Schon vor einem Jahr hatte ich das Konzept des Smarthome-WLANs neu entworfen. Immer wieder kam aber etwas dazwischen. :-(
Wie das so ist, hier noch ein smartes GerĂ€t, da noch eine smarte Lampe â es lĂ€ppert sich mit der Zeit. Jetzt sind aber die beiden Fritzboxen endgĂŒltig an ihrer LeistungsfĂ€higkeit angelangt. Immer wieder verschwanden einige GerĂ€te einfach aus dem Netzwerk und der zwei Meter Luftlinie entfernte Firestick verlor die Verbindung zum WLAN. Die Google Assistants gönnen sich gerne zwei oder mehr Sekunden Gedenkpause bis zu einer Reaktion.
Mich nervte das nur, aber Frau war langsam echt angepisst. Und wenn im Smarthome der WAF nicht mehr stimmt, dann aber gute Nacht, Marie! :-(
Mit yEd entwarf ich also ein neues Konzept. Sauberer und logischer getrennt. Zum Thema Sicherheit … ach, da fallen mir so viele Einfalltore ein, dass ich es am besten gleich lasse. Ob ich hier die IP-Ranges angebe oder peng â wer physikalisch in das Netz vordringen, oder die Fritz!Box ĂŒberwinden kann, fĂŒr den ist das Herausfinden einer IP-Range nicht mal eine FingerĂŒbung.
Die 141 kommt von meinen frĂŒheren LAN-Partys, die hatte ich einfach auch privat ĂŒbernommen. UrsprĂŒnglich war das die Range der Firma, in der Wildhurz, einer der MitbegrĂŒnder von NetZock, gearbeitet hatte, soweit ich mit erinnere. Das ist irgendwie dringeblieben bei mir. Tippt sich gut.
Inhalt:
Smarthome-Netzwerk
Die Farben der LAN sind eine Vorgabe des IP-Fire, die man nur durch Fummeln Ă€ndern kann. Ich werde den Teufel tun. Ich Ă€ndere ja nicht einmal den Desktop-Hintergrund bei meinen verschiedenen Betriebssystemen bis hin zum Handy. Schwarz und Magenta rĂŒhren schlicht daher, dass zwei Netzwerkkabel zufĂ€llig diese Farben hatten.
WLANs
Gast-WLANÂ
Benötigen wir ein GĂ€ste-WLAN? Jein, hier auf dem hĂŒgeligen Land ist es mit 4G oder gar 5G nicht weit her. Wenn man nicht mal ordentlich telefonieren kann, ist auch die DatenĂŒbertragung bescheiden. Falls also mal ein Gast Internet benötigt, so hĂ€ngt im Flur eben ein Bilderrahmen mit dem QR-Code.
Die Fritten sind nicht in der Lage, den User ĂŒber die IP-Range des Gast-WLANs entscheiden zu lassen. Das bekommt also die ĂŒbliche Fritten-Gast-189-Range. Verwendet wird Kanal 1 bei 2,4 GHz und Autokanal bei 5 GHz.
Stream-WLAN und -LAN
2,4 GHz: Kanal 1 fĂŒr beide AP, geht bei der Fritz!Box nicht anders. Die sind hier immer gekoppelt.
5 GHz: Autokanal
Hier kommt alles rein, was das WLAN belastet und das man nicht gerne im privaten Netzwerk haben möchte. Audio- und Video-Streaming-Devices, Konsolen und die PoE-Kameras. Letztere hÀngen an einem PoE-Switch in der Smartwand neben der Mesh-Slave-Fritte, die immerhin mit GBit an die Cable-Fritte im Keller angebunden ist.
Dies ist eine „Quasi-DMZ“. Im Prinzip immerhin so sicher wie ein ĂŒbliches Zuhause mit einer Fritz!Box.
Hier findet sich aber auch der Pi-hole, der DNS-basierte Werbefilter. Die Range ist 140.
