Die Zeiten, in denen man Besuchern einfach das Passwort des privaten Heimnetzwerks gab, sind längst vorbei. Ein dediziertes **Gäste WLAN** ist heute nicht nur eine Frage der Höflichkeit, sondern vor allem der Sicherheit. Doch wie richtet man ein solches Netzwerk ein, das sowohl **sicher** als auch **schnell** ist und obendrein noch kinderleicht funktioniert? Die Kombination aus einer zuverlässigen **Fritzbox** und dem leistungsstarken **Unifi**-Ökosystem bietet hierfür eine exzellente Lösung. In diesem umfassenden Guide zeigen wir Ihnen Schritt für Schritt, wie Sie Ihr eigenes, professionelles Gäste WLAN einrichten, das Ihre privaten Daten schützt und Ihren Gästen gleichzeitig eine hervorragende Internetverbindung bietet.
### Warum ein separates Gäste WLAN?
Stellen Sie sich vor, Ihre Freunde oder Familie sind zu Besuch und möchten das Internet nutzen. Ohne ein separates Gäste WLAN müssten Sie ihnen Zugang zu Ihrem Hauptnetzwerk gewähren. Das birgt einige Risiken:
* **Sicherheitsrisiko**: Jeder Gast hat potenziell Zugriff auf Ihre freigegebenen Ordner, smarten Geräte (Kameras, Lautsprecher, etc.) und andere Netzwerkressourcen. Ein unsicheres Gerät eines Gastes könnte zudem Schadsoftware in Ihr privates Netzwerk einschleusen.
* **Performance-Einbußen**: Wenn viele Gäste gleichzeitig Ihr Hauptnetzwerk nutzen, kann dies die Geschwindigkeit für Ihre eigenen Geräte beeinträchtigen, besonders wenn bandbreitenintensive Anwendungen wie Streaming oder Gaming laufen.
* **Komplexität**: Das Ändern des Haupt-WLAN-Passworts nach jedem Besuch ist umständlich und wird oft vergessen.
Ein dediziertes Gäste WLAN löst all diese Probleme. Es isoliert Ihre Gäste von Ihrem privaten Netzwerk, ermöglicht separate Bandbreitenkontrollen und kann bei Bedarf mit einem eigenen, einfach zu teilenden Passwort oder sogar einem **Captive Portal** versehen werden.
### Unifi und Fritzbox: Ein starkes Duo
Die **Fritzbox** ist in vielen deutschen Haushalten das Herzstück der Internetverbindung. Sie ist bekannt für ihre Zuverlässigkeit, Benutzerfreundlichkeit und integrierte Telefonie-Funktionen. Für ein einfaches Gäste-WLAN kann die Fritzbox bereits eine Funktion bereitstellen, doch für erweiterte Sicherheits- und Verwaltungsfunktionen, insbesondere im Hinblick auf Netzwerktrennung (VLANs), detaillierte Gastkontrolle und ein professionelles Auftreten, kommt **Unifi** ins Spiel.
Unifi von Ubiquiti bietet eine Palette von Netzwerkgeräten – von Access Points über Switches bis hin zu Routern und Firewalls (USG / Dream Machine) – die zentral über den **Unifi Controller** verwaltet werden. Diese Kombination ermöglicht es, die Robustheit der Fritzbox als Internet-Gateway beizubehalten, während Unifi die intelligente Verteilung und Absicherung des Netzwerks übernimmt. Das Ergebnis ist ein extrem flexibles und leistungsstarkes Setup.
Für die umfassendste und **sicherste** Lösung, die wir hier beschreiben, gehen wir davon aus, dass Sie neben Ihren Unifi Access Points auch einen Unifi Security Gateway (USG) oder eine Unifi Dream Machine (UDM / UDM Pro) besitzen. Diese Geräte sind entscheidend, um **VLANs** und eine echte **Netzwerktrennung** zu realisieren, da die Fritzbox in der Regel keine detaillierte VLAN-Steuerung auf ihren LAN-Ports bietet. Die Fritzbox fungiert dabei als reines Modem und Haupt-Router für das Internet, während der USG/UDM die gesamte interne Netzwerklogik, DHCP und Firewall-Regeln für das Unifi-Netzwerk verwaltet.
### Benötigte Hardware und Software
Bevor wir loslegen, stellen Sie sicher, dass Sie folgende Komponenten bereithalten:
1. **Fritzbox**: Ihr bestehender Internet-Router (z.B. Fritzbox 7590, 7490, etc.).
