In einer zunehmend vernetzten Welt ist es fast schon Standard, Gästen, Kunden oder Besuchern Zugang zum Internet zu ermöglichen. Doch Vorsicht: Ein unsachgemäß konfiguriertes Gäste-WLAN kann schnell zu einem Einfallstor für Ihr privates oder geschäftliches Netzwerk werden. Mit Ubiquiti UniFi verfügen Sie über ein leistungsstarkes und flexibles System, das Ihnen die nötigen Werkzeuge an die Hand gibt, um ein robustes und vor allem sicheres Gäste-WLAN einzurichten. Viele Nutzer aktivieren einfach die „Gäste-Richtlinien” und denken, sie seien sicher. Doch die Realität zeigt: Ohne die richtigen Firewall-Regeln ist Ihr separates Gast-VLAN oft nur eine Illusion.
Dieser umfassende Leitfaden zeigt Ihnen detailliert, wie Sie Ihr UniFi Gäste-WLAN korrekt konfigurieren, um maximale Sicherheit zu gewährleisten und Ihr Hauptnetzwerk effektiv zu schützen. Machen Sie sich bereit, die Tiefen Ihres UniFi Controllers zu erkunden und die Kontrolle über Ihre Netzwerksicherheit zu übernehmen.
Warum ein separates Gäste-WLAN unverzichtbar ist
Stellen Sie sich vor, ein Gast mit einem potenziell infizierten Gerät oder einem neugierigen Kind, das unautorisierte Inhalte herunterlädt, verbindet sich mit Ihrem Heimnetzwerk. Plötzlich haben diese Geräte direkten Zugriff auf Ihren Netzwerkspeicher (NAS), Ihre Smart-Home-Geräte, Drucker oder sogar auf Ihren Arbeitscomputer. Das ist ein Alptraum!
Ein dediziertes Gästenetzwerk schafft eine isolierte Umgebung. Es ermöglicht externen Geräten den Zugang zum Internet, trennt sie aber gleichzeitig physisch und logisch von Ihrem Hauptnetzwerk ab. Die Vorteile liegen auf der Hand:
- Sicherheit: Schutz Ihrer privaten Daten und Geräte vor externen Bedrohungen.
- Datenschutz: Gäste können Ihre internen Ressourcen nicht einsehen oder auf diese zugreifen.
- Leistung: Begrenzung der Bandbreite für Gäste, um die Leistung Ihres Hauptnetzes nicht zu beeinträchtigen.
- Kontrolle: Möglichkeit zur Überwachung und Protokollierung der Gästeaktivitäten (unter Einhaltung lokaler Datenschutzgesetze).
Die Grundlagen der Netzwerktrennung: VLANs und Subnetze
Der Schlüssel zur erfolgreichen Netzwerktrennung liegt in der Verwendung von VLANs (Virtual Local Area Networks). Ein VLAN ist eine logische Gruppierung von Netzwerkgeräten, die sich so verhalten, als ob sie sich in ihrem eigenen unabhängigen Netzwerk befänden, auch wenn sie physisch an denselben Switches angeschlossen sind. Jedes VLAN erhält ein eigenes IP-Subnetz, was die Adressierung und Trennung erleichtert.
Ein typisches Setup sieht wie folgt aus:
- Hauptnetzwerk (LAN): Z.B. 192.168.1.0/24 (VLAN ID 1 – oft das Standard-VLAN)
- Gäste-WLAN: Z.B. 192.168.10.0/24 (VLAN ID 10)
Ohne die richtigen Firewall-Regeln würden diese beiden Subnetze (wenn sie vom Router verwaltet werden) standardmäßig miteinander kommunizieren können. Genau hier setzen wir an, um diese Kommunikation zu unterbinden.
Vorbereitungen im UniFi Controller
Bevor wir starten, stellen Sie sicher, dass Ihr UniFi-System auf dem neuesten Stand ist und alle Komponenten (UniFi Gateway wie UDM/USG, UniFi Switches, UniFi APs) korrekt funktionieren und vom Controller verwaltet werden. Vergewissern Sie sich, dass Sie Administratorzugriff auf Ihren UniFi Controller haben.
Wichtiger Hinweis: Machen Sie vor größeren Änderungen immer ein Backup Ihrer Controller-Konfiguration! Sie finden diese Option unter „Settings -> System -> Backup”.
