Synology WLAN Internet Zugang einschränken.

[T-Bone1806]

Hallo,

ich habe folgendes Projekt:
Ich muss in einem Saal einen WLAN-Zugang für die Gäste bereitstellen.
Diese dürfen aber nicht das ganze Internet erreichen, sondern nur zwei bis drei Internet Seiten (http und https) und eine IP-Adresse (wird über eine APP als download-server gebraucht).
Die Grundausstattung ist eine FritzBox 7272, mit der es sich leider nicht sauber realisieren lässt.

Jetzt habe ich mir gedacht, dass ein guter AP das sowieso kann. Also habe ich mal einen UniFi AC Pro geholt, doch leider kann ich da keine sperren einrichten.
Bevor ich jetzt weitere AP's kaufe und teste, frage ich mal bei euch Profis nach, wie ich das realisieren könnte.
Kann das z.B. der RT1900ac?

Bin für jeden Tipp dankbar, da ich I-Net leider auch nicht so richtig fündig geworden bin.

Gruß
Timon

 

[JudgeDredd]

Hallo,

mit der Fritte wirst Du das nicht vernünftig lösen können. Ich kenne den RT1900ac zwar nicht, aber wenn das auch so eine rundum-glücklich-box mit Router und WLAN in einem ist, vermutlich auch nicht.

Die UAP's setze ich bei mir auch ein. Wenn Du das Gastnetz separieren möchtest, brauchst Du zuerst mal ein Stück Hardware, was VLAN's beherrscht (Router oder L3-Switch)

Nun musst Du noch Deine "Gäste" Authentifizieren.
Das machst Du entweder hübsch über ein kleines Webportal (Stichwort: "captive Portal") oder
Du nimmst einen Proxy (z.B. Squid). Dann musst Du aber jedem vorher die Info geben und erklären wo er das in seinem mobilen Endgerät einrichtet.
Dann noch einen RADIUS Server (optional kann man auch bei manchen Portalen lokale User auswählen), der die Verbindung zwischen AP und Deiner User-DB herstellt.

Gruß,
Andreas

 

[T-Bone1806]

Hallo Andreas,

Danke für deine Antwort.
Sieht so aus, als würde es mehr Aufwand sein, als ich gedacht habe.
VLan kann der unifi nicht, also geht der wieder zurück.
Muss mal schauen, welches Gerät dafür geeignet ist und ob der Syno AP das kann.

Mein Budget diesbezüglich ist leider auch begrenzt.
RADIUS sagt mir jetzt auch nichts und wie ich das konfiguriere.
Aber erst mal eins nach dem anderen. Die HW muss VLan können.

An den Endgeräten soll nicht eingestellt werden. Das sonst du aufwendig für mich.

 

[JudgeDredd]

VLan kann der unifi nicht

Sicherlich kann der UAP das. Das ist es ja gerade was ihn ausmacht !
der UAP AC Pro kann mSSID auf VLAN taggen.

Ich habe so ein wenig den Verdacht, das Du nicht genau weisst, wie Du Dein Vorhaben umsetzen möchtest.
Dein schwarzes Loch ist zur Zeit der Router.
Bevor Du weiter Hardware bestellst und wieder zurückschickst etc.
Solltest du erstmal ein Konzept erarbeiten was genau Du realisieren möchtest, was für Hardware/Software benötigt wird und dann schauen was vorhanden ist.

Wenn Du ein wasserdichtes WLAN mit Gästenetz aufziehen möchtest ist das in der Tat nicht ganz so trivial wie es im Konsumerbereich und FritzBox kommuniziert wird.

Gruß,
Andreas

 

[T-Bone1806]

Was ich realisieren möchte weis ganz genau, nur das WIE habe ich mir anscheinend zu einfach vorgestellt.
Es soll ein WLAN für "Gäste" eingerichtet werden, dass einen beschränkten Internet Zugang hat.


Ich habe zu Hause eine FB 4790 und in der kann ich z.B. mittels eine Whitelist bestimmte Internetseiten freigeben und den rest sperren.
Nun bin einfach davon ausgegangen, dass man den Gastzugang im UAP auch so beschränken kann.
Ist doch im Grunde nichts anderes, wie eine Firewall, die alles blocken soll außer domain.XYZ

Ich muss zugeben, das ich mich in der Materie nicht so gut auskenne, aber durchaus bereit bin diese Herausforderung an zu nehmen.

Die aktuell vorhandene HW:
FritzBox 7272
UniFi AP AC PRO (Extra bestellt dafür)

Das Budget liegt bei ca. 200 €.(UAP inkl.)

Ach ja, das WLANn muss nicht bomben Sicher sein. Es soll halt verhindert werden, das der Ottonormalverbraucher, der kA von dem Thema hat, den Zugang für private Zwecke nützt.

Ich hoffe ich konnte das jetzt ein bisschen besser erklären.

 

[JudgeDredd]

Es soll ein WLAN für "Gäste" eingerichtet werden

Also wenn Du tatsächlich nur ein Gäste-WLAN haben möchtest OHNE ein zweites oder drittes Netz, das andere Konfigurationen haben soll und JEDER Gast einfach eine Verbindung aufbaut ohne Authentifizierung,
dann brauchst Du natürlich keine VLAN Technik.
Hier reicht dann ein Content-Filter in Form eines Proxys oder meinetwegen auch der FritzBox, sofern das dort geht und fertig.
Dafür wäre der UAP AC pro definitiv oversized, kann es aber natürlich dennoch.
Gibt es auch noch ein Stück Blech, was den UAP Controller hosted ? Für den Fall das Du mehrere AP's hast und auf Zero-handoff wert legst.