Ubiquiti UniFi Dream Machine: WLAN für Gäste einrichten (VLAN)

Ende 2019 wurde die Dream Machine von Ubiquiti vorgestellt. Eine Symbiose aus WLAN-Router mit Gigabit-Switch und der Möglichkeit, die Controller-Software für UniFi-Geräte direkt auszuführen – ohne diese irgendwie anderweitig zu installieren. Ziemlich tolles Ding für ambitionierte Nutzer, wenn auch WiFi 6 fehlt und auch die Gigabit-Ports nicht PoE-fähig sind.

Die Ubiquiti UniFi Dream Machine kostet im Schnitt 329 Euro, ist mal auch unter 300 Euro zu haben. Kein günstiger Spaß und wahrscheinlich daher nicht vergleichbar mit Google WiFi, AVM FRITZ!Box und anderen, dafür sind die Netzwerkmöglichkeiten mannigfaltig und in keiner Weise mit den genannten Mitbewerbern zu vergleichen. Ideales Gerät für angehende und bereits ausgebildete Netzwerk-Frickler, wenn man denn ein bisschen basteln will.

Holt man sich eine Ubiquiti UniFi Dream Machine ins Haus und hat vorher nur mit anderen, einfachen Lösungen gearbeitet, dann wird man schier erschlagen, wobei die grundsätzliche Einrichtung im Browser eine Sache von 5 Minuten ist. Etwas tiefer muss man schon einsteigen, wenn man ein Gast-Netzwerk einrichten möchte, denn die Ubiquiti UniFi Dream Machine bringt diverse Möglichkeiten mit: Voucher, Hotspot-Vorschalteseite und all jenes.

Wahrscheinlich viel zu viel für den privaten Haushalt. Da reicht vielleicht ein einfaches WLAN, welches man getrennt vom „Corporate Network“ betreibt, damit Gäste keinen Zugriff haben. Eine kleine Einsteiger-Anleitung unter Zuhilfenahme eines VLAN (Virtual Local Area Network), also eines separierten, isolierten Teilnetzes mit eigenem IP-Bereich, habe ich nun hier für euch.

Ich gehe mal davon aus, dass eine vorhandene Dream Machine bereits eingerichtet ist und ihr Zugriff auf die Administrationsoberfläche habt.

Bewegt euch in den Bereich Networks > Local Networks > Create New Local Network und legt dort ein „Advanced Network“ an.

Vergebt einen griffigen Namen und setzt „Network Purpose“ auf Guest. Dann vergebt ihr noch eine VLAN ID, ich habe hier für mich die 2000 gewählt. Den IP-Bereich könnt ihr für euch anpassen, je nach Wissen und Willen. Ich habe für dieses Einsteiger-Tutorial den Standard belassen. Schaut am besten selbst, was ihr noch benötigt und justieren wollt. Übernehmt dann am Ende.

Dann müsstet ihr das Gast-Netzwerk schon sehen.

Der nächste Schritt ist der Bereich WiFi > WiFi Networks und auch hier erstellt ihr ein neues – ebenfalls „Advanced“

Dann könnt ihr einen griffigen Namen vergeben, in meinem Falle zum Test „Pretty Fly for a WiFi“. Hier dann noch schauen, dass das Netzwerk aktiviert ist und ihr ein Passwort vergebt.

Weiter unten verknüpft ihr vielleicht die Guest Policies, falls ihr in den Hotspot-Einstellungen irgendwann mal welche festgelegt habt (gesperrte Bereiche) – und natürlich wichtig: das Angeben von VLAN, in unserem Fall eben die Nummer 2000.

Am Ende sollte das WLAN dann in der Übersicht zu finden sein – und auch, sofern ihr das Ausstrahlen der SSID nicht unterbunden habt, in der Netzwerkumgebung auffindbar sein.

Ihr könnt euch dann verbinden, bzw. eure Gäste und könnt dann im vorgeschriebenen IP-Adressbereich separiert von eurem Netz die Menschen hereinlassen. Funktioniert natürlich nicht nur für Gäste, sondern für in jeglicher Form separierte WLAN-Lösungen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei LinkedIn, Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

18 Kommentare

  1. Wenn es nur ein Gäste WLAN geht, würde ich es anders machen.
    Zunächst ist die von cashey verwendete „New Settings“ Oberfläche noch Beta, man muss also selbst wissen, ob man die verwenden möchte.
    Für ein Gäste WLAN reicht es aus, unter „Wireless Networks“ ein neues Netzwerk mit Aktivierung der „Guest Policies“ anzulegen. Clients in diesem WLAN Netzwerk kommen nirgendwohin, außer ins Internet.