Schritt 1: Das VLAN für das Gäste-WLAN erstellen
Der erste und grundlegendste Schritt ist die Erstellung eines neuen Netzwerks, das als Basis für Ihr Gäste-WLAN dienen wird.
- Navigieren Sie im UniFi Controller (Neue Oberfläche) zu „Settings” (Einstellungen) -> „Networks” (Netzwerke).
- Klicken Sie auf „Create New Network” (Neues Netzwerk erstellen).
- Geben Sie die folgenden Details ein:
- Name: Wählen Sie einen aussagekräftigen Namen, z.B. „Gäste-Netzwerk” oder „Guest_VLAN”.
- VLAN ID: Vergeben Sie eine freie VLAN ID. Vermeiden Sie 1 (oft Standard-LAN). Eine Zahl wie 10, 20 oder 50 ist gut geeignet. Merken Sie sich diese ID!
- IP Address/Subnet: Geben Sie ein neues, noch nicht verwendetes Subnetz ein, z.B.
192.168.10.1/24. Die.1am Ende wird die Gateway-IP für dieses Subnetz sein, sofern Ihr UniFi Gateway (UDM/USG) DHCP und Routing übernimmt. - DHCP Range: Der DHCP-Server, der in Ihrem UniFi Gateway läuft, wird in diesem Bereich IP-Adressen an die Gäste verteilen. Ein Bereich wie
192.168.10.6 - 192.168.10.254ist üblich. - Router (Gateway IP): Dies ist die IP-Adresse Ihres UniFi Gateways in diesem Subnetz (z.B.
192.168.10.1). - DHCP Mode: Stellen Sie sicher, dass „DHCP Server” aktiviert ist, damit Ihre Gäste IP-Adressen erhalten.
- Advanced Settings (Erweiterte Einstellungen):
- IGMP Snooping: Kann aktiviert bleiben.
- Multicast DNS: Für ein Gäste-WLAN in der Regel deaktiviert lassen, es sei denn, Sie haben spezielle Anforderungen für Gäste, die lokale Dienste entdecken sollen (was in einem getrennten Gastnetzwerk selten ist).
- Klicken Sie auf „Add Network” (Netzwerk hinzufügen), um die Änderungen zu speichern.
Hinweis für Nutzer ohne UniFi Gateway (UDM/USG): Wenn Sie einen Router eines Drittanbieters verwenden, der VLANs unterstützt, müssen Sie die VLAN-ID und das Subnetz dort konfigurieren und UniFi im „VLAN Only”-Modus einrichten, wo UniFi nur das WLAN-Netzwerk taggt, die IP-Vergabe aber vom externen Router übernommen wird.
Schritt 2: Das Gäste-WLAN einrichten
Jetzt, da das VLAN existiert, können wir das eigentliche WLAN-Netzwerk erstellen und diesem unser neues, sicheres VLAN zuweisen.
- Navigieren Sie zu „Settings” (Einstellungen) -> „WiFi” (WLAN).
- Klicken Sie auf „Create New WiFi Network” (Neues WLAN-Netzwerk erstellen).
- Konfigurieren Sie die folgenden Optionen:
- Name: Wählen Sie einen Namen für das WLAN, z.B. „MeinCafe_Gast” oder „FamilieMueller_Gast”. Dies ist die SSID, die Ihre Gäste sehen werden.
- Password (Passwort): Legen Sie ein starkes, aber leicht teilbares Passwort fest (z.B. WPA2-Personal/WPA3-Personal).
- Network (Netzwerk): Wählen Sie hier Ihr zuvor erstelltes Gäste-VLAN aus der Dropdown-Liste aus (z.B. „Gäste-Netzwerk”). Dieser Schritt ist absolut entscheidend für die VLAN-Trennung!
- Guest Hotspot: Aktivieren Sie diese Option, wenn Sie später ein Gästeportal nutzen möchten. UniFi wendet dann automatisch grundlegende Isolationsregeln an. Wir werden diese jedoch später mit unseren eigenen Firewall-Regeln übersteuern und verstärken.
- Advanced Settings (Erweiterte Einstellungen):
- Band Steering: Kann aktiviert bleiben.
- Client Isolation: Aktivieren Sie diese Option unbedingt! Sie verhindert, dass Gäste im selben Gäste-WLAN miteinander kommunizieren können (z.B. Dateien freigeben oder sich gegenseitig scannen). Dies ist besonders wichtig in öffentlichen Umgebungen.
