Ubiquiti UniFi Network Controller – Mach mal schnell Gast-WLAN

In der Ubiquiti UniFi-Welt ist es schnell und enfach möglich, ein Gast-WLAN einzurichten.

  • Am “Ubiquiti UniFi Network Controller” anmelden.
  • Zu “Einstellungen – Drahtlos-Netzwerke” wechseln.
  • Auf “+ Neues Drahtlos-Netzwerk erstellen” klicken.
  • Die notwendigen Einstellungen wie “Name/SSID” und ob das WLAN offen oder verschlüsselt ist konfigurieren.
  • Relevat für ein Gast-Netzwerk ist der Haken bei “Gastrichtlinie – Gastrichtlinien anwenden (Portalseite, Gastanmeldung, Zugriff)

Nach einem Klick auf “Speichern” das das Netzwerk bereits aktiv und kann genutzt werden. Weitere Konfigurationsmöglichketen für die Gastrichtlinien findet man unter

Einstellungen - Gaststeuerung

An dieser Stelle lässt sich beispielsweise das Portal aktivieren oder regeln, auf welche Netzte der Gast (keinen) Zugriff hat.
Die hier beschriebene Methode ist nur der einfachste Weg ein Gast-WLAN einzurichten. Es gibt weiteraus mehr Optionen wie beispielsweise VLAN, Anmeldeseite, usw.

In der hier gezeigten Form erhält der Gast zwar eine IP-Adresse aus dem LAN, aber das Gerät kann nur mit dem Router zwecks Internet kommunizieren und nicht mit anderen Geräte im (W)LAN.

12 Kommentare

  • Hallo Andy,
    Danke für den Beitrag, aber ein, zwei Fragen hätte ich noch. Wie komplett muss das UniFi Netzwerk sein? also Gateway, Switch, Controller und AP oder geht es auch ohne Gateway?
    Wie ist sichergestellt das die Gäste aus Ihrem Wlan nicht „ausbrechen“?

    Danke
    Mfg Peter

  • Hallo Peter,

    das absolute Minimum ist ein Access Point (Hardware) samt Controller (Software), damit ist zumindest das im Beitrag skizzierte möglich.
    Das System regelt mit der Gastrichtlinie/Gaststeuerung, das der Client nur mit dem Router (muss nicht von Ubiquiti sein) zwecks Internet “reden” kann. In wie weit der Client auf andere Ressourcen zugreifen kann ist Sache der Zugriffskontrolle (zugelassene/gesperrte Hosts/Netze, “Quasi”-Firewall).

    Wenn man mehr machen möchte und in Abhängigkeit von diesem Umfang benötigt man das Gateway und idealerweise den Switch.

    Wie bereits vorweg erwähnt muss allerdings nicht für alles Hardware von Ubiquiti “herhalten”. VLAN geht vmtl. auch ohne UGS und USW, hab’ ich allerdings noch nicht getestet.

    Um sich einen Überblick zu verschaffen kann man die Doku studieren, den Controller installieren (keine Hardware erforderlich, an verschiedenen Stellen/Funktionen wird hervorgehoben, ob man ein USG benötigt) und natürlich im Netz recherchieren.

  • Die Zugriffskontrolle funktioniert (aktuell) nicht (mehr). Ping und Zugriff auf ausgeschlossene Host´s ist problemlos möglich. (Setup: diverse UniFi AP´s, Cloud Key, KEIN Gateway/Switches von Ubi)

    Daher habe ich mich zwangsweise mit VLAN´s in Verbindung mit Fremdherstellern auseinandersetzen dürfen, was in Verbindung mit einem Bintec Router einwandfrei funktioniert.

  • Hi,
    das es so einfach ist dachte ich mir auch. Sobald ich jedoch das Gastwlan aktiviere und speichere werde ich mit folgender Meldung im Controller zugespamt:

    /usr/sbin/hostapd beendet mit code 256

    Tausende dieser Meldungen. Das zweite WLAN jedoch taucht nicht zur Auswahl an meinen Endgeräten auf.

    Sobald ich das Gastnetz wieder lösche kommen auch keine Meldungen mehr.

    Ich bin am Ende meiner Künste. Bekomme es einfach nicht hin.

    Mein Setup: Fritz 7590, Switch 8-60W, AP AC Pro und einen drahtlos eingebundenen AC MESH Pro im Garten. Keinen USG!

    Hast du vllt eine Lösung?

