In der Ubiquiti UniFi-Welt ist es schnell und enfach möglich, ein Gast-WLAN einzurichten.
- Am “Ubiquiti UniFi Network Controller” anmelden.
- Zu “Einstellungen – Drahtlos-Netzwerke” wechseln.
- Auf “+ Neues Drahtlos-Netzwerk erstellen” klicken.
- Die notwendigen Einstellungen wie “Name/SSID” und ob das WLAN offen oder verschlüsselt ist konfigurieren.
- Relevat für ein Gast-Netzwerk ist der Haken bei “Gastrichtlinie – Gastrichtlinien anwenden (Portalseite, Gastanmeldung, Zugriff)
Nach einem Klick auf “Speichern” das das Netzwerk bereits aktiv und kann genutzt werden. Weitere Konfigurationsmöglichketen für die Gastrichtlinien findet man unter
Einstellungen - Gaststeuerung
An dieser Stelle lässt sich beispielsweise das Portal aktivieren oder regeln, auf welche Netzte der Gast (keinen) Zugriff hat.
Die hier beschriebene Methode ist nur der einfachste Weg ein Gast-WLAN einzurichten. Es gibt weiteraus mehr Optionen wie beispielsweise VLAN, Anmeldeseite, usw.
In der hier gezeigten Form erhält der Gast zwar eine IP-Adresse aus dem LAN, aber das Gerät kann nur mit dem Router zwecks Internet kommunizieren und nicht mit anderen Geräte im (W)LAN.
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.
Hallo Andy,
Danke für den Beitrag, aber ein, zwei Fragen hätte ich noch. Wie komplett muss das UniFi Netzwerk sein? also Gateway, Switch, Controller und AP oder geht es auch ohne Gateway?
Wie ist sichergestellt das die Gäste aus Ihrem Wlan nicht „ausbrechen“?
Danke
Mfg Peter
Hallo Peter,
das absolute Minimum ist ein Access Point (Hardware) samt Controller (Software), damit ist zumindest das im Beitrag skizzierte möglich.
Das System regelt mit der Gastrichtlinie/Gaststeuerung, das der Client nur mit dem Router (muss nicht von Ubiquiti sein) zwecks Internet “reden” kann. In wie weit der Client auf andere Ressourcen zugreifen kann ist Sache der Zugriffskontrolle (zugelassene/gesperrte Hosts/Netze, “Quasi”-Firewall).
Wenn man mehr machen möchte und in Abhängigkeit von diesem Umfang benötigt man das Gateway und idealerweise den Switch.
Wie bereits vorweg erwähnt muss allerdings nicht für alles Hardware von Ubiquiti “herhalten”. VLAN geht vmtl. auch ohne UGS und USW, hab’ ich allerdings noch nicht getestet.
Um sich einen Überblick zu verschaffen kann man die Doku studieren, den Controller installieren (keine Hardware erforderlich, an verschiedenen Stellen/Funktionen wird hervorgehoben, ob man ein USG benötigt) und natürlich im Netz recherchieren.
Die Zugriffskontrolle funktioniert (aktuell) nicht (mehr). Ping und Zugriff auf ausgeschlossene Host´s ist problemlos möglich. (Setup: diverse UniFi AP´s, Cloud Key, KEIN Gateway/Switches von Ubi)
Daher habe ich mich zwangsweise mit VLAN´s in Verbindung mit Fremdherstellern auseinandersetzen dürfen, was in Verbindung mit einem Bintec Router einwandfrei funktioniert.
Hi,
das es so einfach ist dachte ich mir auch. Sobald ich jedoch das Gastwlan aktiviere und speichere werde ich mit folgender Meldung im Controller zugespamt:
/usr/sbin/hostapd beendet mit code 256
Tausende dieser Meldungen. Das zweite WLAN jedoch taucht nicht zur Auswahl an meinen Endgeräten auf.
Sobald ich das Gastnetz wieder lösche kommen auch keine Meldungen mehr.
Ich bin am Ende meiner Künste. Bekomme es einfach nicht hin.
