Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    BestPractise: WiFi for internal Lan Users and Guests

    Scheduled Pinned Locked Moved Deutsch
    7 Posts 2 Posters 1.5k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • R
      RocketStephan
      last edited by

      "könnt auch auf Deutsch antworten, dachte nur dass auf Englisch mehr Antworten kommen  ;)"

      Hello,

      I have an easy situation and I cannot find out the BestPractise way what I need to configure.

      Szenario: I use pfSense with 3 NIC's (Interfaces –> it is possible also to add another additional one)

      I have a network with Clients and Servers in LAN. (Devided in VLANS 172.18.X.X on CISCO Switch which communicate over Routing+entrys over Cisco Router)
      I have 2 Internet Connections (configured with LoadBalancing on NIC1 and NIC2 in pfSense)
      I have an Access Point

      Now my question:

      How I should connect/include/configure my AccessPoint and LAN Network to realize that the Users in my LAN and also Guests can get internet connection???

      Idea:

      • Lan Users should get Internet Access + Server Access wired and wireless
      • Guest Users should get Internet Access wired and wireless but they should be devided from Server and LAN (no access to internal ressources)

      My Problem is:
      When I use CaptivePortal with providing DHCP to the Guests 192.168.1.x, my internal Users cannot reach anymore their Server-Ressources in 172.18.x.x

      How can I buld the BestPractise solution for that?

      THX for every idea I'll get hopefully :-)

      1 Reply Last reply Reply Quote 0
      • R
        RocketStephan
        last edited by

        …also einfacher gesagt:

        Ich möchte eigentlich nur WiFi integrieren und die User sollen alles wie gehabt vorfinden (Homelaufwerk, Drucker etc.) wenn sie ihren Laptop aus der Dockingstation abdocken und durch das Gebäude spazieren. Uber das CP sind sie dann aber in einer anderen Broadcast Domain und eingeschränkt.

        Gäste sollen über das CaptivePortal Gäste bleiben und nichts außer Internet nutzen dürfen.

        Die Frage geht in Richtung "eleganteste Lösung" da sich noch alles im Aufbau befindet und ich es gleich richtig machen möchte.

        Any Idea?

        1 Reply Last reply Reply Quote 0
        • magicteddyM
          magicteddy
          last edited by

          Warum postest Du das ganze dann im deutschsprachigem Forumteil?  :P

          Was für ein AP? Ich habe einfach mehrere SSIDs auf mehrere VLans verteilt. Ganz ohne Captive Portal, Gastnetz per WPA2. wer fragt kommt rein, gelegentlich wird der Key mal geändert. Das ganze ist ein wenig eingeschränkt: OpenDNS als Nameserver, Zielports nur die üblichen für Mail, Surfen und NTP.

          Unser Internes WLan hängt halt direkt am Lan, Zugang nur für meine Chefin und mich, Kinder haben ihr eigenes Netz damit kann ich drosseln und abschalten wie es uns passt und trotz Admin rechten auf ihren Dosen kommen sie nicht raus  :o.

          -teddy

          @Work Lanner FW-7525B pfSense 2.7.2
          @Home APU.2C4 pfSense 2.7.2
          @CH APU.1D4 pfSense 2.7.2

          1 Reply Last reply Reply Quote 0
          • R
            RocketStephan
            last edited by

            @magicteddy:

            Warum postest Du das ganze dann im deutschsprachigem Forumteil?  :P

            Was für ein AP? Ich habe einfach mehrere SSIDs auf mehrere VLans verteilt. Ganz ohne Captive Portal, Gastnetz per WPA2. wer fragt kommt rein, gelegentlich wird der Key mal geändert. Das ganze ist ein wenig eingeschränkt: OpenDNS als Nameserver, Zielports nur die üblichen für Mail, Surfen und NTP.

            Unser Internes WLan hängt halt direkt am Lan, Zugang nur für meine Chefin und mich, Kinder haben ihr eigenes Netz damit kann ich drosseln und abschalten wie es uns passt und trotz Admin rechten auf ihren Dosen kommen sie nicht raus  :o.

            -teddy

            Wahrscheinlich wäre das eine Lösung, da ich den Standort erst frisch übernommen habe ist die Config der noname AcessPoints aber noch eine Blackbox für mich.
            Ich weiß nicht so ganz wie ich das dann trennen soll, weil die AP's über einen PoE Switch einen Uplink zu einem anderen Switch haben und der Port als AccessPort konfiguriert ist mit nur einem VLAN. Ich bräucht aber theoretisch mehrere VLANS. Wahrscheinlich muss ich ein TRUNK bis zum Router draus machen der dann entscheidet wohin damit.