    LG
    Ralf

  • Hallo Ralf,

    sorry für die späte Antwort.
    Habe es gerade bei mir nochmal durchgespielt und es funktioniert ohne Probleme.

    – Ist die aktuelle Network Controller-Version (5.13.29) installiert?
    – Ist ein kompatibles Java installiert? (siehe Ubiquiti UniFi Network Controller: Fehler beim E-Mail-Versand an SMTP-Server)

  • Hallo Andy,
    danke für die Antwort. Firmware des Controllers als auch des Aps sind aktuell. Java ist das neueste installiert auf dem Laptop. Dieser ist sogar neu. Der Controller läuft bei mir auf dem Cloud Key Gen 2 Plus. Habe nun auch seit dem Wochenende den AP Pro upgegradet auf den nanoHD. War insgesamt n gutes Upgrade, jedoch funktioniert das Gastnetz trotzdem nicht. Immer noch gleicher Fehler. Ich gebs auf.

  • Welche Java genau ist installiert? Der Controller “mag” nur JRE 8.

  • Version 8 Update 251 (Build 1.8.0_251-b08) Ist das der Richtige?

  • Läuft bei mir auch. Evtl. mal ins Log des Controllers schauen, evtl. lässt das Rückschlüsse zu.

  • Hallo Andy, mich würde es interessieren, wie ich die IPs für die Beschränkung einstellen soll.
    Mein Router hat die IP 192.168.100.15. Der DHCP-Bereich für Clients liegt zwischen 192.168.100.30 bis 192.168.100.60 – Vor 192.168.100.30 gibt es feste IPs für Drucker und Nas.
    Wie kann ich diese Bereiche am besten schützen?
    Danke für Tipps!

  • Steht im Beitrag (letzter Satz):

    “In der hier gezeigten Form erhält der Gast zwar eine IP-Adresse aus dem LAN, aber das Gerät kann nur mit dem Router zwecks Internet kommunizieren und nicht mit anderen Geräte im (W)LAN.”

    Noch besser ist es natürlich, ein eigenes Subnetz (oder VLAN) für die Gäste zu machen, damit da gar nichts aus dem LAN mit dem Gast in Berührung kommt.

  • Johanna Asaeda

    Hallo Andy,

    Sie schreiben als IT-Professionell hilfreiche Artikeln für Leute, damit die Leute manches selber können. Ich wollte Sie fragen, was Sie dazu sagen würden:

    Wir haben ein kleines Gästehaus. Da sind 6 APs von Unifi. Ich habe viel gelesen, was großzügige und kompetente Leute wie Sie im Internet schreiben bzw. in Foren gefragt, und bin bisher ziemlich klar: ich habe 3 VLANs: VLAN11 für Gäste mit captive portal, VLAN15 für andere Sorte von Gästen ohne captive portal, VLAN16 für mich. Was man in Unifi Controller bzw. Firewall (OpenWRT router) stellen soll, das ist alles im Internet ziemlich gut erklärt (und hatte auch Hinweise von Bekannten bekommen, z.B. IPv6 samt sperren, weil es sonst schwierig ist, Einbrecher zu verhindern) Ich habe mit Ping überprüft, dass alles gesperrt ist, was gesperrt sein muss. Nmap habe ich auch probiert, aber ich bin noch nicht damit klar gekommen. (Es ignoriert client isolation, aber ich denke nicht, dass das Netz Nmap-fest sein soll.)

    Ich hatte gedacht, für Sicherheit muss ich auch mal einen IT-Pro holen. Aber jetzt frage ich mich, gibt’s eigentlich noch was mehr zu tun bezüglich Netz-Sicherheit, wenn ich keine ständige Bewachung bestellen würde? Und was wir haben ist so klein, auch keine VerwaltungsPC ist dran. Aber selbst wenn etwas Verwaltung dran wäre, im Internet gibt’s auch Leute, die im Hotel/Restaurant mit Kasse etc, auch WLAN richten mit passender Trennung, und sie schreiben was sie tun, um den anderen zu helfen.

    So neige ich dazu, zu denken, ich soll doch richtig gemacht haben, was Gewöhnliches, wie die anderen auch tun, wir verdienen eher schlecht und sollen wir doch Geld sparen, statt einen IT-Menschen zu bestellen ?
    Meinen Sie, dass es wichtig ist, doch einen Pro zu holen ? Wenn wir in der Nähe von Ihnen wäre, würde ich Sie bitten, aber wir sind weit weg;;

    Ich wäre dankbar für Ihre Meinung !

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.