Privat-WLAN und -LAN
2,4 GHz: Kanal 5 im KG und DG, Kanal 9 im EG. Kanalbreite 20 MHz
5 GHz: Autokanal
Dieser Bereich hĂ€ngt hinter einer Firewall. Das meiste lĂ€uft hier ĂŒber LAN. Einzig mobile GerĂ€te und Drucker sind via Wifi angebunden. Telefone, NAS und alles andere private.
Ăber LAN sind die APs im Keller, Erdgeschoss und dem Dachgeschoss angebunden. Die Range ist hier 141.
Smarthome-WLAN und -LAN
2,4 GHz: Kanal 13 fĂŒr alle. Die Reichweite ist durch die kleinen Antennen ohnehin eher begrenzt.
5 GHz: Autokanal (verwendet aber kaum ein Smarthome-GerÀt.
Ăber LAN werden auch hier die einzelnen APs in den Stockwerken angesprochen. Hier ist im WLAN kaum Traffic, das ist gut fĂŒr die Latenz. Die Bridge fĂŒr die TĂŒr-/Fensterkontakte befindet sich hier ebenso wie der ZWave-Stick, der das Abus-Schloss steuert. Die Range ist 142.
DMZ
Ach, nur was fĂŒr den Spieltrieb. Es lag noch eine Netzwerkkarte herum, die in die Firewall passte. Ob ich da jemals etwas wie Owncloud oder Mastodon installieren werde, weiĂ ich nicht. Aber ich könnte! ;-) Die Range wĂ€re 143.
KanÀle im WLAN
Autokanal?
Eigentlich eine gute Sache, aber bei so (zu) vielen APs im Haus, wĂŒrden die APs dauern, die KanĂ€le wechseln. UnzuverlĂ€ssigkeit durch Störungen oder durch Kanalwechsel? Ach, das lassen wir dann doch lieber die APs der Nachbarn erledigen, die stehen werkseitig eh auf Autokanal.
Meine WLANs
Das sind meine Wireless-Netze. Diese Diagramme wurden mit dem alten D-Link-WLAN-Stick entfernt, der zu Testzwecken in der Tastatur meines Rechners steckt. Die Empfangsleistung ist eher mĂ€Ăig.
Den Kanal 1 hebe ich mir fĂŒr ein GĂ€ste-WLAN auf, das ich ad hoc aufspannen kann.
Hier sieht man deutlich, dass das Privat-WLAN APs mit guten Antennen hat. Okay, der rote AP ist ca. 50 cm von Rechner entfernt.
Der grĂŒne AP steht im Wohnzimmer und der braune hĂ€ngt im Keller an der Wand. Ein uralter GL.iNet MT300a. War ein gutes GerĂ€t, das ich auch gerne unterwegs nutzte.
Schwarz und Magenta sind die Stream-APs. Zwei Fritz!Boxen 7362 SL. Die liegen Ă€hnlich weit auseinander, weil mein Rechner Ă€hnlich weit von beiden entfernt steht. Das Problem im Dachgeschoss war, dass die Fritte im Erdgeschoss einen Firestick hier oben verhungern lieĂ. Also musste eine Zweite her.
Zu guter Letzt, in Dunkelblau, ein AP des Smart-WLAN. Hier kommen drei MT-300N V2 zum Einsatz.
Interessant finde ich, dass meine damalige Wahl, die APs von Cudy zu kaufen, nicht verkehrt gewesen sein muss, denn mittlerweile bietet auch GL.iNet ein augenscheinlich baugleiches GerĂ€t zu einem gĂŒnstigeren Kurs an. AuĂer auf Fritz!OS setze ich nur auf OpenWRT. Die GerĂ€te von Cudy und von GL.iNet kommen von Hause aus mit diesem Open Source-Betriebssystem fĂŒr Router und Accesspoints.
Aber zum Punkt:
Die verschiedenen WLANs kommen sich nicht ins Gehege, die KanÀle sind getrennt, das ist gut.
Schlecht ist, dass auch gleichnamige AP auf dem gleichen Kanal sich gegenseitig stören.