            Wie sieht es denn mit dem DHCP aus? DHCP darf doch nur Einer machen oder? Oder läuft der DHCP im CaptivePortal nur auf seiner eigenen kleinen Insel?

            1 Reply Last reply Reply Quote 0
            • magicteddyM
              magicteddy
              last edited by

              @RocketStephan:

              …Wie sieht es denn mit dem DHCP aus? DHCP darf doch nur Einer machen oder? Oder läuft der DHCP im CaptivePortal nur auf seiner eigenen kleinen Insel?

              Wie meinen?? Ich habe ganz einfach für jedes VLan separat DHCP konfiguriert, das mach ich alles mit pfSense. Jedes VLan / Interface hat seinen eigenen /24 Adressbereich und DHCP Server. Somit habe ich je Netzsegment nur einen aktiven DHCP Server, damit ist doch alles paletti  ;D.
              Meine Hardware hat weniger physische NICs als nötige Interfaces der pfSense, somit habe ich auf der pfSense VLans angelegt und damit Interfaces geschaffen, die gehen tagged auf einen Switch und weiter tagged zum AP.

              Check was die APs können und tausch sie ggf. aus. imho preiswertester Einstieg https://geizhals.de/ubiquiti-unifi-ap-ac-lite-uap-ac-lite-a1325765.html?hloc=de bzw. https://geizhals.de/ubiquiti-unifi-ap-ac-pro-uap-ac-pro-a1325749.html?hloc=de Kommt halt drauf an was Du an Zeit in die alten APs investieren kannst / darfst  ;)
              Beim AP AC Lite bitte das hier https://www.administrator.de/wissen/unifi-accesspoint-uap-ac-lite-evtl-uap-ac-lr-sofort-standard-poe-unterst%C3%BCtzung-334557.html beachten.

              -teddy

              @Work Lanner FW-7525B pfSense 2.7.2
              @Home APU.2C4 pfSense 2.7.2
              @CH APU.1D4 pfSense 2.7.2

              1 Reply Last reply Reply Quote 0
              • R
                RocketStephan
                last edited by

                Update:

                Die AccessPoints sind D-Link AP 2553 (http://us.dlink.com/products/business-solutions/wireless-n-dualband-gigabit-access-point-w-poe/) uns sie können auch Multi-SSID.

                Ich hätte aber gern, dass die User ohne separate Passworteingabe ihren Netzwerkzugriff über WiFi haben.
                Wenn ein User gesperrt wird oder sein Passwort ändert, soll auch die WLAN Verbindung gesperrt sein bzw. das Passwort weitergereicht werden.
                Ich mache das sonst immer mit CISCO AP's per LDAP über einen WirelessController (Investition ist aber zu kostspielig).

                Derzeit wird RADIUS verwendet.
                Kann pfSense das? Den Gästen eine WiFi-Verbindung per Voucher bereitstellen aber auch den Usern mit ihren Ressourcen???
                Über hinzufügen der MAC-Adresse im CPortal brauchen sie auch kein Passwort.
                Problem ist hier die Netztrennung. Bekommen alle Adressen im gleichen Netz, ist das alles kein Problem (will ich aber nicht, möchte das physikalisch und nicht nur über Firewallregeln (mit Subnetting) trennen).

                Sorry, aber ich bekomme das nicht hin, mir fehlt der Leitfaden.

                1 Reply Last reply Reply Quote 0
                • magicteddyM
                  magicteddy
                  last edited by

                  Moin,

                  mach doch erstmal eine Baustelle fertig  ;), der AP kann doch auch VLans, also schnell ein zusätzliches Vlan als Wlan Gastnetz angelegt, Interface daraus gebaut  und mit der Gast- SSID der APs verknüpfen, eigenen DHCP für dieses Interface einrichten, somit hast du schon mal ein abgetrenntes Gastnetz. Oder habe ich dich falsch verstanden?

                  Oder Du schnupperst mal hier rein: https://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mit-einem-captive-portal-hotspot-funktion-91413.html

                  -teddy

                  @Work Lanner FW-7525B pfSense 2.7.2
                  @Home APU.2C4 pfSense 2.7.2
                  @CH APU.1D4 pfSense 2.7.2

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post
                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.