    Frohe Ostern!

    • Wenn du das normale Setting hast, auch in der alten Oberfläche, dann bekommst du so wie von dir beschrieben als Gast eine IP aus dem Hauptnetz und trotz gesetzter Policies mit expliziten IP-Ausschlüssen (einzelne oder komplette Netze) ist der Zugriff über alles möglich, was am Controller hängt, inklusive etwaig vorhandener Server. Die Settings sind dann afaik nur dafür da, dass die Gäste sich nicht untereinander sehen.

      Drahtlos-Netzwerk „Test“ mit aktivierten Policies: https://d.pr/i/RjkbAE
      Aktivierte Gaststeuerung: https://d.pr/i/DOmok1
      Zugewiesene IP nach Auth im Gast-WLAN: https://d.pr/i/nDxRXS
      Beispiel verbundener Server: https://d.pr/i/hhnfHL
      IP Scan zeigt auch alles.

      • Klingt nach einem Firmware Bug… mit einer Guest Policy sollte der Gast eigentlich keine Geräte des heimischen LANs sehen.

      • Bei mir funktionieren die Beschränkungen nach der Anmeldung bei einigen Netzwerken einwandfrei. In diesen kommen jedoch auch ausschließlich Switches, USG und separater CK zum Einsatz. Ich kann mir gut vorstellen, dass das ganze nicht mehr funktioniert sobald ein Switch eines Fremdherstellers zum Einsatz kommt.

        Ich nehme die hier geteilten Informationen jedoch zum Anlass und prüfe das ganze an entsprechenden Standorten noch einmal. Danke für die Info!

  2. Bei der Gelegenheit hätte man auch ein Wort über das Firmware „Disaster“ bei der Dream Machine verlieren können. Zum Release nur eine Beta Firmware von Dez 19´ und vor kurzem (also erst ein knappes halbes Jahr später) ein kleineres Bugfix Release.

    Dabei gibt es eine ellenlange Bug Liste und schlimmer noch, viele Optionen der GUI funktionieren gar nicht (z.B. SSH Benutzer anlegen / Passwort vergeben) richtig. Man weiß also nach ewigem Herumprobieren nicht ob man selbst zu doof ist oder die GUI wieder einmal nicht funktioniert.

    Hintergrund ist, dass Ubiquiti kurz danach die Dream Maschine Pro auf den Markt geworfen hat, welche zwar dieselbe Firmware aber auf einem neuen Unterbau (Unifi OS) setzt. Eben diese Migration auf das neue Unifi OS scheint wohl eine größere Aufgabe zu sein die augenscheinlich noch nicht in Angriff genommen wurde. Und so lange sitzt man mit der Dream Maschine momentan auf dem Trockenen.

    Aber auch wer eine Dream Machine Pro besitzt und somit bereits auf dem neuen Unifi OS Firmware Strang sitzt hat aktuell noch mit sehr vielen Problemen zu kämpfen. Hier wird in Foren ebenfalls bereits von einem Release Desaster gesprochen…

    Man sollte sich vor einem Kauf der Dream Machine (Pro) also unbedingt vorher informieren ob geplante Setups (reibungslos) funktionieren und keinesfalls von dem guten Ruf Ubiquitis und der „rock solid“ Cloud Key / Security Gateway Geräte Linie täuschen lassen.

    • Und noch ein Nachteil der DreamMaschine, was mich total nervt: die sendet keine SNMP-Daten, kann man auch nicht aktivieren ( wurde vom Support bestätigt ). Ob das mal geändert wird – keine Aussage vom Support.

  3. @Cashy kennst du die Hardware von Mikrotik
    Bessere Firmware, null nach Hause funken und deutlich günstiger.
    Gut die Geräte sehen nicht so Stylisch aus aber auf einem kleinen 40 Euro Router lässt sich schon ein Radius Server einrichten etc.
    Ein AC Accesspoint kostet bei Mikrotik keine 70 Euro.
    Die Hardware ist auf alle Fälle mal einen Blick Wert.

    • Bitte keine Apfel mit Grillfleisch vergleichen. Dankeschön!

      • Hi,

        warum? Mikrotik ist deutlich günstiger und hat weniger Bugs 😛

        • Ubiquiti kann man kaum mit Mikrotik vergleichen. Ich arbeite mit beiden Produkten – beide haben Vor und Nachteile.

