Gast W-lan – Access Point – Vlan – Switch Teil 1 (Übersicht)

  Eine Herausforderung ist es zuhause für Freunde und Gäste Internet bereit zustellen ohne Zugriff auf die eigenen Daten zu gewähren. Für die kleinen Lösungen kann man ohne Probleme eine Fritzbox nehmen. Diese bietet die Gast Wlan Funktionalität an. Hier können sich dann die Gäste einloggen und auf das Internet zugreifen. Alle anderen Dienste im eigenen Netz sind von dort aus nicht erreichbar.

Der einzigste Nachteil ist, das es für alle Gast User ein und dem selben User und Passwort gibt. Entweder man ändert dieses immer wieder und gibt es dann immer wieder weiter, oder irgendwann hat jeder das Passwort.

Sobald man aber mehrere W-Lan Access Point betreiben will, oder explizit für jeden User Passwörter vergeben möchte, oder auch einzelne Dienste wie eine Public Freigabe zum austauschen von Dateien möchte, kommt man mit der Fritzbox Lösung schnell an seine Grenzen.

Hier gibt es aber eine Möglichkeit das recht kostengünstig umzusetzen, aber die Maximale Flexibilität zu haben.

Meine Hardware Konstellation ist wie folgt, 6 W-Lan Access Points (wegen der Flächen Abdeckung), ein Gast W-Lan, ein Home W-Lan, sowie ein abgeschlossenes Lan und W-Lan für Schwiegereltern, zwei NAS Server für die Zentrale Datenhaltung, einige Lan Video Kameras (Netzkabel liegt öffentlich zugänglich).

Funktionen:

Für GäVlanste biete ich via  Gast W-Lan Internet Zugriff an sowie die Möglichkeit Files auf einem Public Laufwerk auszutauschen. Die Autorisierung erfolgt über ein Radius Server, so das jeder Nutzer sein eigenen W-Lan Daten hat, die ich ggf auch sperren kann. Das Gast Netz wird via DHCP mit IP Adressen versehen.

Meine Schwiegereltern nutzen nur das Internet via SmartPhone bzw Tablet und einem Rechner. Hier gibt zusätzlich noch Zugriff auf das NAS für Bilder und Filme und dem Home Laufwerk zwecks zentraler Sicherung. Auch hier wird für das W-Lan für jeden Client ein User benutzt. Das Netz ist ansonsten hier komplett abgeschlossen.

Meine Lan Video Kameras zu Überwachung von Türen sowie der SIP Türsprechstelle sind ausserhalb des Hauses angebracht. Damit sich niemand an die bestehende Verkabelung einklinken kann wurde dieses Netz auch separiert.

Zum Schluss gibt es noch das Home (Heim) Netz mit allen eigene Clients, NAS etc. Hier gibt volle Rechte auf alles.

Damit man nicht für alles extra Hardware benötigt wie W-Lan Access Point Switche etc, ist das ganze mit Vlans geregelt. Diese bieten die Möglichkeit einen Switch virtuell in mehrere aufzuteilen. Dies gilt auch für UP Links zu anderen Switchen. Ein Vlan kann somit auf 2 getrennten Switchen liegen ohne das diese beiden Vlan Segmente miteinander kommunizieren können. Das Gleiche geht dann auch mit den W-Lan Access Points. Hier teilen sich alle Clients die gleiche Hardware können aber untereinander nicht zugreifen bzw je nach dem welches SSID (Gast Home etc..) genutzt wird nur die Dienste nutzen die für sie gedacht sind.

Damit aber die Vlans miteinander kommunizieren können benötigt man noch eine Routing Instance. Entweder investiert man in einen teuren Level 3 Switch der das von Haus aus kann, oder man nimmt wie ich einen Raspberry PI (3) der hier als Router fungiert. Das hat noch einen weiteren Vorteil, das man hier noch Zusatz Dienste wie Radius, DHCP, NTP, sowie Firewall Regeln (Zugriff auf nur vereinzelte Dienste), Proxy, Webfilter, Werbeblocker, etc abbilden kann. Und für 34 € Mehrkosten gibt es hier eine Menge Funktionen.

Man muss aber bedenken das dann jeglicher Trafik durch den Raspberry geht. Mit nur einer 100 Mbit Schnittstelle kann das bei FiletransfersÜbersicht zu Engpässen führen. Aus diesem Grund ist das NAS etc im eigenen Heim Netz ohne das der Raspberry hier mitspielt. Nur wenn Gast User oder auch Schwiegereltern hier zugreifen würde das zutreffen. Das bischen Internet sollte aber händelbar sein.

In den nächsten Teilen werde ich Step bei Step erklären wie es umgesetzt ist.  Danach sollte jeder in der Lage auch ggf. Anpassungen in der Konstellation zu machen und ggf. die Settings anzupassen. Die einzelnen Teile bauen aufeinander auf !

Ab hier geht es jetzt Step by Step weiter.

2 Gedanken zu „Gast W-lan – Access Point – Vlan – Switch Teil 1 (Übersicht)“

Kommentar verfassen