Wir werden mit der Zeit schauen, ob wir auf einen der „Privat-Sender“ verzichten können/mĂŒssen. Am ehesten auf den im Keller, der aber den vorderen AuĂenbereich des Hauses mit WLAN versorgt. Der Empfang von mobilen Daten ist bei uns unterirdisch, daher richtete ich den ein.
Die Umgebung
Ja, super! *Sarkasmus*
Bei der Planung sendeten die Nachbarn nur auf Kanal 1. Gelegentlich wollen die uns aber Àrgern und funken uns in das Privat-WLAN und in das Stream-WLAN hinein.
Dokumentation
Wichtig ist eine saubere, nachvollziehbare Dokumentation, welche auf Papier ausgedruckt wird. Eine Ăbersicht als Textdokument und eine Auflistung der Komponenten als Tabelle sind wichtig! Wenn ich vom Laster ĂŒberfahren werde, dann muss mein Nachfolger wissen, was hier Masse ist.
In das Sheet trage ich nach und nach alle MAC-Adressen ein. Der DHCP-Server der Firewall vergibt feste Leases, dazu benötige ich die ohnehin.
Beschriftung
Alle Komponenten werden noch ordentlich beschriftet: Leitungen, Switche, Router und Accesspoints. Das muss alles auf den ersten Blick verstÀndlich sein.
Leitungen, die in der Smartwand zusammenlaufen.
Patchfeld und zwei Switche in der Smartwand.
Accesspoints in der Smartwand
Umzug
Shelly
Die Shelly im Netzwerk sind leicht umzuziehen, sofern die Cloud bei den einzelnen GerĂ€ten auch aktiviert wurde. Ăber das BurgermenĂŒ erreicht man den Punkt „Wifi Batch Change“. Dort trug ich das WLAN „Smart“ und das lange, kryptische Passwort ein, markierte alle GerĂ€te (36 StĂŒck) und startete den Vorgang.
Zack! Alle Shelly sind innerhalb weniger Minuten automagisch im neuen Netzwerk. Saubere Sache. Einfacher geht es nicht.
Google Assistants
Ach, das ist nicht so schön, denn die App bietet keine Ănderungen an den Netzwerkeinstellungen der einzelnen GerĂ€te. Ărgerlich. Also habe ich das WLAN umbenannt, wodurch die Assistants mit aufgespannten APs in der Netzwerkumgebung erschienen. In der Google Home App erscheinen aber die herrenlosen GerĂ€te als freundlicher Button: „7 GerĂ€te hinzufĂŒgen“.
Leider funktioniert das nicht auf einen Schlag. Der Button ruft einen Assistant nach dem anderen auf und man muss ihn hĂ€ndisch wieder in das neue Netzwerk hieven. In diesem Fall das WLAN „Stream“. Dort wird er wieder seiner alten Funktion und dem Raum automatisch zugewiesen. Das ist etwas nervig, aber wenigstens kann man dabei sitzen bleiben. Aber nicht zu frĂŒh freuen, gleich gibt es Kilometergeld!
Tuya
Bei dieser Gelegenheit sollten wir uns ĂŒberlegen, die LSC Smart Connect App zu deinstallieren und durch diese Apps zu ersetzen:
- Smart Life â Smart Living von Volcano (Android)
- Smart Life â Smart Living von Volcano (iOS)
Das ist die originale App, mit der man seine GerĂ€te via der Tuya-Cloud lokal verwenden kann. Stark verkĂŒrzt gesagt. Die Daten werden den ĂŒblichen GerĂŒchten zum Trotz auch nicht in China, sondern in Europa gespeichert.
Das war es auch schon mit den erfreulichen Dingen, denn nun kommt es dicke! Macht schon mal DehnĂŒbungen, denn nun laufen wir im Haus herum! Keine Chance, das WLAN fĂŒr Tuya-GerĂ€te nachtrĂ€glich ĂŒber die App zu Ă€ndern. Das ist nicht vorgesehen. Man muss ernsthaft jedes einzelne GerĂ€t einzeln in den Pairing-Modus versetzen. Das dauert!
