Public Spot Verständnisfrage

[marsbewohner]

Hallo zusammen,

ich hätte da mal ein paar Fragen zum Public Spot:

1) Ich habe im betroffenem Szenario einen 1781VA mit einem 460agn als AP. Muss die Option für beide beschafft werden, oder nur für den AP?

2) Es soll nicht auf Userbasis ein Zugang bereitgestellt werden, sondern eine Art default User welcher vielleicht mal alle 1-2 Monate geändert wird (rein privates "Gartenparty"-Umfeld). Ich habe gesehen das ein Mehrfachlogin laut Doku möglich ist, muss man sonst noch etwas beachten?

3) Routings, nur mit dem reinen Public Spot wird es ja nicht getan sein, ich vermute das noch ein Routing zwischen AP und AC mit VLAN etc. notwendig sein wird, auch zur Netztrennung?

Danke vorab & Gruß,

[langewiesche]

1) nur fuer den Internet router
2) genau das reicht (aber tut es da nicht eine ESSID wo du das kennwort alle X Monate tauscht z.B. "Party" ) das kostet nix extra.
3) ein extra netz per vlan ist schon ganz nett fuer so was.

[marsbewohner]

Danke für deine Rückmeldungen!

Ich habe jetzt mal mit den Testversionen experimentiert, und kann schon mal sagen das deine Antwort zu 1) leider nicht ganz richtig ist Es ist in der Tat so das man es zwar auch auf dem Router aktivieren kann, dort allerdings nur mit fester Port Bindung, was bei einem gemischten Betrieb (=AP macht Private und Public WLAN) keinen Sinn macht, da ich es ja einer bestimmten WLAN Schnitte stelle auf dem AP zuweisen will und nicht dem ganzen Netz.

Insofern habe ich dann noch eine zweite Demo für den AP aktiviert, welche dann auch das getan hat was sie sollte.

Übrigens @Lancom: Der Link aus Lanconfig heraus unter "Software Option aktivieren" -> "Demolizenz registrieren" führt auf eine 404 Seite!

Weiteres testen folgt....

Gruß,

[langewiesche]

Du kannst die Option auf ein vlan einschränken in den Optionen am inet router.

[Bernie137]

Hallo,

2) Es soll nicht auf Userbasis ein Zugang bereitgestellt werden, sondern eine Art default User welcher vielleicht mal alle 1-2 Monate geändert wird (rein privates "Gartenparty"-Umfeld). Ich habe gesehen das ein Mehrfachlogin laut Doku möglich ist, muss man sonst noch etwas beachten?

Ich habe das so auf dem AP gelöst:
- Einrichtung eines 2. logischen "GAST" WLAN mit anderem IP Kreis http://www2.lancom.de/kb.nsf/1275/1CD5D ... enDocument
- Einrichtung der Authentifizierung http://www2.lancom.de/kb.nsf/1275/3BCE2 ... enDocument
Ich setze es mit folgenden Unterschieden ein:
1. Ich aktiviere RADIUS nur auf dem logischen WLAN im Lancom, wo ich es haben will und nicht prinzipiell (WLAN1 Radius zum Windows IAS Dienst, WLAN1-2 Radius zum internen Lancom Radius 127.0.0.1, WLAN1-3 zum Radius x.x.x.x, usw.)
2. Ich installiere nie irgendein Zertifikat auf dem Client, sondern "vertraue" dem AP einfach - Android + iOS ist easy, unter Windows muss man vorher WLAN Profil von Hand anlegen, ist aber recht primitiv und schnell gemacht. Bei Interesse kann ich ein paar erklärende Screen Shots posten.
3. Meine Radius Benutzer kann ich zeitlich begrenzen, alles was auch Public Spot so bietet
Vorteil1: Ich gebe nie einen PSK heraus, der für das gesamte GAST Netz gilt und aufgrund einzelner Benutzer kann ich den Zugriff unterschiedlich begrenzen.
Vorteil2: Das GAST WLAN ist gänzlich verschlüsselt nach WPA2.

= "eine Art" Public Spot für Null EUR zusätzlich.
Sicherlich nicht für Hotels zu gebrauchen, sondern es bedarf einer Anleitung für die Gäste - für kleinere Schulungen oder @Home ideal.

Gruß Heiko

[alkuhn]

Hallo,

ich bräuchte hier auch noch einen Tipp, da ich gerade auf der Leitung stehe.
Ich habe bereits WLCs eingerichtet inkl. PublicSpot. Dies habe ich bisher immer über VLANs realisiert.

Nun habe ich ein kleines Projekt mit einem Lancom 1711+ und zwei L-322agn. Der Kunde möchte ein internes WLAN und einen PublicSpot.
Darum habe ich die PublicSpot Option auf dem 1711+ aktiviert. Im nächsten Schritt wollte ich in den logischen WLAN Einstellungen am AP die VLANs aktivieren - aber das geht ja nur, wenn man einen WLC hat. Könnte Ihr mir einen Tipp geben, wie man ein solches Szenario am besten realisiert?

Viele Grüße
Alex

[langewiesche]

wieso?
WLAN mit der Public SSID an das VLAN im Lanreichen und am 1711+ wieder raus. und nur fuer VID wo der Spot laufen soll aktivieren. fertig.

