Heute möchte ich kurz darauf eingehen, wie einfach es ist, WLAN für Gäste mit Aruba Instant bereitzustellen. Ich zeige euch dazu zwei Wege. Der erste Weg kommt ganz ohne weitere Hilfsmittel aus, während der zweite Weg bereits bestehende VLANs im Netzwerk nutzt.
Für die heutige Anleitung setze ich voraus, dass Aruba Instant bereits erfolgreich eingerichtet wurde und WLAN bereitstellt. Nun soll noch Guest-Wi-Fi hinzugefügt werden.
Variante 1: Natives Gäste-WLAN mit source-NAT
Nach dem Login im linken Bereich Configuration -> Networks auswählen. Dort mittels Klick auf das „+“-Symbol eine neue SSID hinzufügen.
Wichtig ist, direkt in den Grundeinstellungen die Art des WLANs richtig festzulegen. „Type“ deswegen auf „Wireless“ einstellen, „Primary usage“ ist „Guest“. So werden die Grundeinstellungen direkt korrekt voreingestellt.
Unter der Schaltfläche „Show advanced options“ am unteren Bildschirmrand verbergen sich weitere Optionen, die für ein Gast-Netzwerk wichtig sind.
Ihr solltet wie in den Bildern die Einstellungen vornehmen. Die zugeklappten Bereiche müssen nicht verändert werden. Wichtig sind vor allem die Einstellungen im Bereich „Bandwidth Limits“. Ich empfehle die Begrenzung der Bandbreite über „Downstream“ und „Upstream“ auf die gesamte SSID. Stellt das Gäste-WLAN so ein, dass noch genug gesicherte Bandbreite für euer privates WLAN zur Verfügung bleibt. Aruba Instant übernimmt den Rest. Finger weg von der Airtime-Einstellung. Die Limits sind dort schwer kalkulierbar. Ich selbst nutze sie sehr selten.
Unter „Miscellaneous“ unbedingt die Option „Deny inter user bridging“ aktivieren. Ansonsten können sich die im Gäste-WLAN verbundenen Endgeräte gegenseitig sehen. Versteckt auf keinen Fall die SSID, denn das macht das heimische WLAN für Angreifer sogar sichtbarer. Wenn alle Einstellungen vorgenommen wurden, unten auf die Schaltfläche „Next“ klicken.
Nun muss unter „Client IP & VLAN Assignment“ die Einstellung so gewählt werden, dass Aruba Instant selbst die IP-Adressen vergibt. Die Clients im Gäste-WLAN werden dann durch source-NAT vom restlichen Netzwerk separiert. Deshalb wird unter „Client IP assignment“ die Einstellungen „Virtual Controller managed“ gewählt. Bei „Client VLAN assignment“ wird „Default“ eingestellt.
Nach einem weiteren Klick auf die Schaltfläche „Next“ wird nun das Security Level festgelegt. Typischerweise kennt man diese Funktion auch unter den Begriffen Captive Portal oder Hotspot. Unter „Splash page type“ wird festgelegt, ob und wie ein User sich am Hotspot anmelden muss. Die Optionen sind selbsterklärend und können je nach Auswahl im rechten Bildschirmbereich angepasst werden. Die Option „Enhanced Open“ sollte aktiviert bleiben, denn diese Option bewirkt, dass Client und Access Point per Diffie-Hellman-Schlüsselaustausch beim Zugriff den 4-way-handshake ausführen. Kurzgesagt: Das macht WLANs ohne Verschlüsselung sicherer. Für noch mehr Sicherheit wählt ihr alternativ die Option „Encryption“ aus. Dort nutzt ihr dann die entsprechende Option eurer Wahl, zum Beispiel das ganz neue WPA3.
Der Klick auf „Next“ bringt euch zum nächsten Schritt. Dort müsst ihr allerdings nichts weiter einstellen, so dass ein weiterer Klick auf „Finish“ den Vorgang auch schon beendet und die neue SSID einrichtet. Diese wird nun an alle Access Points im Cluster verteilt und das Gäste-WLAN kann nun genutzt werden. Die Gäste werden keinen Zugriff auf die anderen Endgeräte im WLAN haben und nicht auf das private Netzwerk zugreifen können.
Variante 2: Gäste-WLAN mit eigenem VLAN
Der zweite Weg ist dem ersten Weg sehr ähnlich, bindet aber bereits vorhandene Infrastruktur in eurem Netzwerk ein. Habt ihr im Netzwerk bereits eine eigene VLAN-ID für Gästenetzwerke, könnt ihr diese natürlich nutzen. So habt ihr eine zentrale Stelle, an der ihr IP-Adressen, Hotspot-Einstellungen oder Firewall-Regeln verwalten könnt. Ich selbst nutze so ein Setup, bei dem meine Sophos Firewall ein Gäste-VLAN bereitstellt. Dort wird das Captive Portal verwaltet, dort läuft der DHCP-Server für das VLAN und dort werden auch die entsprechenden Firewall-Regeln angewendet. Aruba Instant stellt nur das passende WLAN zur Verfügung und sorgt dafür, dass alle Endgeräte im richtigen VLAN für Gäste aufschlagen.
Wie das geht ist einfach. Folgt der oben beschriebenen Variante bis zum Schritt „Client IP & VLAN Assignment“, denn die Einstellungen bis dahin sind identisch. Bei „Client IP & VLAN Assignment“ wird unter „Client IP assignment“ nun aber „Network assigned“ eingestellt, bei „Client VLAN assignment“ wird „Static“ ausgewählt. Im nun neu erscheinenden Feld „VLAN“ wird jetzt die passende VLAN-ID eingetragen. Alle Endgeräte, welche sich nun mit dem Gäste-WLAN verbinden, sind dann im entsprechenden VLAN separiert.
Im nächsten Schritt (Klick auf „Next“ um zum Bereich „Security Level“ zu kommen) kann je nach Anwendungsfall das Captive Portal aktiviert oder deaktiviert werden. Kommt ganz darauf an, ob innerhalb des VLANs bereits ein entsprechender Dienst verwendet wird. Ansonsten sind die Einstellungen zu den Einstellungen aus Weg 1 identisch.