Dazu verbindet man das Telefon mit dem gewĂŒnschten Ziel-WLAN, in unserem Falle „Smart“, und löst einen Reset aus:
- GerÀt zehnmal aus- und wieder einschalten
- GerĂ€t fĂŒr zehn Sekunden stromlos machen, wieder einstecken und Knopf fĂŒr fĂŒnf Sekunden drĂŒcken
- Knopf am GerĂ€t lĂ€nger als zehn Sekunden gedrĂŒckt halten
Man lĂ€sst die App nach neuen GerĂ€ten suchen. GlĂŒcklicherweise ist es nicht so, dass man die GerĂ€te komplett neu einrichten mĂŒsste, der Cloud sei dank, denn nach wenigen Sekunden wird das GerĂ€t in der GerĂ€teliste der App einfach an die erste Stelle gerĂŒckt. Alle Einstellungen blieben erhalten.
Wird ein GerÀt nicht gefunden, so nimmt man beispielsweise aus der manuellen Auswahl eine Wifi-Steckdose. Die GerÀte werden auch so automagisch korrekt erkannt.
Nur in der Google Home App muss man die neue App und die indessen erneut zugewiesenen GerÀte den jeweiligen RÀumen zuweisen.
VoIP-Telefone
Davon haben wir nur zwei. Die Ănderungen laufen dann wie bei der Installation ab.
Fazit
Der Umzug ist so weit durchgefĂŒhrt und bisher lĂ€uft alles tatsĂ€chlich viel besser als vorher.
Wenn noch IEEE 802.11b zum Einsatz kommt, sollte man einen gröĂeren Kanalabstand als 20 MHz wĂ€hlen, weil IEEE 802.11b Signale rund 22 MHz belegen. Wenn man UnterstĂŒtzung fĂŒr IEEE 802.11b abgeschaltet hat, was ratsam ist, falls man keine alten GerĂ€te mehr hat, kann man im 2,4 GHz Band im Prinzip mit den KanĂ€len 1, 5, 9 und 13 in der EU leben, weil alles nach IEEE 802.11b auf OFDM basiert und nur rund 17 MHz (IEEE 802.11n) bis ca. 19 MHz (ab IEEE 802.11ax) belegt.
Trotzdem sollte man sich auch in der EU auf die KanÀle 1, 6 und 11 beschrÀnken, weil Bluetooth Low Energy (BLE) die Bereiche zwischen diesen WLAN-KanÀlen als Advertisement KanÀle verwendet. BLE macht erst mal kein Frequency Hopping. Daher ist man auch in der EU gut beraten, im 2,4 GHz Band sich letztlich auf die WLAN-KanÀle 1, 6 und 11 zu beschrÀnken.
Weil jedes Jahr ca. eine Milliarde mehr Bluetooth als WLAN GerĂ€te verkauft werden, ist BLE eigentlich ĂŒberall. Man kann BLE nicht entkommen. Einfache BLE-Scan Apps auf dem Smartphone werden vielen, viele BLE GerĂ€te nahezu ĂŒberall wo Menschen sind aufdecken. Daher ist es besser, sich im 2,4 GHz Band auf die KanĂ€le 1, 6 und 11 zu beschrĂ€nken.
Danke fĂŒr Deine wirklich hervorragenden ErgĂ€nzungen! Ich war die letzten Wochen im Urlaub und hatte dort in einem AirBNB immer wieder VerbindungsabbrĂŒche. Da mich das aber nicht weiter störte, habe ich mich nicht darum gekĂŒmmert. Als ich meine In-Ears und die Gear 360 verbinden wollte, musste ich durch eine lange, lange Liste mit BT-GerĂ€ten scrollen. Jetzt ergibt das einen Sinn. Danke noch einmal. Ich werde es bei Gelegenheit ergĂ€nzen.
Hallo Hessi,
da ich im Impressum und auch sonst nirgends eine Mailadresse finde (vmtl. grade wegen der Umgestaltung der Seite) versuche ich’s mal hier, paĂt thematisch am ehesten.
