[Frage] Geräte untereinander nicht kommunizieren lassen ohne Gäste-WLAN

[aleks-83]

Hi,

ich habe an meiner F!B 7490 2 Ubiquiti APs die die WLANs aufspannen.
Die F!B macht nur den Internetaufbau und DHCP.
Es gibt auch noch einen managed switch der auch VLAN könnte, falls das hier hilft...

Ich möchte aus verschiedenen Gründen kein Gäste-WLAN (mehr).

• Alle Geräte müssten das Haupt-WLAN aus ihren Einstellungen löschen, oder ich das pw hierfür ändern. Wäre aufwändig, das in allen meinen Geräten wieder zu ändern.
  
• Weitere unnötige SSID
  
• Vermeidung von Interferenzen

Deshalb meine Frage:
Ist es möglich mit der Zugangsprofil-Steuerung ein Gerät im Haupt WLAN so einzuschränken dass es nicht mit den anderen in diesem WLAN befindlichen Geräten komunizieren darf?

Ich habe mir mal ein Profil "Guest" angelegt um die Einschränkungen einzelnen Geräten zu zuweisen.
Das Profil "Gast" kann nur im Gäste-WLAN zugewiesen werden, daher habe ich ein neues erstellt mit gleichen Berechtigungen (Alles sperren außer Surfen und Mailen).

Aber wirkt sich diese Sperre auch auf die Kommunikation im WLAN aus?

 

[HabNeFritzbox]

Nein.
Du kannst die Option aktivieren, betrifft dann aber auch deine eigenen Geräte.

Kannst höchstens MAC Filter für direkte WLAN Geräte an der FB aktivieren und neue Geräte nicht zulassen und die Gäste löschen. Wenn es über andere WLAN AP läuft greift es auch nicht.

Also am besten alles ändern, zwei SSID und so sauber getrennt arbeiten.

 

[Theo Tintensich]

Normalerweise kommunizieren die WiFi-Geräte nur über den Access-Point. Auch die Geräte, die direkt nebeneinander stehen.
Wenn man bei allen verhindern will, dass sie miteinander kommunizieren, muss man diese Geräte identifizieren. Z.B. durch die IP oder MAC-Adresse. Aber nicht die per DHCP-vergebene/benutzte, sondern der, die von der WiFi-Funktion des Access-Points indentifiziert wurde.
In den meisten Fällen arbeitet der AP ja als Bridge, und eine Bridge ändert die MAC nicht.
Wenn man nur mittels Firewall, der ähnlichem, dynamische Regeln auf der Brigde erstellt, welche eine Kommunikation nicht zulassen, verhindert man die Kommunikation der Geräte untereinander.

Man könnte da auch über VLANs machen, doch dann wird die Verwaltung unübersichtlich, denn die WiFi-Geräte sollen ja sicher weiterhin mit den vorhandenen LAN-Geräten kommunizieren.

Wenn man das WiFi nur als HotSpot anbieten will, ist es aber einfacher, man gibt jedem gerät einfach nur solche in kleines Netz, dass es die anderen Geräte nicht sieht.
(Doch wenn jemand an den Netzeinstellungen dreht, kann er wieder zugreifen.)

 

[Phoenixtime]

Hast du es mal per Access Regeln (ACL) auf dem Access Point oder dem Managed Switch probiert?
Die Regeln können so aussehen: zuerst verbietet man den Zugriff in die anderen IP Bereiche. Trifft diese Regel auf das Datenpaket nicht zu, dann soll das Paket durchkommen. Daher das Allow all am Schluss.

Deny 192.168.178.2 - 192.168.178.254
Allow all - all