sticky Frage GästeWLAN beim TG 789/788........


  • andi
  • andis Avatar Autor
  • Offline
  • Administrator
  • Administrator
  • Der Chef bin i.........
Mehr
23 Jul 2013 08:17 - 23 Jul 2013 08:19 #55850 von andi
GästeWLAN beim TG 789/788........ wurde erstellt von andi
Nachdem auch dazu einige Anfragen eingegangen sind, fasse ich hier nochmals die Schritte zusammen, wie ein Gästenetz mit einem virtuellen Accesspoint und einem separierten Ethernetport bei Thomson Gateways aufgebaut werden kann.

Voraussetzungen: Zugriff aufs CLI, über das Webinterface ist eine derartige Konfiguration nicht möglich.
Eckdaten: Es wird ein eigenes Gästenetz mit dem IP-Bereich 10.0.1.0/24 inklusive eigenem DHCP - Server aufgesetzt. Alle Rechner, die sich mit dem virtuellen AP "WLANGast" verbinden oder über den Ethport 4 mit dem Thomson Gateway verbunden werden, sind in diesem Netz. Client Isolation verhindert, dass sich die Gäste gegenseitig sehen können, auch der Zugriff aufs eigene Lan (10.0.0.0/24) ist nicht möglich, Internetzugriff wird über die Firewall geregelt, das kann auch übers Webinterface aus- bzw. eingeschalten werden.

1) Virtuellen AP definieren und aktivieren, ich habe ihn wie oben erwähnt "WLANGast" genannt:
=>wireless mssid ifadd radio_id=0
Allocated ssid id[0/1] ethernet port[wl_ssid1_local0]
=>wireless mssid ifconfig ssid_id=1 ssid="WLANGast" apisolation=enabled any=enabled secmode=wpa-psk WPAPSKkey=test12345 WPAPSKversion=WPA+WPA2
 radio_id=0
=>wireless mssid ifattach ssid_id=1 radio_id=0
=>wireless macacl config ssid_id=1 radio_id=0 control=unlock regtime=60
=>:wireless wps config ssid_id=1 radio_id=0 state=disabled
=>:wireless wps mode ssid_id=1 radio_id=0 state=configured
=>:wireless wps ap_pin ssid_id=1 radio_id=0 value=12345678

2) In die Bridge legen, das Interface taufte ich "WLANGuest":
=>eth bridge ifadd brname=bridge intf=WLANGuest dest=wl_ssid1_local0 logging=disabled
=>eth bridge ifconfig brname=bridge intf=WLANGuest wan=disabled igmpsnooping=disabled logging=disabled
=>eth bridge ifattach brname=bridge intf=WLANGuest logging=disabled
=>eth bridge igmpsnooping ifconfig brname=bridge intf=WLANGuest portmode=Auto fastleave=enabled exptrack=disabled mrdp=disabled rgmp=disabled


3) Guestzone wie im obigen Link inklusive Gästewlan anlegen, der Ethernet Port 4 ist auch dabei, das vlan heisst sinnigerweise "guest", das Ethernet Interface "eth_guest", das IP-Interface "GUEST" :
=>eth vlan add name guest vid 5
=>eth bridge vlan ifadd name guest intf ethport4
=>eth bridge vlan ifadd name=guest intf WLANGuest
=>eth bridge vlan ifadd name guest intf OBC
=>eth bridge vlan ifdelete name default intf=WLANGuest
Warning: default VLAN changed for bridge interface to VLAN guest.
=>eth bridge vlan ifdelete name=default intf=ethport4
Warning: default VLAN changed for bridge interface to VLAN guest.

=>eth ifadd intf eth_guest
=>eth ifconfig intf eth_guest dest bridge vlan guest
=>eth ifattach intf eth_guest
=>ip ifadd intf GUEST dest eth_guest
=>ip ifconfig intf GUEST group guest
=>ip ipadd intf GUEST addr 10.0.1.138/24 addroute enabled
=>ip ifattach intf GUEST


4) DHCP-Pool für Guestzone anlegen:
=>dhcp server pool add name=GUEST_pool
=>dhcp server pool config name=GUEST_pool state=enabled allocation=dynamic intf=GUEST poolstart=10.0.1.1 poolend=10.0.1.10 netmask=24 gateway=1
0.0.1.138 lockouttime=180
=>dhcp relay ifconfig intf=GUEST relay=enabled
=>dhcp relay add name=GUEST_to_Local
=>dhcp relay modify name=GUEST_to_Local addr=127.0.0.1 intf=GUEST giaddr=10.0.1.138/24
=>igmp proxy ifconfig intf=GUEST state=inactive
=>service system ifadd name=DNS-S group=guest


5) Firewall konfigurieren:
=>firewall level add name Standard_GUEST index 3 udptrackmode loose service enabled proxy enabled policy drop text "Level Standard mit Interne
tzugang fuer GUEST-Zone"
=>firewall rule add chain forward_level_Standard_GUEST name FromLAN srcintf lan action accept state enabled
=>firewall rule add chain=forward_level_Standard_GUEST name=FromGUEST2WAN srcintf=guest dstintf wan action=accept log enabled state enabled

6) Internetzugang für Guestzone:
=>firewall level set name Standard_GUEST


7) Ach ja, damit die viele Arbeit auch einen Reboot überlebt:
=>saveall
Letzte Änderung: 23 Jul 2013 08:19 von andi.

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Moderatoren: andifrm1912enjoyherby68benderrwhomegeko
Ladezeit der Seite: 0.323 Sekunden
Powered by Kunena Forum