen zum Thema VLAN. Muss ich bei der Reihe etwas beachten? Gibt es Geräte, die kein VLAN oder nur eingeschränktes VLAN unterstützen? Oder ist es womöglich nicht möglich, auf dem Ubiquiti die VLANs einzurichten?

[Patrick M. Hausen]

M.W. können die Unifi-Geräte das alle. Du benötigst aber zwingend einen Unifi-Controller. Das ist ein kostenfreies Stück Software, das irgendwo in deinem LAN laufen muss.

Gibts als VM, als Docker-Container, als FreeBSD Package, sogar für die OPNsense aber ich würde keine komplexen Closed-Source Dienste auf meiner Firewall installieren. Musst du dann entscheiden. Wenn du irgendwas an Hypervisor hast, nimm eine VM wäre mein Tip.

[Baender]

Das ist ein wirklich wertvoller Hinweis. Danke! Wenn ich das richtig lese, ist der Controler theoretisch nur bei der Einrichtung wichtig und müsste nicht 24/7 laufen. Ist das richtig? Weiterhin scheint es wohl auch die Möglichkeit zu geben, via Smartphone App zu konfigurieren, wie ist da deine Meinung zu?

[Patrick M. Hausen]

Keine Ahnung, hier laufen Server 24x7  ;) Und Smartphone-Apps finde ich mehr als nervig.

[frgzn]

Wenn du Gäste-WLAN ohne entsprechende Unifi-Geräte (DM, CloudKey, ...) betreibst, muss der Controller m.E. laufen, außer wenn ich was verpasst habe-Korrektur: der Controller muss doch nicht ständig laufen. Du kannst ausschalten, wenn das Gäste-WLAN nicht gerade gebraucht wird und sonst keine Statistiken/Auswertungen in deinem Netzwerk machst.

Wie Patrick schrieb kannst du den Controller als Docker/Container (z.B. auf Proxmox) oder falls vorhanden auf irgendeinem Rechner/Server installieren, der bei dir im Netzwerk regelmäßig oder besser 24/7 läuft. Du kannst auch einen günstigen und stromsparenden Raspberry Pi dafür kaufen.

Die VLAN an sich werden zuerst in der OPNSense konfiguriert und ggf. geregelt. Dann erfolgen die Konfigurationen der Netzzuordnungen im Controller.

Der Controller ist eine wichtige und mächtige Komponente in Unifi-Netzwerken mit manchmal Schwächen in der Programmierung. Man weiß aber nicht, was sie alles machen kann. Daher würde ich sie auch nicht auf der OPNSense installieren.

Die Idee mit Smartphone-App ist m.M. generell nicht richtig aber auch gerade für Gäste-WLAN nicht zielführend.

[meyergru]

Der Unifi Controller muss nach Einrichtung nicht laufen, außer man nutzt Statistiken oder ein Gast-Portal. Bei reinem Gast-Zugang über ein VLAN ist das nicht notwendig.

Es gibt inzwischen den Unifi Express, da ist der Controller schon drin. Ich weiß allerdings nicht sicher, ob man einen Fremd-Router nutzen kann, müsste aber gehen,

[JeGr]

Der Unifi Controller muss nach Einrichtung nicht laufen, außer man nutzt Statistiken oder ein Gast-Portal. Bei reinem Gast-Zugang über ein VLAN ist das nicht notwendig.

Es gibt inzwischen den Unifi Express, da ist der Controller schon drin. Ich weiß allerdings nicht sicher, ob man einen Fremd-Router nutzen kann, müsste aber gehen,

Danke dafür, das war genau der Hinweis den ich auch noch geben wollte.

Ubiquiti hat das aber sogar geändert, dass man für einen einzelnen AP noch einen Controller braucht. Das geht inzwischen auch mittels Smartphone App direkt bzw. den Controller einmalig auf nem Laptop installieren. Dann wird der AP adoptiert bzw. konfiguriert, kann dann insg. 4 SSIDs pro Radio abstrahlen (wenn man also keine kombinierten SSIDs macht mit 2.4/5GHz kann man 8 SSIDs verwenden, davon ist aber aus Performance abzuraten) und kann nebenbei auch mittels Radius an der OPNsense sogar mit WPA2-EAP umgehen und Enterprise WiFi machen wenn man das will. Aber ein SSID für intern und eines für Gäste sind damit ein Leichtes.

https://help.ui.com/hc/en-us/articles/12594679474071-Standalone-Access-Points-without-UniFi-

Aber wie gesagt, es ist nicht nötig dafür nen Unifi Express zu kaufen wenn man nur vor hat, einen einzelnen AP zu nutzen. Wenn man es auf 2 abgesehen hat, dann wäre es allerdings zu überlegen, ob man nicht zumindest noch einen Raspi mit Controller, oder eine Unifi Express Tupperdose bestellt :)

https://eu.store.ui.com/eu/en/collections/unifi-express/products/ux

[frgzn]

@Baender, @meyergru, @JeGr:
Ihr habt Recht, der Unifi Controller muss nach der Einrichtung nicht für den Betrieb des reinen Guest-Wlans laufen. Habe es oben korrigiert.

[JeGr]

Wie gesagt - weils viele nicht wissen - die Unifi Controller App auf Mobile kann auch einzelne Access Points konfigurieren ohne dass die nen Controller brauchen. Abgefahrene Roaming Konfigs gehen dann natürlich nicht, aber nen Standalone AP geht da problemlos.

[Baender]

Vielen Dank, für eure Eindrücke und Feedbacks.

Ich habe in der Tat vor, dass mehrere WLANs an einem AP ausgestrahlt werden sollen:
Privat, Gast, IoT und vielleicht irgendwann einmal Kinder..

Ich habe einen Server mit Proxmox und könnte auch ein Pi bereitstellen.
Arbeite mich im Moment in das Thema VLAN ein. Wobei die Herausforderung aktuell eher bei meinem TP-Link Managed Switch liegt.

[P4ulchen]

Vielleicht kann mir jemand in dem Zusammenhang weiterhelfen. Ich möchte das Gäste WLAN der FRITZ!Box nutzen, aber es besteht dann keine Internetverbindung. Es wird auch keine Adresse vom DHCP der OPNsense vergeben sondern eine andere. Die FRITZ hat kein DHCP. Das Setup ist Zyxel Modem - OPNSense - FRITZ!Box

Viele grüße

[Patrick M. Hausen]

M.W. unterstützt die Fritzbox kein Gast-WLAN, wenn sie selbst LAN-Client ist und nicht den Internetzugang bereitstellt.

[P4ulchen]

Das habe ich schon vermutet. Danke für die schnelle Rückmeldung.