2. **Unifi Security Gateway (USG) oder Unifi Dream Machine (UDM/UDM Pro)**: Dies ist der zentrale Unifi-Router, der die Netzwerktrennung und Firewall-Funktionen bereitstellt.
3. **Unifi Access Points (APs)**: Mindestens ein Unifi AP (z.B. U6-Lite, UAP-AC-Pro), um das WLAN-Signal zu verbreiten.
4. **Unifi Switch (optional, aber empfohlen)**: Wenn Sie mehrere kabelgebundene Unifi-Geräte haben, ist ein Unifi Switch hilfreich.
5. **Unifi Controller**: Die Software zur Verwaltung Ihrer Unifi-Geräte. Diese kann auf einem Cloud Key, einer Dream Machine, einem Mini-PC (z.B. Raspberry Pi) oder einem permanent laufenden Computer installiert sein.
6. **Netzwerkkabel**: Für die Verbindungen zwischen den Geräten.
### Schritt 1: Grundlegende Netzwerkkonfiguration der Fritzbox
Ihre **Fritzbox** wird weiterhin als Ihr Haupt-Internet-Gateway fungieren. Die wichtigste Aufgabe der Fritzbox in diesem Setup ist es, dem Unifi Security Gateway (USG/UDM) eine IP-Adresse zuzuweisen und den Internetzugang bereitzustellen.
1. **IP-Schema der Fritzbox**: Notieren Sie sich das IP-Schema Ihrer Fritzbox. Standardmäßig ist dies oft 192.168.178.1/24. Stellen Sie sicher, dass der DHCP-Server der Fritzbox aktiv ist.
2. **Verbindung zum USG/UDM**: Verbinden Sie den WAN-Port Ihres USG/UDM mit einem freien LAN-Port Ihrer Fritzbox.
3. **Kein Fritzbox-Gäste-WLAN**: Deaktivieren Sie das integrierte Gäste-WLAN der Fritzbox, um Interferenzen zu vermeiden und die Kontrolle vollständig an Unifi zu übergeben. Gehen Sie dazu in der Fritzbox-Oberfläche (meist `http://fritz.box`) auf „WLAN” -> „Gastzugang” und schalten Sie ihn aus.
Ihr USG/UDM erhält nun eine IP-Adresse aus dem Netzwerkbereich der Fritzbox (z.B. 192.168.178.X) auf seinem WAN-Port.
### Schritt 2: Einrichtung des Unifi Controllers und Adoption der Geräte
Falls noch nicht geschehen, müssen Sie den **Unifi Controller** einrichten und Ihre Unifi-Geräte (USG/UDM, APs, Switches) adoptieren.
1. **Unifi Controller starten**: Öffnen Sie Ihren Unifi Controller im Browser (z.B. `https://:8443`).
2. **Geräte Adoption**: Stellen Sie sicher, dass alle Ihre Unifi-Geräte im Controller als „Adopted” angezeigt werden. Falls nicht, durchlaufen Sie den Adoptionsprozess (oft unter „Devices” -> „Adopt”).
3. **Netzwerkkonfiguration USG/UDM**:
* Gehen Sie in den Einstellungen des Unifi Controllers (Zahnrad-Symbol).
* Navigieren Sie zu „Networks”.
* Überprüfen Sie Ihr „LAN” Netzwerk. Standardmäßig hat der USG/UDM hier ein eigenes IP-Schema (z.B. 192.168.1.1/24). Dieses Netzwerk wird Ihr privates, sicheres Netzwerk sein. Lassen Sie den DHCP-Server hier aktiviert.
* Stellen Sie sicher, dass keine IP-Adressen zwischen Fritzbox-Netzwerk (z.B. 192.168.178.0/24) und USG/UDM LAN-Netzwerk (z.B. 192.168.1.0/24) kollidieren.
### Schritt 3: Erstellen des Gäste-VLANs im Unifi Controller
Der Schlüssel zu einem **sicheren** Gäste WLAN ist die **Netzwerktrennung** mittels **VLANs**. Ein VLAN (Virtual Local Area Network) erlaubt es, logisch getrennte Netzwerke auf derselben physikalischen Infrastruktur zu betreiben.
1. **Neues Netzwerk anlegen**:
* Gehen Sie im Unifi Controller zu „Settings” (Zahnrad) -> „Networks”.
* Klicken Sie auf „Create New Network”.
* **Name**: Geben Sie dem Netzwerk einen aussagekräftigen Namen, z.B. „**Gäste_Netzwerk**”.
* **Purpose**: Wählen Sie „**Corporate**”. (Ja, „Corporate” ist die richtige Wahl, da wir detaillierte Kontrolle über Routing und Firewall-Regeln haben wollen, auch wenn es für Gäste ist. „Guest” Netzwerke in Unifi sind eher für einfache Setups ohne USG/UDM gedacht oder für sehr spezifische Portalszenarien, die weniger Flexibilität bei den Firewall-Regeln bieten).
* **Router**: Wählen Sie Ihr USG/UDM aus.
* **VLAN ID**: Weisen Sie eine eindeutige VLAN ID zu, z.B. **10**. Merken Sie sich diese Nummer gut.
* **Gateway/Subnet**: Legen Sie einen neuen IP-Bereich fest, der nicht mit Ihrem Haupt-LAN oder dem Fritzbox-Netzwerk kollidiert. Beispiel: **192.168.20.1/24**.
* **DHCP Range**: Der USG/UDM wird den DHCP-Server für dieses Netzwerk bereitstellen. Definieren Sie einen Bereich (z.B. 192.168.20.10 – 192.168.20.250).
* **DNS Servers**: Standardmäßig wird der DNS-Server des USG/UDM verwendet. Sie können auch öffentliche DNS-Server wie 1.1.1.1 (Cloudflare) oder 8.8.8.8 (Google) eintragen.
* **Optional**: Deaktivieren Sie „Auto-scale network”.
* Klicken Sie auf „Add Network” (oder „Save”).
Ihr USG/UDM wird nun die Konfiguration übernehmen und einen neuen DHCP-Server für das **VLAN 10** bereitstellen.
### Schritt 4: Einrichten des Gäste-WLANs (SSID)
Jetzt erstellen wir das drahtlose Netzwerk, mit dem sich Ihre Gäste verbinden werden.
1. **Neues WLAN erstellen**:
* Gehen Sie im Unifi Controller zu „Settings” -> „Wi-Fi”.
* Klicken Sie auf „Create New Wi-Fi Network”.
* **Name (SSID)**: Geben Sie dem WLAN einen freundlichen Namen, z.B. „**MeinZuhause_Gast**”.
* **Security**: Wählen Sie „**WPA2/WPA3 Personal**” für maximale Kompatibilität und Sicherheit.
* **Password**: Wählen Sie ein **starkes, aber einfach zu teilendes Passwort**. Dies könnte ein Satz sein oder eine Kombination aus Wörtern.
* **Network**: Wählen Sie hier das soeben erstellte Netzwerk „**Gäste_Netzwerk**” aus der Dropdown-Liste. Dies verknüpft die SSID mit Ihrem Gäste-VLAN.
* **Optional**: Aktivieren Sie unter „Advanced” -> „Multicast Enhancement” für bessere Leistung bei Streaming-Diensten.
2. **Gast-Richtlinien anwenden (Gast-Portal)**:
* Um die Isolation und zusätzliche Funktionen zu nutzen, aktivieren Sie die **Gast-Richtlinien**.
* Gehen Sie zu „Settings” -> „Guest Hotspot”.
* Aktivieren Sie „Enable Guest Hotspot”.
* **Authentication**: Hier können Sie wählen, wie sich Gäste authentifizieren sollen:
* **None**: Jeder kann sich verbinden, sobald er das WLAN-Passwort hat (wenn Sie kein Captive Portal nutzen).
* **Password**: Ein Passwort, das auf dem Portal eingegeben werden muss.
* **Hotspot**: Ermöglicht Voucher-basierten Zugriff oder andere erweiterte Authentifizierungsmethoden.
* Für die meisten Heimanwender ist die Option „Password” (oder „None” in Kombination mit dem WLAN-Passwort) ausreichend. Wenn Sie ein Captive Portal möchten, wählen Sie „Hotspot” und konfigurieren Sie die Details.
* **Portal Customization**: Hier können Sie Ihr **Captive Portal** gestalten. Fügen Sie ein Logo hinzu, ändern Sie den Begrüßungstext, fügen Sie Nutzungsbedingungen hinzu und bestimmen Sie die Farben. Dies verleiht Ihrem Gäste WLAN ein professionelles Aussehen.
* **Zugriffsrechte (Pre-Authorization Access)**:
* Standardmäßig isoliert das Unifi Guest Policy die Clients vom lokalen Netzwerk. Stellen Sie sicher, dass keine IP-Adressen Ihres Hauptnetzwerks hier als Ausnahmen hinzugefügt werden, es sei denn, Sie möchten, dass Gäste auf bestimmte lokale Ressourcen zugreifen können (was für ein Gäste WLAN nicht empfohlen wird).
* Wenn Gäste auf Geräte im eigenen Gäste-Netzwerk zugreifen können sollen (z.B. ein Chromecast, der ebenfalls im Gäste-Netzwerk ist), können Sie die **Client-Isolation** auf dem WLAN deaktivieren (unter „Advanced” -> „Advanced Options” -> „Client Device Isolation”). Aber Vorsicht: Dies erhöht das Risiko, dass Gäste sich gegenseitig stören. Für maximale Sicherheit lassen Sie die Client-Isolation aktiviert.
* **Bandbreitenkontrolle (Traffic Shaping)**: Dies ist ein entscheidender Punkt für ein **schnelles** Gäste WLAN, das gleichzeitig Ihr eigenes Netzwerk schont.
* Unter „Guest Hotspot” -> „Hotspot Manager” -> „Settings” -> „Bandwidth Profiles” können Sie Profile anlegen.
* Erstellen Sie ein neues Profil, z.B. „Guest_Limit”.
* Setzen Sie Upload- und Download-Geschwindigkeiten fest (z.B. 20 Mbps Download, 5 Mbps Upload pro Client). Dies verhindert, dass ein einzelner Gast Ihre gesamte Internetbandbreite beansprucht.
* Wählen Sie dieses Profil in Ihren Gast-Hotspot-Einstellungen aus.
Klicken Sie auf „Apply Changes” (oder „Save”). Ihre Unifi Access Points werden nun die neue SSID ausstrahlen.
### Schritt 5: Firewall-Regeln für maximale Sicherheit (auf dem USG/UDM)
Obwohl die Gast-Richtlinien von Unifi bereits eine gute Isolation bieten, ist es ratsam, zusätzliche **Firewall-Regeln** zu definieren, um sicherzustellen, dass das Gäste-VLAN wirklich vollständig von Ihrem privaten Netzwerk isoliert ist. Diese Regeln werden auf dem USG/UDM angewendet.
1. **Regeln für das Gäste-VLAN erstellen**:
* Gehen Sie im Unifi Controller zu „Settings” -> „Firewall & Security” -> „Firewall Rules”.
* Wählen Sie den Tab „LAN In”. Diese Regeln gelten für Traffic, der *in* Ihr Netzwerk von einem LAN-Interface kommt.
* **Regel 1: Zugriff vom Gäste-VLAN auf das Haupt-LAN blockieren.**
* Klicken Sie auf „Create New Rule”.
* **Name**: `Block Gäste zu Haupt-LAN`
* **Action**: `Drop` (oder `Reject`)
* **Enable**: `Haken setzen`
* **Rule Applied Before**: `Predefined Rules`
* **Source**:
* **Type**: `Network`
* **Network**: Wählen Sie Ihr „Gäste_Netzwerk” (VLAN 10).
* **Destination**:
* **Type**: `Network`
* **Network**: Wählen Sie Ihr „LAN” (Ihr Haupt-Netzwerk).
* Klicken Sie auf „Save”.
Diese Regel stellt sicher, dass kein Gerät im Gäste-VLAN auf Geräte oder Ressourcen in Ihrem privaten Haupt-LAN zugreifen kann. Das ist die wichtigste Sicherheitsmaßnahme!
2. **Optional: Blockieren des Zugriffs vom Gäste-VLAN auf die Fritzbox (falls gewünscht)**
* Wenn Sie verhindern möchten, dass Gäste die Verwaltungsoberfläche Ihrer Fritzbox erreichen, können Sie eine weitere Regel hinzufügen:
* **Name**: `Block Gäste zu Fritzbox`
* **Action**: `Drop`
* **Source**: `Gäste_Netzwerk`
* **Destination**:
* **Type**: `IP Address`
* **Address**: Geben Sie die IP-Adresse Ihrer Fritzbox ein (z.B. `192.168.178.1`).
* Klicken Sie auf „Save”.
Speichern Sie alle Änderungen. Das USG/UDM wird die neuen Firewall-Regeln anwenden.
### Schritt 6: Optimierung für Geschwindigkeit und Stabilität
Ein **schnelles** Gäste WLAN bedeutet nicht nur hohe Bandbreite, sondern auch Stabilität und gute Abdeckung.
* **AP-Platzierung**: Positionieren Sie Ihre **Unifi Access Points** optimal, um eine gleichmäßige Abdeckung in den Bereichen zu gewährleisten, in denen Gäste das WLAN nutzen werden. Vermeiden Sie Hindernisse wie dicke Wände oder Metallobjekte.
* **Kanäle optimieren**: Nutzen Sie die Unifi „RF Environment” Scan-Funktion, um weniger frequentierte WLAN-Kanäle (1, 6, 11 für 2.4 GHz; automatische Kanäle für 5 GHz sind oft gut) zu finden und manuell einzustellen. Dies reduziert Interferenzen mit Nachbar-WLANs.
