Fritzbox per Gastzugang auf 2x Ubnt AP AC Pro

Swp2000

Swp2000

Enthusiast
Thread Starter
Mitglied seit
03.06.2006
Beiträge
7.930
Ort
Baden-Württemberg
Hallo Leute,

Kurzer Aufbau des Netzwerkes. Im Keller hängt die Fritzbox, welche mit 2 Kabel am Haupswitch angeschlossen ist (LAN Heimnetz, LAN4 Gastnetz). Für das Gastnetz habe ich ein VLAN 100 eingerichtet und dieses an die Ubiquiti Als weitergereicht (EG und OG). Diese sollen beide einmal das Heimnetz mit einer SSID versorgen und zum anderen ein zweites (Gastnetzwerk) bereitstellen. Soweit funktioniert das mit der VLAN Konfiguration (ich bin Laien)schonmal. Die Gäste bekommen aus dem IP Bereich 192.168.179.x das Internet durchgereicht. Was jedoch nicht funktioniert ist die Captive Portal Einstellungen sobald ich dort den Haken setzen. Kann mir jemand sagen wieso das so ist und wie ich dies richtig konfigurieren muss?
Anbei zwei Screens die die Einstellungen demonstrieren:
large.png
Setze ich nun wie der folgende Screen zeigt den Haken "Gast Portal" ist die Internetverbindung weg.
large-2.png
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Das die Fritzbox VLAN kann wäre mir jetzt neu. Sicher das das so funktioniert? Für das Portal musst du den Controller laufen haben und die APs brauchen auch Zugriff darauf ;)
 
VLANs für die SSIDs sind eigentlich nicht nötig für die Guest-Control.
Um zu verhindern, dass Clients aus der Gäste-SSID ins Netz kommen, musst Du das IP-Netz unter Guest-Control -> Access Control -> Post Authorisation Restrictions eintragen
Damit gelangen die Clients nur zum Default-GW und somit ins I-Net.

Das Setup ist viel einfacher...von da würde ich starten....dann gibt bes genug HowTos im Netz, wie das mit dem HotSpot für die Gäste funzt.
 
KurantRubys schrieb:
..Sicher das das so funktioniert? ..
Zum Vergrößern anklicken....

Ja, das funktioniert, beide Netze getrennt untagged in den Switch, beim OP wahrscheinlich Vlan 1 und 100, dann ein Port tagged zum AP. Die Fritte bekommt davon nichts mit.

- - - Updated - - -

hominidae schrieb:
... Um zu verhindern, dass Clients aus der Gäste-SSID ins Netz kommen, musst Du das IP-Netz unter Guest-Control -> Access Control -> Post Authorisation Restrictions eintragen ...
Zum Vergrößern anklicken....

Klar funktioniert das, die Lösung mit den VLans hat aber den Vorteil das Du ein Gastnetz sowohl verkabelt als auch per Funk in der ganzen Hütte zur Verfügung hast wo auch Clients innerhalb des Netzes miteinander kommunizieren können... isolieren kannst Du ja immer noch
 
Zuletzt bearbeitet:
...der Vorteil das Clients innerhalb des Gastnetzes untereinander kommunizieren können ist eher gering.
Die Clients der Haupt-SSID können selbstverständlich untereinander kommunizieren.

...und ja, natuerlich geht das, aber man muss es eben im Switch auch richtig machen...wenn das Portal eingeschaltet wird und die Hauptnutzer kein I-Net mehr haben, ist da doch was faul.
Um Gastnetz mit Portal und I-Net für Alle zu haben, braucht es erstmal kein VLAN...das Setup ist weniger komplex, weil die Switch-Konfig aussen vor bleibt.
Mein Vorschlag an den TE war eben, es erstmal damit zu versuchen...wenn es läuft, kann man die Gast SSID auf VLAN umstellen und Gast-LAN der Fritz mit dem Switch/VLAN einkoppeln.
 
Ich poste gleich mal Bilder der Switch Konfiguration.
Die Hauptnutzer kommen ja ins Internet. Das ist nicht das Problem. Das normale Heimnetzwerk funktioniert einwandfrei. Jedoch wie oben beschrieben. Wenn ich das Guest Portal aktiviere hat das Gastnetz kein Internet mehr. Deaktiviere ich das Gastportal, hat das Gastnetz wieder Internet. Mit Gastportal meine ich den Haken oben im Screenshot, nicht in der FB.
Ja der Controller läuft bei mir auf dem NAS!!!


Hier die Einstellungen vom Hauptswitch. Hier ist das Gast-LAN der Fritzbox auf Port 12 (VLAN100)
Bildschirmfoto 2018-08-11 um 11.23.40.jpg
Bildschirmfoto 2018-08-11 um 11.24.10.jpg
Von dort, deswegen sind Port 2 und 4 getagt, geht es ins Erdgeschoss direkt an den Accesspoint (UBNT, Port 4)
Während Port 2 vom Hauptswitch an den Netgear Switch an Port 1 geht. An diesem Switch hängt an Port 5 der zweite UBNT Accesspoint.
Bildschirmfoto 2018-08-11 um 11.22.26.jpg
Bildschirmfoto 2018-08-11 um 11.22.43.jpg
 
Zuletzt bearbeitet:
Swp2000 schrieb:
Wenn ich das Guest Portal aktiviere hat das Gastnetz kein Internet mehr. Deaktiviere ich das Gastportal, hat das Gastnetz wieder Internet.
Zum Vergrößern anklicken....

....aber das ist doch erstmal normal...die Gäste müssen sich ja im Portal erstmal "aktivieren", wie zB in einem Hotel.
Dazu muss halt ein Gast das Portal ansurfen ... üblich ist, dass ein redirect auf das Portal stattfindet, der aber meist nur für http- und nicht für https-URLs funktioniert.
 