Ich w e i s s, Du machst keine Beratung und keinen Support. Trotzdem brĂ€uchte ich mal einen DenkanstoĂ, oder sagen wir mal ein Konzept. Das wĂ€re mir auch finanziell was wert, wenn Du es machen möchtest.
Erstmal der „Use-case“ wie man neudeutsch sagt:
Ich habe eine Wallbox, genauer eine OpenWB. Die ist nicht online (Cloud oder so), hĂ€ngt aber am LAN. Innendrin werkelt ein raspi, darauf lĂ€uft ein Webserver, und auf der OberflĂ€che gibt es einen Startknopf um den Ladevorgang zu starten. (Es hĂ€tte auch die Möglichkeit gegeben, ein Display an der Wallbox zu haben, zur Bedienung. Habe ich aber nicht bestellt) Das funktioniert einwandfrei. Ich habe auch eine PV Anlage, und die OpenWB kann PV-Laden. Ich habe nur kein e-Auto, die Nachbarn aber schon. Wohin also mit dem ganzen Strom, wenn die Sonne scheint? Die Idee ist: Die Nachbarn kommen per – getrenntem – WLAN auf die Wallbox, um sie selber einzuschalten, wenn sie laden möchten. Sie sollen aber keinen Zugriff auf mein internes Netz haben.
Ich denke jetzt in Richtung eines VLANs. Ich wĂŒrde also 2 VLANs machen wollen, eins in dem die Wallbox und ein WLAN-AP (z. B. ne alte Fritte oder eins von Deinen schicken Teilen) drin ist, und eins in dem alle anderen GerĂ€te drin sind. Vielleicht auch ein 3. fĂŒr die Smart Home GerĂ€te, hauptsĂ€chlich Shellys und Tasmota GerĂ€te.
Mein Billig D-Link Switch kann auch VLAN – aber, soweit ich das verstanden habe ist es kein m a n a g e d L3 Switch, sondern nur ein „Smart (Billig) managed Switch. Und wenn ich es richtig verstanden habe, dann kann er eben kein selektives Routing zwischen den VLANs. Und eben jenes brĂ€uchte ich ja m. E., damit ich aus meinem privaten Netz auch auf die Wallbox komme.
Jetzt wĂ€re die Frage, die zumindest ich mir stelle: WĂ€re es besser auf einen echten managed L3 Switch aufzurĂŒsten, oder sollte ich ein zusĂ€tzliches Gateway (z. B. ein raspi) einrichten ? Oder denke ich vielleicht völlig in die falsche Richtung ?
WĂŒrde mich freuen von Dir zu lesen.
Gerd
Hallo Gerd,
ja, das neue Theme zeigte plötzlich keine einzelnen Seiten (Artikel schon) und auch keine CSS-Ănderungen mehr an. Habe eben gelesen, dass andere diese Probleme auch haben. Es gibt es viel Mist da drauĂen.
Ich habe IP-Fire am Start.
https://hessburg.de/diy-firewall-fuer-35-euro/
Das ist die billigste und ĂŒbersichtlichste Lösung. Vor allem auch nicht-proprietĂ€r. Ein Backup erstelle ich auch immer, so dass ich bei einem Hard- oder Softwareversagen nicht wieder von vorn anfangen muss.
Meine Netzwerke sehen so aus:
https://hessburg.de/wp-content/uploads/2022/03/Netzwerk-neu-2022-1.jpg.webp
IPs sind in gewissen Ranges fest vergeben, andere, fĂŒr neue GerĂ€te, die ich testen muss, sind aber immer noch dynamisch.
Ich habe mir ein Sheet mit den GerÀten erstellt:
Netzwerkname Stream DHCP Privat Feste IP MAC Smart Feste IP MAC
SSID Stream Privat Smart
IP-Bereich 192.168.140.0/24 192.168.141.0/24 192.168.142.0/24
Ja … ich habe gesehen, Du hast viele Artikel, die meine Fragestellung vmtl. irgendwie beantworten.
