Deutschsprachiges Forum

Reply
Occasional Contributor II

Eine SSID und mehrere User und VLANs separieren

Hey Leute

 

Ich suche nach einer einfachen Lösung folgendes Problem:

Ich habe eine SSID und die Besucher melden sich über Username + Passwort an.

Anhand des Benutzername, wird dem User ein VLAN zugewiesen z.B. 192.168.2.X = VLAN2. Ein anderer Benutzer bekommt dann VLAN3 mit 192.168.3.X. Nun möchte ich es unterbinden, dass diese zwei miteinander kommunizieren können, aber z.B. mit dem öffentlichen VLAN 192.168.1.X. Jeder User bekommt dann auch anhand des Benutzername eine Bandbreitenbeschränkung. Ich möchte aber nicht jedem einzelnen alle verbindungen zu allen anderen VLAN verbieten, sonst bin ich ja ewig dran bei 30 User und 30 VLANs. Gibt es eine Möglichkeite mit einer Regel, alle Verbindungen in ein anderes VLAN zu unterbinden ausser auf die öffentliche? 

Konkret sind das 30 verschiedene Unternehmen in einem Coworking-Space. Diese dürfen nur dann untereinander kommunizieren, wenn diese das ausschlisslich wollen. Ansonsten dürfen diese nur auf den Drucker zugreifen im LAN. Die Benutzer dürfen aber in Ihrem eigneten VLAN kommunizieren sprich: 192.168.2.12 darf mit 192.168.2.15 und mit dem öffentlichen Drucker 192.168.1.80 aber nicht mit 192.168.3.17

 

Ich kann schon 30 Regeln pro VLAN erstellen, aber das ist ziemlich mühsam. Gibt es eine bessere Regel mit Deny all VLANs except VLAN?

Contributor II

Re: Eine SSID und mehrere User und VLANs separieren

Hi, 

 

kannst du das nicht einfach über die ACLs mit IPs in den Rollen handhaben?

 

Also VLAN2 ACL:

192.168.1.0/24 allow  - public space

192.168.2.0/24 allow  - vlan 2 space

192.168.0.0/16 deny

 

VLAN 3 ACL:

192.168.1.0/24 allow  - public space

192.168.3.0/24 allow  - vlan 3 space

192.168.0.0/16 deny

 

 

Occasional Contributor II

Re: Eine SSID und mehrere User und VLANs separieren

Danke für die schnelle Antwort.

 

Muss ich so nicht bei jedem 28 Denys rein machen und 2 allows?

Wo kann ich das im neuen Webinterface konfigurieren, finde die Einstellungen ACL nicht.

 

Contributor II

Re: Eine SSID und mehrere User und VLANs separieren

Wenn die IP Ranges so sind, wie oben geschrieben, dann müsste das so gehen. 

Der Bereich 192.168.0.0/16 enthält dann ja alle VLANs und es gibt ein Allow nur explizit für die Ranges 192.168.1.0/24 und 192.168.X.0/24.

 

Ich weiß nicht, was für eine Installation das ist. Bei Instant gehts unter Security -  Roles.

Bei AOS 8.X ist es unter Configuration - Roles & Policies.

Occasional Contributor II

Re: Eine SSID und mehrere User und VLANs separieren

Hey Danke noch einmal.

Ist es das hier im Anhang?

 

Wie trage ich das ein? Kenn mich da nicht so aus.

Contributor II

Re: Eine SSID und mehrere User und VLANs separieren

Genau, bei Netzwerk rechts in deinem Bild, dann die entsprechenden IP Ranges und Masken eintragen. Wichtig ist dann eben die Reihenfolge, so dass das Deny unten kommt.
Occasional Contributor II

Re: Eine SSID und mehrere User und VLANs separieren

Also so wie im Anhang und dann noch "allow all" entfernen oder? Das wäre jetzt VLAN2

 

Danke dir.

Contributor II

Re: Eine SSID und mehrere User und VLANs separieren

Ja sieht gut aus.
Occasional Contributor II

Re: Eine SSID und mehrere User und VLANs separieren

Super, ich werde das gleich mal alles einrichten und testen. Hab die Lösung schon markiert.

 

Danke

Occasional Contributor II

Re: Eine SSID und mehrere User und VLANs separieren

Hab noch ein Problem.

Meine zwei AccessPoints haben die IP:

192.168.0.213
192.168.0.164

 

Wenn ich das wie oben erwähnt einstelle, gibts keine IPs und auch kein Internet. Ich hab versucht speziell noch die folgenden IPs frei zu geben inkl. 192.168.0.1 und dann erst "192.168.0.0 / 255.255.0.0 deny" doch das klappt dann trotzdem nicht. 

Wie müsste ich die Regeln einstellen, damit es mit dem Internet trotzdem noch klappt?

Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: