Ist ein OpenWRT „Gast-WLAN” im WLAN-Client-Modus überhaupt möglich? Ja, und wir zeigen Ihnen wie

Die Einrichtung eines separaten Gast-WLANs ist heute in vielen Haushalten und kleinen Büros fast schon Standard. Es bietet Besuchern einen bequemen Internetzugang, während das private Netzwerk und die darauf befindlichen Geräte sicher und isoliert bleiben. Doch was, wenn Ihr Hauptrouter diese Funktion nicht bietet oder Sie einen zweiten Router, der im WLAN-Client-Modus arbeitet, für diese Aufgabe nutzen möchten? Viele stellen sich dann die Frage: Ist ein Gast-WLAN auf einem OpenWRT-Gerät, das selbst als WLAN-Client mit dem Hauptnetzwerk verbunden ist, überhaupt möglich? Die Antwort ist ein klares und lautes: Ja!

In diesem umfassenden Artikel zeigen wir Ihnen nicht nur, dass es geht, sondern führen Sie Schritt für Schritt durch den gesamten Prozess. Mit OpenWRT, der flexiblen und leistungsstarken Open-Source-Firmware, verwandeln Sie selbst ältere oder günstigere Router in wahre Netzwerk-Alleskönner. Egal, ob Sie Ihren Internetzugang per WLAN von Ihrem Nachbarn beziehen (mit dessen Erlaubnis, versteht sich!) und ein eigenes, isoliertes Netz für Ihre Familie schaffen wollen, oder ob Sie einen alten Router als „Repeater” nutzen und gleichzeitig ein separates Gastnetz aufspannen möchten – diese Anleitung ist genau das Richtige für Sie.

Tauchen wir ein in die Welt von OpenWRT und konfigurieren Sie Ihr sicheres und isoliertes Gast-WLAN!

Warum ein Gast-WLAN im WLAN-Client-Modus so nützlich ist

Bevor wir uns in die Konfiguration stürzen, lassen Sie uns kurz die Vorteile dieses Szenarios beleuchten:

• Sicherheit: Gäste haben keinen Zugriff auf Ihre persönlichen Geräte wie PCs, NAS-Server oder Smart-Home-Komponenten. Dies minimiert das Risiko von unbefugtem Zugriff oder Malware-Verbreitung.
• Netzwerk-Segmentierung: Ihr Hauptnetzwerk bleibt sauber und unberührt. Der Datenverkehr des Gast-WLANs ist klar getrennt.
• Flexibilität: Sie können Bandbreitenbeschränkungen oder Nutzungszeiten für das Gast-WLAN festlegen, ohne Ihr Hauptnetz zu beeinträchtigen.
• Einfache Zugangsverwaltung: Sie können das Passwort des Gast-WLANs jederzeit ändern, ohne dass Sie alle Ihre eigenen Geräte neu verbinden müssen.
• Kosteneffizienz: Nutzen Sie vorhandene oder günstig erworbene Hardware mit OpenWRT, um teure Router-Upgrades zu vermeiden.

Das Grundprinzip verstehen: Client + Access Point

Die vermeintliche Schwierigkeit bei diesem Vorhaben liegt in der Vorstellung, dass ein Gerät entweder ein WLAN-Client oder ein Access Point (AP) sein kann, aber nicht beides gleichzeitig. Moderne WLAN-Chipsätze in den meisten OpenWRT-kompatiblen Routern können jedoch problemlos beides. Sie können sich mit einem externen WLAN verbinden (als Client) und gleichzeitig ein eigenes WLAN aufspannen (als AP). Der Trick besteht darin, diese beiden Funktionen auf der Softwareseite (also in OpenWRT) korrekt zu konfigurieren und insbesondere die Netzwerk-Isolation mithilfe von Firewall-Regeln zu gewährleisten.

Die Topologie sieht dann wie folgt aus:

1. Ihr Hauptrouter stellt ein WLAN (z.B. „MeinHeimnetz”) bereit.
2. Ihr OpenWRT-Gerät verbindet sich als Client mit „MeinHeimnetz” und erhält von dort eine IP-Adresse.
3. Gleichzeitig stellt das OpenWRT-Gerät ein eigenes WLAN (z.B. „MeinGastWLAN”) bereit.
4. Geräte, die sich mit „MeinGastWLAN” verbinden, erhalten eine IP-Adresse vom OpenWRT-Gerät und können über dieses auf das Internet zugreifen, sind aber vom „MeinHeimnetz” isoliert.

Vorbereitung: Was Sie brauchen

Bevor wir loslegen, stellen Sie sicher, dass Sie Folgendes zur Hand haben:

• Einen Router, der mit OpenWRT kompatibel ist und idealerweise bereits damit läuft. Eine aktuelle Version (z.B. 21.02 oder neuer) ist empfehlenswert.
• Zugang zur OpenWRT Weboberfläche (LuCI) über Ihren Browser. Sie benötigen die IP-Adresse Ihres OpenWRT-Routers (standardmäßig oft 192.168.1.1).
• Die SSID (Name) und das Passwort Ihres bestehenden Haupt-WLANs, mit dem sich das OpenWRT-Gerät verbinden soll.
• Eine Vorstellung davon, welche SSID und welches Passwort Ihr neues Gast-WLAN haben soll, sowie einen freien IP-Adressbereich dafür (z.B. 192.168.20.1/24), der sich von Ihrem Hauptnetzwerk (z.B. 192.168.1.1/24) unterscheidet.
• Ein Ethernet-Kabel, um sich bei Bedarf direkt mit dem OpenWRT-Router zu verbinden, falls WLAN-Probleme auftreten.
• Etwas Geduld und Konzentration.

Wichtiger Hinweis: Jedes Mal, wenn Sie wesentliche Netzwerkänderungen in OpenWRT vornehmen, besteht das Risiko, dass die Verbindung abreißt. Stellen Sie sicher, dass Sie einen Plan haben, um wieder Zugang zu erlangen (z.B. über ein Kabel oder eine zuvor eingerichtete statische IP-Adresse auf Ihrem PC).

Schritt-für-Schritt-Anleitung: Gast-WLAN im Client-Modus einrichten

Schritt 1: OpenWRT als WLAN-Client konfigurieren

Zuerst bringen wir Ihr OpenWRT-Gerät dazu, sich mit Ihrem bestehenden Haupt-WLAN zu verbinden und so Internetzugang zu erhalten.

1. Melden Sie sich bei der LuCI-Weboberfläche Ihres OpenWRT-Routers an (normalerweise http://192.168.1.1).
2. Navigieren Sie zu „Netzwerk” > „Drahtlos”. Hier sehen Sie die verfügbaren WLAN-Schnittstellen (z.B. radio0, radio1).
3. Suchen Sie die Schnittstelle, die Sie für die Client-Verbindung nutzen möchten. Klicken Sie auf „Scannen” neben dieser Schnittstelle.
4. Wählen Sie Ihr Haupt-WLAN aus der Liste aus und klicken Sie auf „Netzwerk beitreten”.
5. Geben Sie das Passwort (Schlüssel) Ihres Haupt-WLANs ein.
6. Geben Sie unter „Neues Netzwerk:” einen Namen für dieses Client-Interface ein, z.B. wwan. Stellen Sie sicher, dass es der Firewall-Zone wan zugewiesen ist, damit es Internetzugang erhält.
7. Klicken Sie auf „Senden” und dann auf „Änderungen speichern und anwenden”.

Ihr OpenWRT-Gerät sollte sich nun mit dem Haupt-WLAN verbinden und eine IP-Adresse vom Hauptrouter erhalten. Sie können dies unter „Netzwerk” > „Schnittstellen” überprüfen. Das Interface wwan sollte eine IP-Adresse und DNS-Server vom Hauptrouter anzeigen.

Schritt 2: Neues Interface für das Gast-WLAN erstellen

Jetzt erstellen wir das logische Netzwerk für unsere Gäste, das einen eigenen IP-Adressbereich haben wird.

1. Navigieren Sie zu „Netzwerk” > „Schnittstellen”.
2. Klicken Sie auf die Schaltfläche „Neue Schnittstelle hinzufügen…”.
3. Geben Sie als Namen gast ein.
4. Wählen Sie als Protokoll „Statische Adresse”.
5. Klicken Sie auf „Neues Interface erstellen”.
6. Auf der nächsten Seite konfigurieren Sie die Einstellungen für das Gast-Netzwerk:
   • IPv4-Adresse: Wählen Sie einen freien IP-Adressbereich, der sich von Ihrem Hauptnetzwerk unterscheidet. Wenn Ihr Hauptnetz 192.168.1.x ist, könnten Sie hier 192.168.20.1 wählen.
   • IPv4-Netzmaske: 255.255.255.0
7. Wechseln Sie zum Reiter „DHCP-Server”.
8. Aktivieren Sie das Kontrollkästchen „DHCP-Server aktivieren”.
9. Stellen Sie einen Bereich ein (z.B. 192.168.20.100 bis 192.168.20.200) und eine Lease-Zeit (z.B. 12h).
10. Klicken Sie auf „Sichern” und dann auf „Änderungen speichern und anwenden”.

Schritt 3: Gast-WLAN konfigurieren

Nun erstellen wir das eigentliche WLAN, mit dem sich Ihre Gäste verbinden können.

1. Navigieren Sie zu „Netzwerk” > „Drahtlos”.
2. Suchen Sie die WLAN-Schnittstelle, die Sie für das Gast-WLAN nutzen möchten (oft die gleiche, die Sie auch für den Client-Modus verwendet haben, da die meisten Chipsätze Multi-AP/Client-Betrieb unterstützen). Klicken Sie auf „Hinzufügen”.
3. Konfigurieren Sie die Einstellungen für das Gast-WLAN:
   • Modus: Access Point
   • ESSID: Geben Sie den Namen Ihres Gast-WLANs ein, z.B. MeinGastWLAN.
   • Netzwerk: Wählen Sie hier das zuvor erstellte Interface gast aus.
4. Wechseln Sie zum Reiter „Drahtlos Sicherheit”:
   • Verschlüsselung: Wählen Sie WPA2-PSK/WPA3-SAE Mixed Mode oder WPA2-PSK (je nach Kompatibilität der Geräte Ihrer Gäste).
   • Schlüssel: Geben Sie ein sicheres Passwort für Ihr Gast-WLAN ein.
5. Klicken Sie auf „Sichern” und dann auf „Änderungen speichern und anwenden”.

Ihr Gast-WLAN sollte jetzt sichtbar sein, aber noch keinen Internetzugang haben, da die Firewall-Regeln fehlen.

Schritt 4: Firewall-Regeln für Isolation und Internetzugang

Dies ist der kritischste Schritt für die Sicherheit und Funktion Ihres Gast-WLANs. Wir müssen eine neue Firewall-Zone für das Gast-Netzwerk erstellen und festlegen, was es darf und was nicht.

1. Navigieren Sie zu „Netzwerk” > „Firewall” > „Zonen”.
2. Suchen Sie die Zeile „gast” (dies ist die Zone, die OpenWRT automatisch für unser gast-Interface erstellt hat).
3. Klicken Sie auf „Bearbeiten” für die Zone gast.
4. Konfigurieren Sie die Einstellungen wie folgt:
   • Eingabe: Ablehnen (DROP)
   • Ausgabe: Akzeptieren (ACCEPT)
   • Weiterleiten: Ablehnen (DROP)
   • Zugriff: Wählen Sie das Netzwerkinterface gast.
   • Zonenübergreifende Weiterleitungen: Setzen Sie ein Häkchen bei wan. Das erlaubt den Gastgeräten, auf das Internet zuzugreifen. Lassen Sie lan und andere interne Zonen unangetastet.
5. Klicken Sie auf „Sichern” und dann auf „Änderungen speichern und anwenden”.

Die entscheidende Isolation: Durch die Einstellung „Weiterleiten: Ablehnen” für die Zone gast und die explizite Weiterleitung nur zu wan (nicht zu lan oder wwan), wird sichergestellt, dass Geräte im Gast-WLAN nicht direkt auf Geräte im Hauptnetzwerk zugreifen können. Sie können nur nach außen, ins Internet, kommunizieren.

Schritt 5: DNS-Server für das Gast-WLAN optimieren (optional)

Standardmäßig nutzen Gastgeräte die DNS-Server, die ihnen vom OpenWRT-Router zugewiesen werden. Sie können dies ändern, um beispielsweise öffentliche DNS-Server zu nutzen.

1. Navigieren Sie zu „Netzwerk” > „Schnittstellen”.
2. Klicken Sie auf „Bearbeiten” für die Schnittstelle gast.
3. Wechseln Sie zum Reiter „Erweiterte Einstellungen”.
4. Entfernen Sie das Häkchen bei „DNS-Server vom Provider verwenden” (falls vorhanden).
5. Geben Sie unter „Benutzerdefinierte DNS-Server verwenden” die IP-Adressen der gewünschten DNS-Server ein, z.B. 8.8.8.8 (Google DNS) und 1.1.1.1 (Cloudflare DNS), jeweils in einer neuen Zeile.
6. Klicken Sie auf „Sichern” und dann auf „Änderungen speichern und anwenden”.

Testen des Gast-WLANs

Sobald alle Schritte abgeschlossen sind, ist es Zeit für einen Test:

1. Nehmen Sie ein beliebiges Gerät (Smartphone, Laptop) und verbinden Sie es mit Ihrem neuen Gast-WLAN (z.B. „MeinGastWLAN”).
2. Überprüfen Sie, ob das Gerät eine IP-Adresse aus dem von Ihnen definierten Bereich (z.B. 192.168.20.x) erhält.
3. Öffnen Sie einen Webbrowser und versuchen Sie, auf verschiedene Internetseiten zuzugreifen. Der Internetzugang sollte funktionieren.
4. Wichtiger Sicherheitstest: Versuchen Sie nun, von diesem Gastgerät aus auf eine IP-Adresse eines Geräts in Ihrem Hauptnetzwerk zuzugreifen (z.B. die IP Ihres PCs oder Ihres Hauptrouters). Dies sollte fehlschlagen. Versuchen Sie auch, die LuCI-Oberfläche Ihres OpenWRT-Routers über die 192.168.1.1 (oder was immer Ihre Haupt-IP ist) aufzurufen – auch dies sollte nicht funktionieren, da der Zugriff von der Gast-Zone auf die LAN-Zone blockiert ist. Sie sollten nur über die 192.168.20.1 (IP des Gast-Interfaces) auf LuCI zugreifen können.

Troubleshooting: Häufige Probleme und Lösungen

• Keine IP-Adresse im Gast-WLAN: Überprüfen Sie, ob der DHCP-Server für das gast-Interface in Schritt 2 korrekt aktiviert und konfiguriert ist. Stellen Sie sicher, dass das gast-Interface gestartet ist.
• Kein Internetzugang im Gast-WLAN: Die häufigste Ursache sind fehlende oder falsche Firewall-Regeln. Gehen Sie Schritt 4 nochmals genau durch und stellen Sie sicher, dass die Weiterleitung von gast zu wan erlaubt ist. Überprüfen Sie auch, ob Ihr OpenWRT-Router selbst Internetzugang über das wwan-Interface hat.
• Gast-WLAN ist nicht sichtbar: Überprüfen Sie unter „Netzwerk” > „Drahtlos”, ob die Gast-WLAN-Schnittstelle aktiviert ist und dem korrekten physischen Funkmodul (radio0, radio1) zugewiesen wurde. Stellen Sie sicher, dass die SSID und der Modus (Access Point) korrekt sind.
• Zugriff auf Hauptnetzwerk von Gästen aus möglich: Dies ist ein ernstes Sicherheitsproblem. Überprüfen Sie die Firewall-Einstellungen in Schritt 4. Die „Weiterleiten”-Regel für die gast-Zone muss auf „Ablehnen” stehen, und es darf keine explizite Weiterleitung von gast zu lan oder wwan erlaubt sein.
• Leistungsprobleme: Wenn beide WLANs (Client und AP) auf demselben Funkmodul und Kanal laufen, kann dies zu Leistungseinbußen führen. Wenn Ihr Router zwei Funkmodule hat (z.B. 2,4 GHz und 5 GHz), können Sie eine für den Client-Modus und die andere für das Gast-WLAN verwenden, idealerweise auf unterschiedlichen Kanälen.

Sicherheitsaspekte und Best Practices

Obwohl OpenWRT standardmäßig sehr sicher ist, gibt es immer Dinge, die Sie tun können, um die Netzwerksicherheit zu erhöhen:

• Starke Passwörter: Verwenden Sie einzigartige, komplexe Passwörter für beide WLANs und für den Zugriff auf Ihre OpenWRT LuCI-Oberfläche.
• OpenWRT aktuell halten: Führen Sie regelmäßig Updates Ihrer OpenWRT-Firmware durch, um von den neuesten Sicherheitsverbesserungen und Fehlerbehebungen zu profitieren.
• Firewall-Regeln überprüfen: Gehen Sie Ihre Firewall-Regeln von Zeit zu Zeit durch, um sicherzustellen, dass sie immer noch Ihren Anforderungen entsprechen und keine unnötigen Lücken vorhanden sind.
• Bandbreitenbegrenzung (QoS): Für ein wirklich umfassendes Gast-WLAN können Sie Quality of Service (QoS)-Regeln konfigurieren, um die maximale Bandbreite für Gäste zu begrenzen. Dies verhindert, dass Gäste Ihr gesamtes Internet auslasten. Dies ist jedoch ein fortgeschrittenes Thema, das den Rahmen dieses Artikels sprengt.

Fazit

Wie Sie gesehen haben, ist die Einrichtung eines OpenWRT Gast-WLANs im WLAN-Client-Modus nicht nur möglich, sondern mit der richtigen Anleitung auch für versierte Laien gut umsetzbar. Mit OpenWRT erhalten Sie eine unglaubliche Flexibilität und Kontrolle über Ihr Netzwerk, die bei Standard-Router-Firmwares oft fehlt. Sie schaffen eine sichere, isolierte Umgebung für Ihre Gäste und schützen gleichzeitig Ihr privates Netzwerk.

Dieses Setup bietet eine elegante Lösung für viele Szenarien und zeigt eindrucksvoll die Leistungsfähigkeit von OpenWRT. Nehmen Sie sich die Zeit, folgen Sie den Schritten genau, und Sie werden ein robustes und sicheres Gast-WLAN einrichten, das Ihren Bedürfnissen entspricht. Viel Erfolg beim Konfigurieren!