[alkuhn]

Hallo Lars,

genau da stehe ich auf der Leitung. Wie konfigurierst Du das VLAN auf die SSID am AccessPoint. Wenn man das WLAN über den Controller konfiguriert, kann man ihm ein VLAN zuordnen, aber wie mache ich es, wenn ich nur einen AccessPoint habe. Da sehe ich nichts von VLAN - bzw. übersehe es einfach

Viele Grüße
Alex

[langewiesche]

2. Netz z.B. LAN2 anlegen VLAN anpassen dann in z.B. BGR-2 zusammen mit dem PSpot WLAN packen. fertig

[alkuhn]

BRG ......... logisch ......

Ich sagte doch, ich stehe auf der Leitung

Danke und Gruß
Alex

[alkuhn]

Hallo Lars,

ich wollte mich heute nochmals in Ruhe damit beschäftigen, bekomme es aber nicht hin.

Am AP
Ich habe LAN-1 und WLAN-1 in BRG-1 und LAN-2 mit WLAN-2 in BRG-2.
Bei den IP-Netzwerken habe ich Intranet mit der IP, Schnittstelle BRG-1 mit VLAN-ID 0
und Public mit IP, Schnittstelle BRG-2 und VLAN-ID99

Am 1711+
Habe ich auf ETH-4 LAN-4 mit IP und VLAN-ID99 und DHCP in diesem Netz.

Zum vereinfachen habe ich den AP ETH-2 mit dem Router ETH-4 verbunden. Die beiden können untereinander pingen in beide Richtungen. Wenn ich mich aber mit dem Public WLAN verbinden, bekomme ich weder ein IP-Adresse noch kann ich die beiden Geräte (AP oder Router) pingen, wenn ich mir eine feste IP-Adresse aus dem PublicNetz gebe. Kannst Du mir hier nochmals auf die Sprünge helfen? Mir ist nicht klar, ob ich das VLAN Modul auf dem AP aktivieren muss oder nicht.

Viele Grüße
Alex

[Jirka]

Hallo Alex,

Übrigens @Lancom: Der Link aus Lanconfig heraus unter "Software Option aktivieren" -> "Demolizenz registrieren" führt auf eine 404 Seite!

Mit einer neueren Version geht es wieder.

Am AP
Ich habe LAN-1 und WLAN-1 in BRG-1 und LAN-2 mit WLAN-2 in BRG-2.

So wird das nichts. Du musst schon alle in eine Bridge-Gruppe packen, sonst hast Du WLAN-1 an LAN-1 und WLAN-2 an LAN-2 gebunden und damit zwei getrennte LAN-Anschlüsse für die SSIDs. Und quasi als zusätzliche Abstraktionsebene packst Du auf die, alle notwendigen logischen Interface umfassende, Bridge dann noch VLAN rauf, was Du natürlich an den logischen WLAN-Interfaces immer ungetaggt ausgibst ("Niemals").

Mir ist nicht klar, ob ich das VLAN Modul auf dem AP aktivieren muss oder nicht.

Auf alle Fälle, da Du ja VLAN-getaggte Netze ungetaggt wieder ausgeben willst.

Viele Grüße,
Jirka

[garfield0815]

sorry nix gegen die puplic spot option

aber wenn du es im rein privaten umfeld einsetzen wilst wiso legst du nicht eiinfach ein 2. w-lan an und trenst es mit arb von deinem netz

oder gibst ihnen einfach einen anderen ip adress beriech

die lancom geräte können auch mit 2-x netzen arbeiten

und dan kannst du auch inerhalb der firewall alles wass nicht gehen sonn nur für das "gäste" netz sperren

[LoUiS]

Übrigens @Lancom: Der Link aus Lanconfig heraus unter "Software Option aktivieren" -> "Demolizenz registrieren" führt auf eine 404 Seite!

Mit einer neueren Version geht es wieder.

Das geht mit allen Versionen wieder, da es nichts mit der Version zu tun hat.

[alkuhn]

Hallo Jirka,

vielen Dank für Deine Antwort. Ich hätte dazu noch eine Frage, weil ich es nicht ganz verstehe.
Wenn ich auf ETH1 mehrere IP-Netze mache mit unterschiedlichen VLAN-IDs und dann noch mehrere logische WLANs in denen ich auch entsprechende VLANs möchte, dann kann ich die doch nicht alle in eine Bridge zusammenfassen - oder?

In meinem Beispiel wollte ich die Public SSID bewußt an EHT2 ausgeben, da ich in meinem Testaufbau eine "merkwürdige" Verkabelung habe Aber wenn ich Dich richtig verstanden habe, dann ist mein Fehler noch im VLAN Modul, dass ich noch nicht aktiviert und konfiguriert habe. Ich hatte es zwar mal aktiviert, mich damit aber selber ausgesperrt. Muss ich mir nochmals ansehen.

@Garfield: JA, in einem kleinen Netz könnte man dies natürlich einfacher und ohne PublicSpot Option machen - jedoch mit dem Nachteil, dass Du nach jedem Gast den WLAN Key ändern müsstest. Bei mir ist es gerade mehr eine Testumgebung um es mal nachzustellen.

Ich danke Euch für Eure Tipps.

Viele Grüße
Alex