- Multicast and Broadcast Control: Aktivieren Sie „Block LAN to WLAN Multicast and Broadcast Data”, um unnötigen Netzwerkverkehr zu reduzieren.
- Filter Multicast (Deprecated): Deaktivieren.
- Klicken Sie auf „Add WiFi Network” (WLAN-Netzwerk hinzufügen). Ihre Access Points beginnen nun, die neue SSID auszustrahlen.
Schritt 3: Firewall-Regeln für maximale Sicherheit – Der kritische Schritt!
Dies ist der wichtigste Teil der Konfiguration, der Ihr Hauptnetzwerk wirklich schützt. Die Aktivierung der „Guest Policies” im WLAN ist ein guter Anfang, aber für eine kompromisslose Trennung müssen Sie eigene Firewall-Regeln erstellen. Diese Regeln definieren, welche Art von Datenverkehr zwischen Ihren Netzwerken erlaubt oder blockiert wird.
Navigieren Sie zu „Security” (Sicherheit) -> „Firewall & Security” (Firewall & Sicherheit) -> „Firewall Rules” (Firewall-Regeln).
Wichtiger Hinweis zur Reihenfolge: UniFi verarbeitet Firewall-Regeln von oben nach unten. Die erste Regel, die auf ein Paket zutrifft, wird angewendet. Eine „Drop”-Regel (Paket verwerfen) sollte *vor* einer allgemeineren „Accept”-Regel stehen, wenn Sie spezifischen Verkehr blockieren möchten.
Wir erstellen Regeln in der Kategorie „LAN In”. Diese Regeln steuern den Datenverkehr, der *von* einem lokalen Netzwerk *zu* einem anderen lokalen Netzwerk geleitet wird.
Regel 1: Sperren Sie jeglichen Zugriff vom Gäste-VLAN auf das Haupt-LAN
Dies ist die wichtigste Regel. Sie verhindert, dass Geräte im Gäste-VLAN überhaupt versuchen können, Ihr Hauptnetzwerk zu erreichen.
- Klicken Sie auf „Create New Rule” (Neue Regel erstellen).
- Konfigurieren Sie die Regel wie folgt:
- Name:
DROP_Guest_to_LAN - Action (Aktion):
Drop(Verwerfen) - IPv4 Protocol (IPv4-Protokoll):
All(Alle) - Enabled (Aktiviert):
Ja - Rule Applied (Regel angewendet):
Before predefined rules(Vor vordefinierten Regeln)
- Name:
- Source (Quelle):
- Type:
Network - Network: Wählen Sie hier Ihr Gäste-Netzwerk (z.B.
Gäste-Netzwerk) aus.
- Type:
- Destination (Ziel):
- Type:
Network - Network: Wählen Sie hier Ihr Haupt-LAN (z.B.
LAN) aus.
- Type:
- Klicken Sie auf „Add Rule” (Regel hinzufügen).
Regel 2: Sperren Sie den Zugriff vom Gäste-VLAN auf den Router/Controller (Management-Schnittstellen)
Es ist auch wichtig zu verhindern, dass Gäste auf die Verwaltungsoberflächen Ihres UniFi Gateways oder Controllers zugreifen können.
- Klicken Sie erneut auf „Create New Rule” (Neue Regel erstellen).
- Konfigurieren Sie die Regel wie folgt:
- Name:
DROP_Guest_to_Router_Management - Action (Aktion):
Drop - IPv4 Protocol (IPv4-Protokoll):
All - Enabled (Aktiviert):
Ja - Rule Applied (Regel angewendet):
Before predefined rules
- Name:
- Source (Quelle):
- Type:
Network - Network:
Gäste-Netzwerk
- Type:
- Destination (Ziel):
- Type:
IP Address - IP Address: Geben Sie die IP-Adresse Ihres UniFi Gateways im Haupt-LAN ein (z.B.
192.168.1.1). - Port Group: Optional können Sie hier spezifische Management-Ports wie 80, 443, 22, 8443, 8080 hinzufügen, um nur diese zu blockieren, aber ein generelles „All” ist sicherer.
- Type:
- Klicken Sie auf „Add Rule” (Regel hinzufügen).
Hinweis zur Reihenfolge: Stellen Sie sicher, dass diese beiden „DROP”-Regeln ganz oben in der Liste der „LAN In”-Regeln stehen, *bevor* andere „ACCEPT”-Regeln greifen könnten, die den Zugriff eventuell doch erlauben würden.
