UniFi AP – Guest WiFi mit pfSense VLAN in 5 Schritten einrichten
Du möchstest auf deinem UniFi AP ein Guest-WiFi einrichten, welches die Clients in ein anderes Netzwerk / VLAN wirft? Dann bist du hier genau richtig! Wir zeigen dir Schritt für Schritt, wie du den UniFi AP über den UniFi Controller und deine pfSense Firewall konfigurieren musst, damit dies funktioniert.
Alle Switches, die zwischen UniFi AP, bzw. POE-Injector liegen, MÜSSEN VLAN (802.1Q) unterstützen. Am besten sind diese über ein Webinterface konfigurierbar. Wir haben schon eine Anleitung für HPE, D-Link und TP-Link Switch gemacht, wie sich bei diesen VLANs konfigurieren lassen.
1. Schritt - pfSense | VLAN erstellen
Um auf pfSense ein VLAN, bzw. ein neues Netzwerk zu konfigurieren, musst du die VLAN-ID in die Konfiguration eintragen.
Gehe dazu über dein Webinterface auf „Interfaces“ -> „Assignments“ -> „VLANs“ und klicke unten rechts auf den „Add“ Button.
Wähle unter „Parent interface“ deine gewünschte NIC aus. Beachte hier, dass dies nicht die WAN NIC sein darf.
Trage unter „VLAN-Tag“ deine gewünschte ID ein und gebe dem VLAN noch eine Beschreibung (Description).
Dann kannst du auf „Save“ klicken.
2. Schritt - pfSense | Netzwerk konfigurieren
Jetzt hast du das VLAN Tag hinzugefügt. Jetzt muss noch der IP-Adressbereich und die DHCP-Range festgelegt werden.
Klicke dazu in der Navigationsleiste auf „Interface“ -> „Assignments“ -> „Interface Assignments“. Dort kannst du bei „Available network ports“ dein VLAN auswählen und auf „Add“ klicken.
Das VLAN wird dann als „OPTx“ Netzwerk-Interface angelegt. Um dieses zu bearbeiten musst du vorne auf „OPTx“ klicken.
Als Erstes musst du das Interface aktivieren. Setze dazu den Haken bei (1.).
Gebe danach dem Interface eine passende Beschreibung, zum Beispiel die gleiche wie dem VLAN-Tag, und setze den „IPv4 Configuration Type (3.)“ auf „Static IPv4 (3.)“.
Als nächtes muss die IP-Adresse (4.) und die Subnetmaske (5.) konfiguriert werden. Wir nehmen hier 10.85.10.1 als IP und /24 als Subnetzmaske. Ein „Upstream gateway“ muss nicht konfiguriert werden. Speichere die vorgenommen Änderungen mit „Save“.
Nachdem du auf „Save“ geklickt hast, erscheint oben noch ein Pop-Up, auf dem du noch „Apply Changes“ anklicken musst. Dann werden die Änderungen auch übernommen.
3. Schritt - pfSense | DHCP Server Range anpassen
Damit die Clients in dem neuen WLAN-Netzwerk auch automatisch eine IP-Adresse zugewiesen bekommen sollen, muss noch der DHCP-Server aktiviert und auch konfiguriert werden.
Navigiere dazu über „Services“ zu „DHCP Server“.
Wähle im oberen Reiter dann dein gerade erstelltes Netzwerk-Interface aus.
Setze den Haken bei „Enable DHCP server on x interface“, um den DHCP Server auf diesem Interface zu aktivieren.
Nun musst du noch den DHCP-Bereich, oder auch Range anpassen. Dieser ist der IP-Adressbereich, aus dem die Clients eine IP erhalten. Diese zwei Werte können auch auf belassen werden, wenn die Clients IPs aus dem gesamten Netz zugeteilt bekommen sollen. Wir passen dies allerdings an.
Als Start-IP verwenden wir: 10.85.10.100 und als End-IP 10.85.10.200.
Wenn du alles nach deinen Wünschen konfiguriert hast, kannst du unten auf „Save“ klicken.
Nun hast du alle Konfigurationsschritte auf der pfSense Firewall abgeschlossen. Jetzt das erstellte Netzwerk noch auf dem UniFi Controller konfiguriert werden.
4. Schritt - UniFi Controller | Netzwerk erstellen
Um das erstellte VLAN einem Drahtlos-Netzwerk zuweisen zu können, muss man erst ein „Netzwerk“ konfigurieren, dass dann wiederum im Drahtlos-Netzwerk ausgewählt werden kann.
Navigiere über die „Einstellungen“ zu „Netzwerke“ und klicke auf „Neues Netzwerk erstellen“.
Trage hier wieder einen Namen für das Netzwerk ein.
Achte darauf, dass „Verwendung“ auf „Unternehmen“ und „Schnittstelle“ auf „LAN“ steht.
Bei „VLAN“ kannst du dann dein VLAN-Tag eintragen, mit dem du in pfSense das neue Netzwerk erstellt hast.
Unter „Gateway IP / Subnetz“ trägst du dann die in Schritt 2 vergebene IP-Adresse mit Subnetz ein. Der UniFi Controller ermittelt dann automatisch Gateway IP, etc.
„Domainname“ ist deine lokale Domain, welche du in pfSense hinterlegt haben solltest.
Den DHCP-Modus kannst du auf „Keine“ stellen, da du in pfSense den DHCP Server aktiviert und konfiguriert hast.
Wenn du alle Parameter und Werte angepasst hast, kannst du auf „Speichern“ klicken.
Auch wenn bei manchen Parametern „
“ erscheint, ist für diese Anleitung kein USG notwendig!
5. Schritt - UniFi Controller - UniFi AP | Neues Drahtlos-Netzwerk erstellen
Als letzten Schritt musst du noch ein neues Drahtlos-Netzwerk erstellen und dort das gerade erstellte Netzwerk auswählen. Natürlich kannst du auch ein bestehendes Netzwerk verwenden.
Navigiere dazu über die „Einstellungen“ zu Drahtlos-Netzwerke und klicke dann auf „Neues Drahtlos-Netzwerk erstellen“.
Trage dort den „Namen / SSID“ ein und setze den Haken bei „Aktiviert“.
Wir erstellen ein, mit einem Passwort geschützes WPA-WLAN, weswegen wir bei „Sicherheit“ „WPA Personal“ auswählen und einen Sicherheitsschlüssel eintragen.
Der wichtigste Schritt ist, bei „Network“ dein gerade erstelltes Netzwerk auszuwählen. Dann kannst du auf „Speichern“ klicken.
Natürlich kann man auch noch weitere Einstellungen am Drahtlos-Netzwerk vornehmen, allerdings ist diese Anleitung nur dafür da, die Konfiguration eines VLANs zu zeigen.
Nun hast du die Konfiguration abgeschlossen. Deine Clients, die sich mit dem erstellten WLAN-Netz verbinden, sollten eine IP-Adresse aus dem konfigurierten DHCP-Bereich erhalten.
Warum das ganze Prozedere? Jetzt kannst du in den Firewall Regeln den Clients in diesem WLAN-Netzwerk zum Beispiel verbieten, sich in anderen Netzwerken deiner Firewall zu bewegen. Auch eine Sperre von Ports oder Websites ist nun möglich.
Wir hoffen, dass dir diese Anleitung weitergeholfen hat! Wenn du Fragen hast, kannst du diese gerne in den Kommentaren stellen! Wir versuchen dir weiterzuhelfen.
Fertig!
Zufrieden? Dann schreib gerne einen Kommentar.
Ein Kommentar