Gastennetwerk via access points: gebruik ConnectBox als DHCP-server

jeso

We hebben thuis een ConnectBox met daar aan een aantal (bedrade) access points van Unifi. Nu willen wij ons gewone draadloze thuisnetwerk en het gastennetwerk via deze access points laten lopen, omdat de WiFi van de ConnectBox niet overal in huis komt. Het regelen van het gewone WiFi-netwerk is makkelijk en dat loopt. Het gastennetwerk is helaas lastiger, want uiteraard willen wij het thuisnetwerk gescheiden van het thuisnetwerk houden (anders heeft het weinig zin). Hiertoe zou ik het liefst het subnet-management en de DHCP-server van de ConnectBox gebruiken, en ik heb in de access points ook ingesteld dat de DHCP-server van het gastennetwerk op 192.168.101.1 zit. Hier krijg ik ook zonder probleem connectie mee, maar deze geeft helaas IP-adressen in de 192.168.1 range (van het thuisnetwerk) uit :-(.

Nu de vraag: is het überhaupt mogelijk dit met de ConnectBox voor elkaar te krijgen? Of wordt ik door Ziggo gedwongen naar een oplossing te gaan die óf totaal van Ziggo óf totaal van mij is?

Een gerelateerde vraag dit tijdens het typen in mij opkwam: kan het zijn dat ik IP-adressen in de thuisnetwerkrange terugkrijg omdat apparaten waarmee ik test genoemd staan in de lijst van gereserveerde IP-adressen? En dat de ConnectBox dus eerst kijkt of het MAC-adres in deze lijst staat en, wanneer dat niet zo is, dan pas gaat bepalen welk IP-adres het moet worden, zelfs al komt het verzoek op 192.168.101.1 binnen?

tobiastheebe

De LAN-instellingen in de UniFi-controller zijn alleen van toepassing als je een UniFi-router zoals een USG of UDM gebruikt, in andere gevallen hebben ze geen effect. Het subnet 192.168.101.0/24 bestaat dus niet.

Het SmartWifi modem biedt geen ondersteuning voor meerdere subnets, DHCP-scopes of (V)LAN's, hiervoor heb je een eigen router nodig. Zonder eigen router kun je hoogstens client isolation voor de gast-SSID inschakelen via Guest Control, Post-Authorization Restrictions, zodat apparaten op deze SSID niet met andere apparaten in het LAN kunnen verbinden.

Als je daadwerkelijk 192.168.101.0/24 wilt gebruiken voor de gast-SSID, dan zou je daarvoor een VLAN (bijvoorbeeld 101) moeten maken op een eigen router en switch en deze tagged aanbieden op de betreffende switchpoort. Op de eigen router maak je een tweede DHCP-scope aan voor het subnet. In de UniFi-controller kun je vervolgens opgeven dat de gast-SSID, VLAN 101 moet gebruiken. Pas dan zullen apparaten die verbinden met de gast-SSID, een IP-adres binnen subnet 101.0/24 ontvangen. In de firewall kun je tenslotte regels aanmaken die bijvoorbeeld ervoor zorgen dat 101.0/24 niet met 1.0/24 kan communiceren. Het kan ook zonder een VLAN, alleen moet je dan een AP apart houden voor gasten. Anders gezegd kun je zonder VLAN's niet meerdere subnets op hetzelfde AP laten binnenkomen om voor SSID's te gebruiken.

Bekijk in context

tobiastheebe

DHCP vormt inderdaad een uitzondering op deze regel, het is niet nodig om handmatig een uitzondering te maken voor de DHCP-server/router.

De andere subnets hebben inderdaad geen functie en kun je eventueel verwijderen, 192.168.0.0/16 kun je nog aanpassen naar 192.168.1.0/24.

Bekijk in context

tobiastheebe

De LAN-instellingen in de UniFi-controller zijn alleen van toepassing als je een UniFi-router zoals een USG of UDM gebruikt, in andere gevallen hebben ze geen effect. Het subnet 192.168.101.0/24 bestaat dus niet.

Het SmartWifi modem biedt geen ondersteuning voor meerdere subnets, DHCP-scopes of (V)LAN's, hiervoor heb je een eigen router nodig. Zonder eigen router kun je hoogstens client isolation voor de gast-SSID inschakelen via Guest Control, Post-Authorization Restrictions, zodat apparaten op deze SSID niet met andere apparaten in het LAN kunnen verbinden.

Als je daadwerkelijk 192.168.101.0/24 wilt gebruiken voor de gast-SSID, dan zou je daarvoor een VLAN (bijvoorbeeld 101) moeten maken op een eigen router en switch en deze tagged aanbieden op de betreffende switchpoort. Op de eigen router maak je een tweede DHCP-scope aan voor het subnet. In de UniFi-controller kun je vervolgens opgeven dat de gast-SSID, VLAN 101 moet gebruiken. Pas dan zullen apparaten die verbinden met de gast-SSID, een IP-adres binnen subnet 101.0/24 ontvangen. In de firewall kun je tenslotte regels aanmaken die bijvoorbeeld ervoor zorgen dat 101.0/24 niet met 1.0/24 kan communiceren. Het kan ook zonder een VLAN, alleen moet je dan een AP apart houden voor gasten. Anders gezegd kun je zonder VLAN's niet meerdere subnets op hetzelfde AP laten binnenkomen om voor SSID's te gebruiken.