Die oben genannten Regeln sind die absoluten Mindestanforderungen. Ohne diese ist die VLAN-Trennung lückenhaft. UniFi wird standardmäßig den Internetzugang für das Gäste-VLAN über Ihr Gateway ermöglichen, sobald es eine IP-Adresse erhalten hat.
Alternative: Traffic Management (Neuere UniFi OS Konsolen)
Auf neueren UniFi OS Konsolen (UDM, UDM Pro, UDR) gibt es zusätzlich zu den traditionellen Firewall-Regeln eine intuitivere „Traffic Management” (Datenverkehrsverwaltung) Sektion unter „Security” -> „Traffic Management”. Hier können Sie Regeln wie „Block traffic from Guest_VLAN to LAN” mit wenigen Klicks erstellen. Es generiert im Hintergrund entsprechende Firewall-Regeln. Überprüfen Sie dennoch immer die generierten Firewall-Regeln, um sicherzustellen, dass sie Ihren Anforderungen entsprechen.
Schritt 4: Zusätzliche Gäste-Funktionen optimieren
Für ein noch besseres und kontrollierteres Gästeerlebnis bietet UniFi weitere nützliche Funktionen:
Gästeportal (Captive Portal)
Ein Gästeportal (Hotspot) erfordert, dass sich Gäste anmelden, einen Gutschein eingeben oder Nutzungsbedingungen akzeptieren, bevor sie ins Internet gelangen. Dies ist besonders nützlich für Unternehmen oder öffentliche Einrichtungen.
- Navigieren Sie zu „Settings” (Einstellungen) -> „Guest Hotspot” (Gäste-Hotspot).
- Aktivieren Sie „Enable Guest Hotspot” (Gäste-Hotspot aktivieren).
- Konfigurieren Sie die Optionen:
- Authentication (Authentifizierung):
- No Authentication (Keine Authentifizierung): Nur AGBs akzeptieren.
- Simple Password (Einfaches Passwort): Ein Passwort für alle Gäste.
- Voucher (Gutschein): Erstellen Sie Gutscheine mit spezifischen Gültigkeitsdauern und Bandbreitenlimits.
- External Portal Server: Für erweiterte Integrationen mit externen Systemen.
- Splash Page (Begrüßungsseite): Passen Sie das Logo, Farben und Texte an.
- Pre-Authorization Access: Hier können Sie spezifische Websites oder Dienste (z.B. Ihren eigenen Webserver für Informationen) definieren, auf die Gäste auch *ohne* Authentifizierung zugreifen können. Seien Sie hier vorsichtig, um keine Sicherheitslücken zu schaffen.
- Authentication (Authentifizierung):
- Speichern Sie die Änderungen. Denken Sie daran, dass das Gästeportal einen laufenden UniFi Controller erfordert.
Bandbreitenbegrenzung
Um sicherzustellen, dass Gäste nicht Ihre gesamte Internetbandbreite beanspruchen, können Sie Limits festlegen.
- Navigieren Sie zu „Settings” (Einstellungen) -> „Traffic Management” (Datenverkehrsverwaltung) -> „Bandwidth Profiles” (Bandbreitenprofile).
- Klicken Sie auf „Create New Profile” (Neues Profil erstellen).
- Geben Sie einen Namen (z.B. „Gast_50_Mbit”), eine Download- und Upload-Geschwindigkeit ein (z.B. 50 Mbit/s).
- Weisen Sie dieses Profil Ihrem Gäste-WLAN zu (unter WiFi-Einstellungen) oder direkt im Gäste-Hotspot, wenn aktiviert.
Client Isolation (Bereits in Schritt 2 erwähnt, aber hier nochmals hervorgehoben)
Stellen Sie sicher, dass die Client Isolation für Ihr Gäste-WLAN aktiviert ist (unter den erweiterten WiFi-Einstellungen). Dies ist ein wichtiger Schutzmechanismus, der verhindert, dass sich Gäste untereinander im selben Netzwerk sehen oder angreifen können. Dies ist besonders in öffentlichen Umgebungen unerlässlich.
Schritt 5: Testen, Testen, Testen!
Nachdem Sie alle Einstellungen vorgenommen haben, ist ein gründlicher Test unerlässlich, um sicherzustellen, dass alles wie gewünscht funktioniert und Ihr Hauptnetzwerk tatsächlich geschützt ist.
- Verbinden Sie ein Gerät (Smartphone, Laptop) mit Ihrem neu konfigurierten Gäste-WLAN.
- Verifizieren Sie den Internetzugang: Öffnen Sie Ihren Browser und versuchen Sie, verschiedene Websites zu besuchen. Wenn Sie ein Gästeportal eingerichtet haben, stellen Sie sicher, dass es korrekt angezeigt wird und die Anmeldung funktioniert.
- Testen Sie den Zugriff auf Ihr Hauptnetzwerk (DER KRITISCHSTE TEST):
- Versuchen Sie, eine Netzwerkfreigabe (NAS, Windows-Freigabe) in Ihrem Haupt-LAN zu erreichen.
- Versuchen Sie, Ihren Drucker im Haupt-LAN zu pingen oder zu nutzen.
- Versuchen Sie, auf die IP-Adresse Ihres Routers (UniFi Gateway im Haupt-LAN, z.B.
192.168.1.1) zuzugreifen oder diese anzupingen. - Versuchen Sie, auf die IP-Adresse Ihres UniFi Controllers (falls er auf einem separaten Gerät läuft) zuzugreifen.
- Ergebnis: Alle Versuche, auf Ressourcen im Haupt-LAN zuzugreifen, müssen fehlschlagen! Wenn Sie Zugriff erhalten, sind Ihre Firewall-Regeln nicht korrekt konfiguriert oder in der falschen Reihenfolge. Gehen Sie die Schritte noch einmal durch.
- Client Isolation Test: Wenn Sie zwei Geräte im Gäste-WLAN haben, versuchen Sie, sie gegenseitig anzupingen oder zu erreichen. Dies sollte ebenfalls fehlschlagen.
Fehlerbehebung und Best Practices
- Firewall-Regel-Reihenfolge: Der häufigste Fehler. „DROP”-Regeln müssen *vor* allgemeineren „ACCEPT”-Regeln stehen, die sonst den Verkehr durchlassen könnten.
- VLAN-Tagging: Stellen Sie sicher, dass die VLAN ID im WLAN-Netzwerk korrekt zugewiesen wurde und auf allen UniFi Switches (Port Profiles) richtig konfiguriert ist, wenn Sie spezielle Konfigurationen verwenden. Standardmäßig taggt UniFi die Ports, an denen die APs hängen, automatisch richtig, wenn das WLAN ein VLAN zugewiesen bekommt.
- Firmware-Updates: Halten Sie Ihren UniFi Controller und alle Geräte (Gateway, Switches, APs) stets auf dem neuesten Stand. Updates enthalten oft wichtige Sicherheitsverbesserungen.
- Starke Passwörter: Verwenden Sie für Ihr Gäste-WLAN ein starkes, aber noch gut merkbares Passwort und wechseln Sie es regelmäßig, besonders wenn viele Gäste darauf zugreifen.
- Dokumentation: Dokumentieren Sie Ihre VLAN IDs, IP-Subnetze und wichtigen Firewall-Regeln. Dies hilft bei der Fehlerbehebung und zukünftigen Anpassungen.
- Überwachung: Überprüfen Sie regelmäßig die Protokolle im UniFi Controller, um ungewöhnliche Aktivitäten zu erkennen.
Fazit
Ein sicheres UniFi Gäste-WLAN zu konfigurieren, erfordert mehr als nur ein Häkchen bei „Gäste-Richtlinien” zu setzen. Es ist ein proaktiver Ansatz, der auf der intelligenten Nutzung von VLANs und vor allem präzisen Firewall-Regeln basiert. Mit den Schritten in diesem Leitfaden haben Sie die Werkzeuge an der Hand, um eine robuste Trennung zwischen Ihrem privaten Netzwerk und dem Gästezugang zu schaffen.
Denken Sie daran: Ihre Netzwerksicherheit ist ein fortlaufender Prozess. Regelmäßige Überprüfung und Anpassung sind entscheidend. Wenn Sie diese Richtlinien befolgen, können Sie Ihren Gästen einen komfortablen und zuverlässigen Internetzugang bieten, ohne jemals die Sicherheit Ihres eigenen Netzes zu gefährden. Ihr UniFi-System ist ein mächtiges Werkzeug – nutzen Sie es richtig!