Genau. Nur öffnet er kein Portal sondern es kommt eine leere Seite In der https durchgestrichen ist.
Kann oder muss man das irgendwo umstellen? Oder was muss ich hier tun?


Gesendet von iPhone mit Tapatalk Pro
 
...wenn ich mir Deinen Screenshot von oben angucke, dann ist mit nicht klar, ob Du alles konfiguriert hast, was Du angeklickt hast (Icons usw).
Du hast die flexibel einstellbare "Begrüssungseite" mit AngularJS gewählt...probier doch erstmal "LegacyJS"....und vermeide Umlaute usw, nur um sicher zu sein.

Ausserdem ist der Hinweis aus der Anleitung wichtig: UniFi - Wireless Guest Network Setup Ubiquiti Networks Support and Help Center
5. Access Control allows you to define subnets necessary for devices to be able to access before and after authorization. An example of a case in which Pre-Authorization Access can be useful is ensuring that devices can access the Guest Portal before being Authorized—to do this, simply define the subnet that contains the Guest Portal IP address.
Zum Vergrößern anklicken....

...hast Du das so gemacht? Dein Controller ist auf dem NAS und nicht im Gäste-Netzwerk ;-)
 
Also wenn ich dich richtig verstanden habe, muss ich zuerst bei Pre Authorization die Heimnetz IP-Adresse eintragen in der das NAS ist! Das habe ich gemacht wie das anschließende Screenshot zeigt. Dann habe ich zudem bei Post Authorization ebenfalls das Heimnetzwerk eingetragen damit die Gäste nicht mehr auf dieses Netzwerk können.
Ob Angular JS oder Legacy JS spielt übrigens keine Rolle. Ich bekomme nach der Anmeldung am Guest-Netzwerk keine Portal geöffnet wenn ich Chrome oder Safari öffne sondern lediglich der Hinweis das diese Seite nicht sicher ist. "net::ERR_Cert_Common_Name_invalid"
Bildschirmfoto 2018-08-27 um 10.39.14.png
 
Zuletzt bearbeitet:
Das liegt dann daran das du das selbst erstellte Zertifikat des Controllers nutzt, da hilft entweder nur n richtiges Zertifikat einspielen oder alternativ die "HTTPS Redirection" deaktivieren. Problem gelöst :)
 
Generell werden die Clients bei der Konstellation aus dem Gastnetz nicht auf das Portal zugreifen können. Dafür müsste die FritzBox aus dem .179.* IP-Bereich in dein Heimnetz zum NAS routen können - das kann man aber afaik ohne Freetz nicht entsprechend konfigurieren. Mit abgetrenntem Gastnetz bräuchtest du dafür einen vollwertigen Router. Kannst ja spaßeshalber mal den Traffic mit Wireshark mitschneiden und gucken, welche Seite er bei dem "leeren" Bildschirm eigentlich aufrufen will...
 
KurantRubys schrieb:
Das liegt dann daran das du das selbst erstellte Zertifikat des Controllers nutzt, da hilft entweder nur n richtiges Zertifikat einspielen oder alternativ die "HTTPS Redirection" deaktivieren. Problem gelöst :)
Zum Vergrößern anklicken....

Den Haken bei Https Redirect habe ich schon Rausgenommen jedoch bringt das auch nichts.

Ansonsten die Konstellation von Post und Pre Authorization stimmt so?
Demnach geht das mit der Fritzbox mit dem Portal garnicht?
Was für eine Einstellung fehlt den dazu?


Gesendet von iPhone mit Tapatalk Pro
 
Swp2000 schrieb:
Demnach geht das mit der Fritzbox mit dem Portal garnicht?
Was für eine Einstellung fehlt den dazu?
Zum Vergrößern anklicken....

Die Freigabe des .178.*-Netzes ist da eigentlich schon der Wink in die richtige Richtung. Ein Client meldet sich an deinem Gast-Wifi an, der erste Aufruf wird durch den AP auf das Portal begrenzt/umgeleitet, das wiederum auf deinem Controller im Heimnetz abrufbar ist. Der Client ist aber mit dem Gast-Wifi verbunden, hat demnach zugriff auf .179.1 und das Internet, nicht aber auf deinen Controller. Dass du das entsprechende Subnetz freigibst sorgt dafür, dass der AP diese Anfragen durchlässt, nicht aber dafür, dass der Client den Controller auch erreichen kann. Dafür müsste die Fritz!Box das ebenfalls wissen und Anfragen an die IP deines Controllers im .178.*-Netz aus dem .179.*-Netz zulassen/routen. Das tut sie aber nicht.

Nutzt man den Unifi Security-Gateway werden die entsprechenden Routing-Einträge automatisch gesetzt, wenn das Portal aktiviert wird. Bei der Fritz!Box gibt es diese Möglichkeit mit Stock-Firmware afaik nicht.

Gruß,
Lino
 
Ergo mit der FritzBox out of the Box nicht nutzbar. Also führt kein Weg vorbei an einem USG bei dieser von mir gewollten Konfiguration?

Dann muss ich wohl oder übel das Gastportal deaktivieren.


Gesendet von iPhone mit Tapatalk Pro
 
Muss jetzt nicht unbedingt eine USG sein, Mikrotik und Ubnt haben da auch noch günstigere Alternativen im Angebot, deren Firewalls/Routen sich entsprechend modifizieren lassen. Ein Beispiel wäre der Edgerouter X, gibt's für um die 45€...

Alternativ müsste es, wie gesagt, auch mit Freetz auf der Fritz!Box gehen. Damit hab ich allerdings keine Erfahrungen ;-)
 
Alles klar. Danke für Deine/Eure Hilfe in dieser Sache.


Gesendet von iPhone mit Tapatalk Pro
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh