WLAN-Clients via AP/SSID trennen

[CyberT]

Hallo zusammen,

ich habe hier nur einen Provider-Kabel-Router als Gateway (1x 24er-Netz mit DHCP- und DNS-Server) und 2x LANCOM LN-860 (LCOS 10.20 RU7). Beide APs hängen derzeit direkt am internen Switch des Router:
AP-01 mit SSID-01
AP-02 mit SSID-02

Jetzt würde ich gerne, dass alle mit der SSID-01 assoziierten WLAN-Clients (auf AP-01) nicht die anderen mit der SSID-02 assoziierten WLAN-Clients (auf AP-02) sehen können (und natürlich umgekehrt). Die je SSID assoziierten Stationen sollen sich untereinander aber sehen können.

Welche (ggfs. unterschiedlichen) Möglichkeiten gibt es dies zu realisieren?

Vielen Dank.
Gruß.

[ua]

Hi,

Beide AP als Router betreiben:
- den LAN-Port als WAN konfigurieren
- ein LAN auf die SSID legen
Das auf beiden AP und den Rest erledigt das NAT.

VG

Udo

[CyberT]

Hi Udo,

vielen Dank für Deinen Input.

Gibt es abseits der Konfigueration beider APs als Router keine andere Möglichkeit das Vorhaben zu realisieren?

Ich hatte die Hoffnung durch geeignete Konfiguration vom "Datenverkehr zwischen SSIDs", "IAPP", "Isolierte SSID/VLAN-IDs", u.ä. das ganze ebenfalls lösen zu können. Meine Versuche, das auf diesem Weg zu realisieren, sind jedoch allesamt gescheitert.

Danke und
Gruß.

[ua]

Hi,

SSID = L2 und irgendwo treffen sie sich wieder ….
… abgesehen von so üblen Sachen wie MAC-Filterlisten o.Ä.

VG

Udo

PS Du könntest eine ASA im Transparent-Mode (Bridging) dazwischen werfen ….

[CyberT]

Ja, richtig. Danke.

… abgesehen von so üblen Sachen wie MAC-Filterlisten o.Ä.
[...]
PS Du könntest eine ASA im Transparent-Mode (Bridging) dazwischen werfen ….

Ja, Ziel war eben, eine möglichst einfache Lösung zu finden, die sowohl die Konfiguration jetzt als den Pflegeaufwand in Zukunft auf ein Minimum reduziert.

Wenn ich jetzt noch ergänzend einen Managed Switch (z. B. den LANCOM GS-2310P+, dann könnte ich auch auf die externen Netzteil bei den APs verzichten) dazwischen hänge, bekomme ich das dann via VLAN sauber gelöst?

Danke und
Gruß.

[GrandDixence]

Mit VLAN und ARF ist es möglich, jeden Netzwerkteilnehmer im Heimnetz und im Firmennetz von jedem anderen Netzwerkteilnehmer "abzuschotten":

viewtopic.php?f=41&t=16109&p=90529#p90529

viewtopic.php?f=15&t=17569&p=99671#p99671

[ua]

Hi,

Mit VLAN und ARF ist es möglich, jeden Netzwerkteilnehmer im Heimnetz und im Firmennetz von jedem anderen Netzwerkteilnehmer "abzuschotten":

Aber hier ist die L3 Instanz der Provider-Router.
VLAN nützen auch nichts, wenn die Clients "im selben" L3-Netzt sind.
M.E. Trennung (mit vertretbarem Aufwand und wartbar) nur auf den AP mit Subnetz,
ansonsten kenne ich nur einen amerikanischen Hersteller dem sich dynamische ACL per Radius-AV-Pair mitgeben lassen...

VG

Udo

[GrandDixence]

Aber hier ist die L3 Instanz der Provider-Router.

Ja und aus Sicherheitsgründen und Administrationsgründen sollte da noch eine eigene "L3 Instanz" (zum Beispiel von LANCOM) dazwischen. Der Provider-Router sollte am besten als "Medienkonverter" betrieben werden.

[Fully]

Hallo CyberT,

was Du wohl als einfache Lösung suchst, das ist die Option "Inter-SSID-Traffic " und da die Einstellung : "globally-off (2)".
Da ist leider nichts zu machen, die Option gibt es noch, aber der Wert "globally-off (2)" ist ab LCOS 10 futsch. Der LN-860 ist auch nie mit einer 9.24 ausgeliefert worden.

Was man stattdessen machen kann, das ist hier schon beschrieben worden.

a) Man kann auf der Bridge zwischen WLAN und LAN filtern (die Bridge hat da schöne Einstellungen) oder
b) die Bridge an dieser Stelle trennen und routen.

Wenn man keine Lust hat a) genau zu dokumentieren, dann sollte man b) nehmen, am einfachsten in der Ausprägung, die udo beschrieben hat:

Beide AP als Router betreiben:
- den LAN-Port als WAN konfigurieren
- ein LAN auf die SSID legen
Das auf beiden AP und den Rest erledigt das NAT.

Dafür gibt es auch einen Assistenten.

Gruß Fully

[CyberT]

Hallo zusammen,

vielen Dank für all Euren Input.

Ja und aus Sicherheitsgründen und Administrationsgründen sollte da noch eine eigene "L3 Instanz" (zum Beispiel von LANCOM) dazwischen. Der Provider-Router sollte am besten als "Medienkonverter" betrieben werden.

Ja, das ist klar und dieses Setup war auch mein Wunsch gewesen. Aber aus diversen Gründen ist das so derzeit nicht möglich (da hilft alles betteln und flehen nichts), daher ja auch hier diese Frage an die Experten-Community. - Insofern hilft mir dieser Hinweis jetzt nicht wirklich weiter. Ich muss nun mal mit der jetzigen Situation und der gegebenen Hardware eine Lösung finden.

was Du wohl als einfache Lösung suchst, das ist die Option "Inter-SSID-Traffic " und da die Einstellung : "globally-off (2)".

Ja, an so etwas in der Art hatte ich gedacht, ohne diese Option jetzt im Detail gekannt zu haben.

a) Man kann auf der Bridge zwischen WLAN und LAN filtern (die Bridge hat da schöne Einstellungen) [...]

Da mir aktuell Möglichkeit b) nicht so zusagt, würde ich es gerne mal mit Möglichkeit a) versuchen, und diese dann entsprechend dokumentieren.

Wie sollte ich hierbei am besten vorgehen?


Danke und
Gruß.