* **Sendeleistung anpassen**: Oft ist weniger mehr. Eine mittlere Sendeleistung für 2.4 GHz und eine hohe für 5 GHz kann eine bessere Verteilung der Clients auf die Frequenzen bewirken. Testen Sie verschiedene Einstellungen.
* **Firmware-Updates**: Halten Sie die Firmware Ihrer Fritzbox und aller Unifi-Geräte immer auf dem neuesten Stand. Updates bringen oft Leistungsverbesserungen und schließen Sicherheitslücken.
* **WPA3 nutzen**: Wenn alle Ihre Gäste-Geräte WPA3 unterstützen, kann dies eine zusätzliche Sicherheitsebene bieten. Andernfalls ist WPA2/WPA3 Personal ein guter Kompromiss.
### Schritt 7: Testen des Gäste WLANs
Nach all diesen Schritten ist es Zeit, Ihr neues **Gäste WLAN** ausgiebig zu testen.
1. Verbinden Sie ein Gerät (Smartphone, Laptop) mit dem neuen Gäste-WLAN (SSID „MeinZuhause_Gast”).
2. Wenn Sie ein Captive Portal aktiviert haben, sollte es im Browser erscheinen. Authentifizieren Sie sich.
3. Prüfen Sie, ob Sie Zugang zum Internet haben.
4. Versuchen Sie, auf Geräte in Ihrem Haupt-LAN zuzugreifen (z.B. Netzwerkfreigaben, Fritzbox-Oberfläche, andere smart Home Geräte). Dies sollte **nicht** möglich sein.
5. Führen Sie einen Geschwindigkeitstest durch, um zu überprüfen, ob die Bandbreitenbegrenzung korrekt funktioniert.
Wenn alle Tests erfolgreich sind, haben Sie ein **sicheres und schnelles Gäste WLAN** eingerichtet, das **einfach funktioniert**!
### Häufige Probleme und Lösungen
* **Kein Internet im Gäste-WLAN**:
* Überprüfen Sie die VLAN-ID im Unifi Controller und stellen Sie sicher, dass sie korrekt im WLAN-Netzwerk zugewiesen ist.
* Stellen Sie sicher, dass der DHCP-Server für das Gäste-Netzwerk im USG/UDM aktiviert ist und IP-Adressen vergibt.
* Prüfen Sie Ihre Firewall-Regeln. Haben Sie versehentlich den Internetzugang für das Gäste-VLAN blockiert? Die Standardregel „LAN_IN_2000_Allow Established/Related” muss vorhanden sein.
* **Gast kann auf mein Hauptnetzwerk zugreifen**:
* Überprüfen Sie die Firewall-Regeln im Unifi Controller. Die Regel „Block Gäste zu Haupt-LAN” muss an erster Stelle stehen und aktiv sein.
* Stellen Sie sicher, dass unter „Settings” -> „Guest Hotspot” die „Pre-Authorization Access” Liste keine IPs oder Subnetze Ihres Haupt-LANs enthält.
* **Langsame Verbindung**:
* Überprüfen Sie die Bandbreitenbegrenzungen im Unifi Controller. Sind sie zu streng eingestellt?
* Scannen Sie die Funkumgebung nach Interferenzen und passen Sie die WLAN-Kanäle an.
* Überprüfen Sie die Auslastung Ihres Internetanschlusses.
* **Captive Portal erscheint nicht**:
* Stellen Sie sicher, dass der Gastzugang im Unifi Controller aktiviert ist und einem WLAN zugewiesen wurde.
* Manche Geräte haben Probleme, das Portal automatisch anzuzeigen. Versuchen Sie, einen Webbrowser zu öffnen und eine beliebige Webseite (ohne HTTPS) aufzurufen.
### Fazit
Ein **sicheres und schnelles Gäste WLAN** ist ein Must-have in jedem modernen Haushalt. Mit der Kombination aus **Fritzbox** und **Unifi** haben Sie die volle Kontrolle über Ihr Netzwerk und können Ihren Gästen einen exzellenten Service bieten, ohne Ihre eigene Sicherheit zu kompromittieren. Die Einrichtung mag auf den ersten Blick komplex erscheinen, doch die detaillierten Schritte in diesem Artikel führen Sie sicher zum Ziel. Genießen Sie die Vorteile eines professionell konfigurierten Netzwerks, das **einfach funktioniert** und Ihnen und Ihren Besuchern Freude bereitet!