Aber Du weiĂt ja – TextverstĂ€ndnis ist so eine Sache :-)
Aber kurz gesagt: Deine Firewall macht auch das Routing, sehe ich das richtig ?
Also wenn Du jetzt z. B. von Deinem Smartphone auf ein Shelly zugreifen willst ?
Daher brauchst Du keinen managed Switch – so einer könnte zwar routen, aber immer noch nicht firewallen ?
Ganz simpel: Aus Deinem privatem, „grĂŒnen“ Netzwerk hast Du Zugriff auf alle GerĂ€te in den anderen Netzwerken â umgekehrt aber nicht!
Ja, das verhÀlt sich wie mit dem Router, der Dich in das Internet bringt: Du hast Zugriff auf das Internet, aber das Internet hat keinen Zugriff auf Deine GerÀte im LAN.
Nachteil: musst wissen, welche IP die GerÀte haben. Denn auch Du hast dann beispielsweise mit einem Netzwerkscanner keinen Zugriff auf die Hostnamen und die MAC-Adressen der GerÀte in den untergeordneten Netzwerken.
Das ist aber nicht schlimm, denn Du hast immer Vollzugriff auf Deinen IP-Fire und dort siehst Du jedes GerÀt in allen Details.
De facto ist das alles kein Nachteil, denn die GerĂ€te in den untergeordneten Netzwerken sind in der Regel in der Cloud oder werden von einer Smarthome-Zentrale in dem betreffendem Netzwerk gesteuert, denn irgendwie mĂŒssen die ja steuerbar sein.
Alles mit Cloudzugang ist bei uns in separaten physikalischen Netzwerken (LANs in denen WLAN-APs hÀngen). Man muss keine VLANs konfigurieren, denn wenn man noch eine Netzwerkkarte in die Firewall steckt, hat man eben noch ein physikalisch getrenntes Netzwerk.
Ich will das so, weil ich mal einen (nicht billigen!) Switch hatte, der einfach so seine VLAN-Konfiguration verlor. Folge: alle(!) GerĂ€te waren plötzlich im Heimnetzwerk! Ganz ĂŒbel! Deswegen nur noch physikalisch getrennte Netzwerke. Spinnt etwas in der Firewall, sind diese Netzwerke im Default eben plötzlich NICHT miteinander verbunden.
Neben der Firewall benötigt man dann natĂŒrlich noch fĂŒr jedes LAN einen eigenen Switch und einen AP. Aber dafĂŒr muss man ja keine Unsummen ausgeben. 5er Switch kostet nen Zehner und ein AP auch nicht die Welt. Vor allem, weil man im Smarthome-WLAN mit WLAN5 ohnehin nichts anfangen kann.
Nenne mich altmodisch, aber fĂŒr mich sind physikalisch getrennte Netzwerke einfach eine saubere Sache.
Tja, die Vorteile Deines Konzeptes gegenĂŒber VLANs ĂŒberzeugen mich schon. Sauber getrennte Netze. Aber meine bisherige Verkabelung sieht das so nicht vor. Und ich brauche extra Hardware fĂŒr die Firewall, andere Switches und muss den Kram vor allem irgendwo verstauen.
Vielleicht muss ich auch einfach noch lĂ€nger darĂŒber nachdenken….
Ich hab jetzt gesehen, ich könnte den LAN4 AnschluĂ der Fritte ins WLAN-Gastnetz nehmen. Ich mĂŒĂte dann vmtl. nur die OpenWB ans LAN4 anschlieĂen, dann wĂ€re mein Problem u. U. gelöst. Das scheitert aber auch daran, dass von der Fritte zum Switch nur ein LAN Kabel fĂŒhrt.
Eine blöde AnfÀngerfrage noch: Bei Deinem Konzept ist ja die FW in der Fritte aus, soweit ich es verstehe. Abgesehen davon, dass die Fritten-FW eine proprietÀre ist, warum glaubst Du, dass IP-Fire besser firewallt als die Fritte ?
