Public Spot in VLAN integrieren

[SHSAdmin]

Hallo Zusammen,

nachdem mir dieses Forum schon einmal so gut geholfen hat, wende ich mich an euch mit einem weiteren Problem. Ich möchte gerne in einer reinen LANCOM-Umgebung neben einer SSID die über Radius Berechtigen verteilt, einen Public Spot einrichten. Dieser soll in ein spezifisches VLAN münden. Das Umfeld sind Schulen, in denen für den begrenzten Zugang der unteren Jahrgänge das Internet und der Zugriff auf bestimmte Ressourcen stundenweise geöffnet werden soll. Hier die Ausgangssituation:

Internet - OPNSense Firewall - Core-Switch XS-5110F - WLC-1000 - Access Switch GS-3652XP - LW-600

OPNSense Firewall - Ist über ein Transfer VLAN mit dem Core verbunden. Nur über diesen Weg läuft die Verbindung in das Internet
Core-Switch - Stellt alle VLAN zur Verfügung, Kommunkation über ACLs geregelt, ist DHCP Server für alle VLANs
WLC-1000 - Stellt genau eine SSID zur Verfügung, über separate Radius und LDAP Server werden benutzerspezisch die VLAN vergeben (Verwaltung, Pädagogik, Schüler Jahrgang wegen Broadcastdomain etc.)
Access Switch - Anbindung der Klassenräume mit Digitalboards und Access Points und weiteren LAN-Dosen
LW-600 - Access Points mit einer SSID, vom WLC-1000 gesteuert

Bis dahin alles Standard, nichts ungewöhnliches. Verwaltung, Lehrkräfte und die Oberstufenjahrgänge haben automatisch Zugang zum Internet. Die unteren Jahrgänge sollen diesen nur stundenweise für bestimmte Recherchearbeiten im Unterricht bekommen. Hierfür wollte ich einen Public Spot einrichten. Allerding beötigen die Schülerinnen und Schüler auch Zugang auf die Digitaslboards zum Spiegeln Ihrer Tablets. Ist für die Obserstufenjahrgänge kein Problem, wird über ACLs geregelt. Aber dieser Zugriff macht es erforderlich, dass die Verbindung aus dem Public Spot in ein bestimmtes VLAN geht, damit via ACL der Zugang zu Internet und Digitalboard geregelt werden kann.

Mein Problem ist nun die Konfiguration der unterschiedlichen Komponenten. Mit dem Assisten des WLC-1000 einen Public Spot einzurichten führt dazu, dass ich nicht bis in den Core-Switch komme. Die Konfiguration mit der IP im Core z.B. 10.70.0.1 als Gateway plus DHCP und 10.70.0.2 im WLC führt zwar dazu, dass eine richtige Adresse am Client ankommt, freie Netze auch genutzt werden können, ich aber keine Anmeldemaske aus dem WLC bekomme und damit der weitere Internetzugang gesperrt ist.

Ich habe inzwischen so viele Runden gedreht und über mehrere Tage immer wieder neu angesetzt, dass mir der Kopf schwirrt. Ich bekomme die richtige Konfiguration und das Zusammenspiel einfach nicht hin. Vielleicht hat einer von euch schon einmal eine gleiche oder ähnliche Konstellation konfiguriert und kann mir ein paar Tipps geben.

Vielen Dank schon mal dafür.
Peter

[tstimper]

Ich habe inzwischen so viele Runden gedreht und über mehrere Tage immer wieder neu angesetzt, dass mir der Kopf schwirrt. Ich bekomme die richtige Konfiguration und das Zusammenspiel einfach nicht hin. Vielleicht hat einer von euch schon einmal eine gleiche oder ähnliche Konstellation konfiguriert und kann mir ein paar Tipps geben.

Vielen Dank schon mal dafür.
Peter

Hallo Peter,

ich denke, was Du beschreibst übersteigt das, was man öffentlich im Forum klären kann.

Dazu bräuchte man den Netzwerkplan und ggf die Configs der beteiligten Geräte.

Was helfen könnte wäre ein Musteraufbau mit separater Technik. Daran könnte man das geplante Szenario durchspielen.

Machbar ist das was Du erreichen willst.

Viele Grüße

ts

[SHSAdmin]

Hallo ts,

vielen Dank für deine Reaktion. Ja, ist nicht ganz so simpel, gebe ich zu. Soll aber eben auch vernünftig sein und kein "Gemurkse". Das von dir erwähnte Testszenario habe ich schon aufgebaut und arbeite nur daran. Die anderen Dinge laufen ja bereits produktiv, da kann ich erst ran, wenn auf der Testumgebung alles perfekt läuft.
Ich werde mal schauen, ob ich irgendwie weiter komme. Ist eine Herausforderung und damit natürlich auch etwas, dass Spaß macht.

Peter