Gast WLan einrichten mit VLAN oder Subnetz
 

Hallo,

auf drängen der Kids fühle ich mich nun quasi "genötigt" ein Gast WLAN einzurichten.
Es soll wirklich nur für Gäste sein und den Traffic in mein privates Netzwerk NICHT erlauben!

Gegebenheiten:

Fritzbox Kabelmodem
IP 192.168.0.1
DHCP server ein 192.168.0.20 - 192.168.0.250

Cisco SG300
IP 192.168.0.5
Level 3 aktiviert
VLAN fähig

Draytek Vigor AP 800
IP 192.168.0.8
Vlan fähig
Multiple SSID fähig -
Multiple Lan (LanA und LanB) fähig

der AP hängt mit einem Kabel (LANa) auf dem Cisco Switch und diese an der Fritzbox

Ist Zustand: SSID: PrivateWLAN Lan a vlan - 0 (untagged)
SSID: GastWLAN Lan a Vlan - 100

Port 3 am Cisco ist mit dem Draytek AP verbunden
Port 10 am Cisco hängt am Router
Port 1-2+4-9 sind mit "privaten" Netzwerkgeräten verbunden

Ich habe bereits folgendes Versucht:

Gastwlan in ein zweites Subnetz gelegt - Routing in der Fritzbox festgelegt

- Internet funktioniert
- Netzwerktrennung nicht

Gastwlan in gleiches Subnetz wie privatwlan gelegt

- internet funktioniert
- Netzwerktrennung nicht

GastWlan mit VLAN Tag 100 vermerkt - und gleiches Subnetz wie PrivatLan (untagged)

- Internet funktioniert nicht
- Netzwerktrennung nicht erkennbar

Ich würde es gerne so einrichten, dass ich

a) ein zweites Subnetz für die Gastzugänge habe (AP hat einen kleinen DHCP Server intus)
b) per VLAN alle Gastaktivitäten von den privaten Netzwerken trenne

Ich möchte NICHT

a) das Gast-WLAN der Fritzbox aktivieren
b) ein zweites Kabel vom AP zur Cisco oder dem AP legen - wenn möglich sollte der Traffic über eine Lan Leitung gehen!
c) eine PFsense oder wie auch immer dieses Firewallding heißt dazwischen schalten
d) ein weiteres Kabel von dem Cisco Switch an die Fritzbox anschließen --> kein freier Port mehr!

Hat jemand Tipps zur Konfiguration?

Wie muss ich zB. den Cisco Switch einstellen, dass die Privaten (ungetaggten) Pakete sich frei im Netz und ins Internet bewegen können, und die Getaggten Gast Pakete lediglich ins Internet gehen?
Ist mein Vorhaben überhaupt möglich?

PS: VLan ist bei mir so ein ding, das ich nie "ganz" verstanden habe, obwohl ich die Standard Literatur schon gelesen hatte... vielleicht ein bisschen "Einfacher erklären" ? ;)

Merci schon mal vorab
Wenn ihr noch mehr input braucht, einfach melden... wäre für jede Hilfe dankbar

Der Switch müsste doch ACLs können. Damit müsstest du den Zugriff auf das zweite vlan verbieten können.

ACLs ja, aber auf welcher Ebene?
VLAN gebunden scheint nicht zu gehen...

Dann eher ein Subnetz für die Gäste aufbauen und per ACL auf IP Ebene unterbinden?

192.168.0.x = Hauptnetzwerk
192.168.1.x = Gastnetzwerk

in dieser art?
http://i62.tinypic.com/144a3r.jpg

Du brauchst
Gastnetz->Internet erlauben
Gastnetz->Hauptnetz verbieten

EDIT: Wenn du keine "Default Policy" wie "Verbiete alles was nicht erlaubt ist" eingestellt hast kannst du dir "Gastnetz->Internet erlauben" auch sparen.

Jetzt habe ich auch noch n Brett vorm Kopf

wie muss nun noch mal das routing aufsetzen?
AP mit dhcp hat die IP 192.168.1.8
Der Cisco die 192.168.0.5
fritzbox 192.168.0.1

Gateway für das gastnetz ist auf 192.168.0.1 gesetzt
Dhcp dort 192.168.1.x

Knoten im kopp... Hilfe bitte ��

Passt doch.

Eben....
Das brachte mich auch ins Grübeln.. aber danke!
Habe den Fehler gefunden... ich KANN Lan-B für das Gast SSID auf dem AccessPoint nicht nutzen, wenn kein Kabel im Lan-B Port ist.. *facepalm*

Hab nun eine andere Lösung gefunden....

Gast SSID bekommt ein VLAN TAG...
Das wird an den Cisco übergeben und der Cisco einen besonderen Port, der ans Gastnetzwerk der Fritzbox angeschlossen ist... (Hab halt ein Port am Cisco freigeräumt um das realisieren zu können...

Test erfolgreich... als Gast einloggen.. internet funktioniert... Lan-Geräte nein...
Als Normalo eingeloggt.. internet klappt.. Lan-Geräte ja

Danke nochmal!