Mein Setup: Fritz 7590, Switch 8-60W, AP AC Pro und einen drahtlos eingebundenen AC MESH Pro im Garten. Keinen USG!
Hast du vllt eine Lösung?
LG
Ralf
Hallo Ralf,
sorry für die späte Antwort.
Habe es gerade bei mir nochmal durchgespielt und es funktioniert ohne Probleme.
– Ist die aktuelle Network Controller-Version (5.13.29) installiert?
– Ist ein kompatibles Java installiert? (siehe Ubiquiti UniFi Network Controller: Fehler beim E-Mail-Versand an SMTP-Server)
Hallo Andy,
danke für die Antwort. Firmware des Controllers als auch des Aps sind aktuell. Java ist das neueste installiert auf dem Laptop. Dieser ist sogar neu. Der Controller läuft bei mir auf dem Cloud Key Gen 2 Plus. Habe nun auch seit dem Wochenende den AP Pro upgegradet auf den nanoHD. War insgesamt n gutes Upgrade, jedoch funktioniert das Gastnetz trotzdem nicht. Immer noch gleicher Fehler. Ich gebs auf.
Welche Java genau ist installiert? Der Controller “mag” nur JRE 8.
Version 8 Update 251 (Build 1.8.0_251-b08) Ist das der Richtige?
Läuft bei mir auch. Evtl. mal ins Log des Controllers schauen, evtl. lässt das Rückschlüsse zu.
Hallo Andy, mich würde es interessieren, wie ich die IPs für die Beschränkung einstellen soll.
Mein Router hat die IP 192.168.100.15. Der DHCP-Bereich für Clients liegt zwischen 192.168.100.30 bis 192.168.100.60 – Vor 192.168.100.30 gibt es feste IPs für Drucker und Nas.
Wie kann ich diese Bereiche am besten schützen?
Danke für Tipps!
Steht im Beitrag (letzter Satz):
“In der hier gezeigten Form erhält der Gast zwar eine IP-Adresse aus dem LAN, aber das Gerät kann nur mit dem Router zwecks Internet kommunizieren und nicht mit anderen Geräte im (W)LAN.”
Noch besser ist es natürlich, ein eigenes Subnetz (oder VLAN) für die Gäste zu machen, damit da gar nichts aus dem LAN mit dem Gast in Berührung kommt.
Hallo Andy,
Sie schreiben als IT-Professionell hilfreiche Artikeln für Leute, damit die Leute manches selber können. Ich wollte Sie fragen, was Sie dazu sagen würden:
Wir haben ein kleines Gästehaus. Da sind 6 APs von Unifi. Ich habe viel gelesen, was großzügige und kompetente Leute wie Sie im Internet schreiben bzw. in Foren gefragt, und bin bisher ziemlich klar: ich habe 3 VLANs: VLAN11 für Gäste mit captive portal, VLAN15 für andere Sorte von Gästen ohne captive portal, VLAN16 für mich. Was man in Unifi Controller bzw. Firewall (OpenWRT router) stellen soll, das ist alles im Internet ziemlich gut erklärt (und hatte auch Hinweise von Bekannten bekommen, z.B. IPv6 samt sperren, weil es sonst schwierig ist, Einbrecher zu verhindern) Ich habe mit Ping überprüft, dass alles gesperrt ist, was gesperrt sein muss. Nmap habe ich auch probiert, aber ich bin noch nicht damit klar gekommen. (Es ignoriert client isolation, aber ich denke nicht, dass das Netz Nmap-fest sein soll.)
Ich hatte gedacht, für Sicherheit muss ich auch mal einen IT-Pro holen. Aber jetzt frage ich mich, gibt’s eigentlich noch was mehr zu tun bezüglich Netz-Sicherheit, wenn ich keine ständige Bewachung bestellen würde? Und was wir haben ist so klein, auch keine VerwaltungsPC ist dran. Aber selbst wenn etwas Verwaltung dran wäre, im Internet gibt’s auch Leute, die im Hotel/Restaurant mit Kasse etc, auch WLAN richten mit passender Trennung, und sie schreiben was sie tun, um den anderen zu helfen.