Hallo Hessi,
ich bin bei der Sache mit dem Gast WLAN / VLAN nicht wirklich weitergekommen, das liegt aber an mir, nicht an Deinen Tips.
Da ich demnĂ€chst Glasfaser bekomme muss ich aber gezwungnermaĂen an mein Netzwerk ran. Da ergeben sich 2 Fragen (ich w e i s s, Du machst keine Beratung und keinen Support):
Erstmal was einfaches: Ich hab eine Reolink Kamera. Die wird ĂŒber POE versorgt. Da mein Switch (eine Fritte) das nicht kann ist zwischen Kamera und Fritte ein POE Injektor. LĂ€uft auch, aber langsam, m. E. kein Gigabit. WeiĂt Du ob so ein POE Injektor von den 4 Adernpaaren einfach 2 fĂŒr die Spannungsversorgung nutzt, und die dann fĂŒr die Daten verloren sind, so dass ich von Gigabit auf 100 MBit zurĂŒckfalle ?
Oder werden die Daten auf die Gleichspannungsversorgung drauf moduliert, so daĂ ich bei Gigabit bleibe? Gut, gibt wahrscheinlich verschiedene POE Injektoren – was wĂ€re fĂŒr ein 15 ⏠was IEEE802.3af kann zu erwarten ? Oder Alternativfrage: wie könnte ich die Bandbreite zur Reolink Kamera testen ? Was ist, wenn ich statt der Kamera einen PC fĂŒr einen Speedtest anschlieĂe – schieĂt dem der POE Injektor den NetzwerkanschluĂ kaputt ?
Zweite Frage: Kann man einen OpenWRT Router, der als „dummer“ AP konfiguriert ist (hast Du ja beschrieben) ein zweites WLAN, nĂ€mlich ein Gast WLAN aufspannen lassen ? Und dann fĂŒr alle WLAN Clients in diesem Gast WLAN eine Route zu genau einem (oder mehreren) internen Clients definieren ? Das wĂŒrde m. E. mein VLAN Problem lösen.
GrĂŒĂe, Gerd
Die Antwort auf Frage 2 lautet kurz: Ja.
AusfĂŒhrlicher: Wie man ein (zusĂ€tzliches) Gast WLAN (mit eigenem IP Adressbereich und DHCP Server und Firewallregeln) auf einem (bereits als WLAN-AP konfigurierten) OpenWRT konfiguriert ist wirklich gut nachvollziehbar hier erklĂ€rt:
https://openwrt.org/docs/guide-user/network/wifi/guestwifi/guestwifi_dumbap
Den Zugriff auf genau einen Client im internen Netz erlaubt man mit einer weiteren Firewall-Regel (keiner Route), das ist z. B. hier erörtert:
https://forum.openwrt.org/t/help-with-routing-guest-to-printer/159486/10
Ăbrigens dachte ich beim Testen des Gast WLAN zuerst, ich hĂ€tte was verbockt, weil immer noch Zugriff auf das interne Netz möglich war. Dabei war nur mein VPN aktiv …
Ich war unterwegs und konnte nicht schneller antworten. Gut, Du hast das meiste ja selbst herausgefunden. Ich hatte mal Experimente mit meinem PoE-Switch, einem PoE-Spannungswandler und den GLInet-APs gemacht, was auch gut funktioniert hatte. nur ist der Adapter so groĂ, dass der Platzvorteil dieses Mini-AP damit hinfĂ€llig wurde. :-) Da wir nur 100 MBit Internet haben, seinerzeit GB PoE-Switche entweder in 10″ nicht verfĂŒgbar oder wenn, sehr teuer waren, habe ich selbst die Kameras an einen 100er PoE-Switch. Das reicht auch vollkommen. Die meisten Websites leiden eh unter Latenz und nicht unter geringer Bandbreite. Wenn ich ĂŒber einen OCH „Daten“ in groĂen Mengen schnell laden wollte, wĂŒrde ich dazu ohnehin nicht das WLAN nutzen. BTW: WLAN5 hat eh so eine geringe Reichweite, dass wir es bei uns eh nicht nutzen können.