          Was Ubiquiti richtig gut kann ist das zentrale Management – also eine Vielzahl an Hardware (AP´s, Switches, Cam´s etc.) einfach, effektiv und schnell über eine Oberfläche zu verwalten. SSID/Passwort an einem, zehn oder hundert AP´s ändern ist hier immer der gleiche Aufwand und mit einem Klick erledigt. Aber ja, die Bug´s in letzter Zeit und der Mangel an Flexibilität nerven ungemein. Spätestens wer sich einmal mit dem gezielten Split von Daten auf 2 WAN´s auseinandersetzen musste weis wovon ich spreche. SSH ist zwar toll aber die Umsetzung per JSON ist gelinde gesagt schwierig.

          Was Mikrotik überragend gut kann ist selbst die einfachsten, günstigsten Geräte wie z.B. ein hAP oder mAP lite mit einem Funktionsumfang auszustatten den es auf dem Markt sonst nirgendwo gibt. Schon gar nicht für den Preis und mit dieser einfachen Art der Single-Device Verwaltung. Davon können sich Hersteller wie bintec etc. gerne mal eine richtig dicke Scheibe abschneiden.

          • @Qoo
            Ist ja mein erster Mikrotik und ich arbeite mich dort gerade ein.
            Warum bist du der Meinung das Ubiquiti so toll beim Zentralen Management ist?
            Die APs lassen sich einfach per Knopfdruck Provisionieren.
            Somit sollten sich auch die SSIDs mit einem Klick ändern lassen oder habe ich die Wiki total falsch verstanden?
            Die andere Hardware ist im Zulauf. Über Ostern hatte ich erst nur einen kleinen hap ac zum testen.
            Gut finde ich die vielen Möglichkeiten die Kisten zu konfigurieren.
            Winbox, Web, SSH, Seriell.

            Ist für mich zu hause wo ich ein paar Accesspoints benötige und das Roaming auch vernünftig funktionieren soll.
            Ich danke ich werde max 4 APs haben und keine 100 :).

            • Eben, zentrales WLan-Management kann Mikrotik schon lange, braucht nur einen entsprechend leistungsstarken Router, der dann auch das Management übernimmt.

              • Aber man muss weiterhin eine Winbox für jeden Router/Switch/AP öffnen um einzelne Einstellungen/Firmware Upgrades durchführen zu können, richtig?

                • Nein nicht richtig. Firmware Updates können auf Auto Update gestellt werden und ein Update mirror eingerichtet werden.
                  Was du unter Einstellungen verstehst weiß ich nicht.
                  Aber vielleicht gibt’s da ja auch eine Lösung.

  4. Also ich muss sagen, ich habe auch ein UniFi-setup am Laufen mit vier Netzen (privat, Gäste, iot-devices und Mieter einliegerwhg).
    Und ich habe auch einige Geräte an LAN (Drucker, NAS, iot – also in zwei der o.g. Netze).

    Und ich muss sagen mich verwirrt das Unifi-Konzept schon ziemlich: es gibt nicht einfach nur VLANs, wie ich das erwartet habe (ein VLAN pro Netz und SSID, routing dazwischen definieren, fertig).
    Sondern es gibt auch noch „Netzwerke“ (=! VLAN!) und „Netzwerkgruppen“.

    Leider musste ich sehr schnell produktiv sein (Mieter und Frau…) und konnte das daher nicht richtig testen was eigentlich was ist.

    Problem: zb:
    Man kann also das VLAN zb 2=Mieter in das „Netzwerk“ „privat“ definieren, muss das aber nicht.
    Muss ich jetzt für jede der vier Gruppen nicht nur ein VLAN sondern auch ein „Netzwerk“ anlegen?
    Ich muss sagen ich finde die dreifach-Definition einer für mich gleichen Sache recht verwirrend und kann nur hoffen dass ich nicht zu viele Scheunentore übersehen habe…

  5. Ich würde zu Hause nie mit einem extra WLAN nur für Gäste arbeiten. Zumal du ja schon mit VLANs arbeitest. Warum nicht einfach den Radius Server auf der USG (bestimmt auch auf der Dreammachine vorhanden) verwenden, die MAC Adressen als Authentifizierung verwenden und dann per VLANs die Geräte in die entsprechenden Netze verteilen.

    Damit habe ich vier Netze, eines darunter für Gäste. WLAN-Netzwerke habe ich dann nur ein einziges. Über die Authentifizierung über die MAC Adresse ist es am Ende auch egal, ob ein Gast sich per WLAN am Netzwerk anmeldet, oder sein Notebook per LAN-Kabel anschließt, ist er im Radius Server nicht bekannt, landet er komplett im Gäste-Netz. Mit allen Einschränkungen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.