So neige ich dazu, zu denken, ich soll doch richtig gemacht haben, was Gewöhnliches, wie die anderen auch tun, wir verdienen eher schlecht und sollen wir doch Geld sparen, statt einen IT-Menschen zu bestellen ?
Meinen Sie, dass es wichtig ist, doch einen Pro zu holen ? Wenn wir in der Nähe von Ihnen wäre, würde ich Sie bitten, aber wir sind weit weg;;
Ich wäre dankbar für Ihre Meinung !
Guten Tag,
seit längerer Zeit läuft bei uns das GastWLAN, bis jetzt mit Häkchen bei “Ich habe die Datenschutzbestimmungen gelesen” und danach konnte der Gast ins entsprechend eingerichtete WLAN.
Seit heute geht das nicht mehr, sondern es taucht zum einen ein völlig neues Erscheinungsbild auf, und es wird aufgefordert, einen Access Code einzugeben.
Nur ich weiß nicht, wo ich diese Access Codes erstellen / generieren kann, noch wo ich das wieder ggf. abstellen kann?
Ein Gast ist jetzt über die Methode API eingeloggt (was bedeutet das?) und ich habe durch das Klicken auf “Erweiterung” den Zugang für diesen Gast bis morgen erweitern können.
Das möchte ich jedoch nicht jeden Tag analog machen.
Könnten Sie mir da ggf. helfen und das so erklären, dass ich als Laiin das auch verstehen kann, was ich machen soll?
Folgendes Gerät betreibe ich: USG-3P
USG 3P 4.4.57
Ich danke Ihnen für Ihre Hilfe!
Hallo, zur USG kann ich leider nichts sagen, da wir diese nicht einsetzen. Das Thema gebe ich Mal an einen Kollegen weiter, der evtl. helfen kann.
Hallo zusammen,
mal schauen ob ich helfen kann:
Die Firmware Version der USG-3P sagt nicht viel aus, entscheidend ist, welche Version der Controller hat.
Davon abgesehen, gibt es eine neue und alte UniFi Controller Oberfläche. Zwischen beiden Oberflächen kann man hin und her schalten.
Die neue Oberfläche enthält nicht alle Einstellungen der alten Oberfläche und umgekehrt. Das macht es etwas unübersichtlich und UniFi steht schon länger deswegen in der Kritik.
Mir sind da auch sehr seltsame Sachen mit den letzten Updates aufgefallen. Manche Einstellungen, die in der alten Oberfläche gemacht wurden, sind plötzlich in der neuen Oberfläche anders oder es ist gar nichts ausgewählt.
Ich habe alle UniFi Controller bei meinen Kunden manuell durchgeklickt und leere Einstellungen wieder korrekt in der neuen Oberfläche gesetzt.
Ich vermute mal das hier das gleiche Problem vorliegt. Bei dem Hotspot Manager hat sich ja auch zwischen der alten Oberfläche und der neuen einiges getan.
Ich schlage vor Sie wechseln zu der neuen Oberfläche:
Settings -> User Interface -> New User Interface -> Apply changes
Dann gehen Sie zu Settings -> Profiles -> Guest Hotspot
Hier stellen Sie die gewünschte Authentifizierung ein, z.B. No Authentifizierung oder Vouchers.
Wenn Vouchers eingestellt ist, müssen im Hotspot Manager auch Vouchers erstellt werden.
Wenn sich vorher Gäste ohne Voucher anmelden konnten, war mit Sicherheit “No Authentifizierung” ausgewählt.
Guten Abend und erst einmal vielen herzlichen Dank für die Bemühungen.
Die Idee ist sehr gut, nur kann ich nicht (mehr?) die verschiedenen Benutzeroberflächen einstellen.
Zurzeit läuft die neue Benutzeroberfläche.
Den Punkt “User Interfaces” scheint es auch gar nicht mehr zu geben.
Aktuell läuft die UniFi OS-Version 3.0.17.
Ich hoffe sehr, dass es doch noch diese Einstellung irgendwo geben wird, denn Ihr Lösungsvorschlag klingt plausibel.