Karel.

In unifi controller een gastnetwerk aanmaken zie afbeelding. Gasten beleid en Netwerk Guest netwerk kiezen. De Connectbox DHCP zal dan gewoon een IP adres uitdelen maar de wifi clients zouden alleen via de gateway (Connectbox) het internet op kunnen maar geen toegang hebben op het LAN.

tobiastheebe

@Karel. Met deze instellingen (en de Post-Authorization Restrictions onder Guest Control/Gasttoegang) is er inderdaad client isolation, zoals ik mijn reactie hierboven beschreef. TS wil echter de gast-SSID aan een gescheiden subnet koppelen.

Karel.

Zeker, dan zal hij echter met een router met VLAN’s moeten werken.

De connectbox is daar te beperkt voor.

tobiastheebe

Inderdaad, zoals ook in mijn eerste reactie in dit topic beschreven.

Karel.

Uitgedeelde IP adressen hebben een lease tijd. Netwerk apparaten van normale clients en gasten die krijgen een ip adres van de DHCP maar na verloop van de lease tijd komen die weer vrij. Apparaten met gereserveerd adres krijgen aan de hand van het MAC adres steeds weer hetzelfde adres uitgedeeld. Dit is onafhankelijk van het gekozen Wifi netwerk of Gasten Wifi netwerk.

Dus als je het test apparaat weer contact laat maken met het gewone LAN of Wifi netwerk krijgt het het zelfde IP adres terug, maar omdat het niet meer via het gast Wifi verbinding maakt heeft het dan weer gewoon normaal toegang tot je LAN.

De unifi-AP’s bepalen afhankelijk van het gekozen Wifi-ssid of het een gast is of een normale WLAN/LAN client en de daarbij toegangs mogelijkheden.

Jamyla

Goedemiddag @jeso

Allereerst welkom op onze Community. Een mooi platform waar we onderling onze kennis en kunde met elkaar delen.

Zo te zien heb jij ook al veel tips gekregen van o.a. @tobiastheebe

Heb je hier wat aan gehad?

jeso

Dank voor je uitgebreide reactie! Als ik het goed begrijp dan kan de connectbox niet wat ik wil, en heb ik hiervoor een aparte router nodig, nl. een router die VLANs ondersteunt. Jammer, maar het is niet anders.

De optie om de clients te isoleren zou genoeg zijn (want dat ik wat ik wil: gasten die wel toegang tot internet hebben maar bv. niet bij de NAS of de printer kunnen) maar ik begrijp eigenlijk niet dat dat wél zou werken. Dat de APs het directe verkeer tegenhouden is duidelijk, maar de ConnectBox weet toch van niets, en zal dus iedereen met iedereen verbinden?

jeso

Bedankt voor je reactie, maar ik begrijp het niet: waarom zou de ConnectBox luisteren naar wat ik in de APs heb ingesteld? Dat kan ik niet geheel volgen.

jeso

Dat leek mij de enige oplossing. Ik hoor jullie beiden echter iets anders zeggen, en dat zou ik graag begrijpen. Want het lijkt voldoende, maar zeker weten doe ik het niet.

jeso

Bedankt voor de uitleg dat gereserveerde adressen hoe dan ook een vast IP-adres hebben, onafhankelijk van welke manier ze binnen komen.

tobiastheebe

VLAN's zijn inderdaad nodig als je SSID's op hetzelfde AP aan verschillende subnets wil koppelen.

Bij client isolation worden op het AP zelf firewall-regels aangemaakt. Standaard zijn dit de RFC 1918-subnets, zoals ingevuld bij 'Post-Authorization Restrictions'. Verkeer vanaf de betreffende SSID's naar deze subnets wordt dus geblokkeerd (dropped) en komt niet bij modemrouter terecht.

jeso

Voor de zekerheid: bij mij staan de post-authorization restrictions o.a. op 192.168.0.0/16, en als ik het goed begrijp is dat het AP dus alles (dat vanaf een apparaat dat aan een gastennetwerk hangt) dat naar 192.168.*.* gaat blokkeert (ik neem aan m.u.v. de DHCP server). In de lijst staan ook nog 172.16.0.0/12 en 10.0.0.0/8 maar die zullen geen impact hebben, lijkt me.

tobiastheebe

DHCP vormt inderdaad een uitzondering op deze regel, het is niet nodig om handmatig een uitzondering te maken voor de DHCP-server/router.

De andere subnets hebben inderdaad geen functie en kun je eventueel verwijderen, 192.168.0.0/16 kun je nog aanpassen naar 192.168.1.0/24.

jeso

Dit is precies zoals ik het heb begrepen.
En het werkt ook, ik heb het net getest 😉

Bedankt!

tobiastheebe

Fijn om te lezen!

Destijds heb ik wel geconstateerd dat ARP-verkeer ook wordt doorgelaten als uitzondering op deze regel, het is dus nog wel mogelijk om de apparatuur in het LAN zichtbaar te maken met een scanner-applicatie.

Gastennetwerk via access points: gebruik ConnectBox als DHCP-server

Niet gevonden wat je zocht?

Vind de oplossing met onze zoekmachine

Stel je vraag aan andere community leden