Gegeben ist eine Fritzbox mit DSL-Internetzugang, ein paar switches, ein macmini mit OSX-server und alles per Netzwerkkabel verkabelt.
Ich möchte in einem Raum, in dem Ethernet liegt, einen WLAN-Gastzugang einrichten, mittels dessen ein Gast ausschließlich ins Internet kann, jedoch keinen Zugriff auf das interne Netzwerk hat. Als device hätte ich eine airport extreme (2nd oder 5th generation), die "das Internet" aus dem Netzwerkkabel beziehen könnte. Zur Zeit läuft diese im Bridge-Modus und erweitert wohl das Ethernet um einen drahtlosen Zugang. Wie kann ich den Gastzugang einrichten?

Wenn du dafür eine Airport Extreme bereitstellen kannst, errichtest du am einfachsten ein weiters WLAN, das nur Gäste benutzen: eigene SSID, eigenes Kennwort, keine Verbindung zum Rest.

Wie wäre es denn einfach mit dem Aktivieren des Gästenetz?

Mit einer Airport Extreme geht das, aber nicht im Bridgemodus. Die Extreme wird über den WAN-Port mit dem Ethernet verbunden und erhält dort eine feste IP aus dem internen Netz. Auf der anderen Seite spannt sie ein WLAN mit einem anderen IP-Adressbereich auf. Dann sagst du noch der Fritzbox dass sie alle Verbindungsversuche von der IP der Airport Extreme aufs interne Netzwerk blocken soll.

Die Extreme wird über Double NAT meckern, aber das kann man einfach im Airport Utility auf „ignorieren“ stellen.

Auf heise gibts dazu auch eine genauere Anleitung:

Die FritzBox hat eine Option Port 4 zum Gast Netzwerk zu leiten. Deine Airport einfach nach Aktivierung dort dran hängen und ganz normal konfigurieren.

Aber eigentlich wäre es am einfachsten, den Gästen einfach Zugang zum normalen WLAN zu geben. Wir machen das zum Beispiel so. Oder hat jemand Angst, dass die Gäste am nächsten Tag vor dem Haus hocken, um gratis ins Internet zu kommen? Und was für Leute ladet Ihr eigentlich ein?

Also, zuerst einmal geht das natürlich im Bridge Modus - der Screenshot von meiner Extreme oben ist im Bridge Modus. Dann muss man diese ganze händische Fummelei mit NAT per Double vergewaltigen auch sowieso schon mal gar nicht machen, weil eben die Extreme die Funktion für das Gästenetz schon eingebaut hat.

Man muss Dinge nicht unnötig komplex machen!

Sorry, wollte nur helfen. Mach ich nie wieder, versprochen.

richtig - haben wir hier auch so: Fritzbox und dahinter Switch + 3 Airports mit WLAN und Gäste-WLAN. Gar kein Problem und kein Gefummel.

Danke allen soweit!
@DefiLover: Bei der installierten Airport Extreme 2nd generation sehe ich die Option "Gastnetzwerk aktivieren" nicht. Eventuell geht das mit dieser Version nicht. Ich benutze Airportdienstprogramm 6.3.8.
@Skaffen-Amtiskaw: Gästen Zugang zum "normalen" WLAN zu geben, möchte ich nicht. Der normale Gastzugang ist ja wohl genau das, was ich benötige, leider bekomme ich mit der 2nd generation ihn nicht aktiviert:-)

Das funktioniert in der Praxis nicht - der Gastzugang geht nur, wenn WLAN deaktiviert ist

Du brauchst zwei kleine Managed Switches, machst ein VLAN - dadurch kannst du das Signal vom LAN Kabel das zur Extreme geht vom normalen LAN trennen und die Extrem kann ein ganz "normales" WLAN machen (da das LAN Signal ja schon getrennt ist).

Ich hatte mal ein ähnliches Problem (funktioniert nun einwandfrei):

Wie bereits von Windwusel gesagt, nutze doch die Funktion der Fritzbox, auf einzlene LAN Ports nur einen Gastzugang (nur Internet, kein LAN) zu schalten. Dann kommt über das Kabel bei der AirPort bereits ein Eingeschränkter Zugang an und du müsst von dort einfach nur noch ein normales WLAN erstellen.

FritzBoxen hab idR auch die Möglichkeit selber ein eigenes Gast-WLAN zu senden, neben dem normalen. Sollte der Raum nicht zu weit weg sein, könnte man sich damit einiges noch vereinfachen.

Du hasst da was falsche Verstanden. Es geht nicht um eine Temporäre Einschränkung, sondern darum, dass die Gäste nicht auf die Geräte und Daten innerhalb eines LANs zugreifen sollen (andere Rechner, Speicher etc), sondern nur auf das Internet.

Statler_RGBG natürlich geht das, gerade eben Ausprobiert.

2 mögliche Ursachen, entweder ist das eine Version ohne die Möglichkeit - ist die Firmware aktuell?, oder die F***box verhindert aktiv den Aufbau des Gästenetz - bei AVM leider kein ungewöhnliches Verhalten, dann zeigt die Maske den nicht an. Welche Modellnummer (A<xyz>) hat die Extreme?

Ja, das Problem ist bekannt. Kaum verlasse ich kurz den Raum, um eine neue Flasche Wein zu holen, versuchen meine Gäste die Macs zu kapern und den NAS im Keller anzuzapfen, um sich an den Daten zu bereichern.

Die extreme ist eine A1143.

Tja, schade. Die A1143 ist zu alt, weil nur single-band fähig - um ein Gästenetzwerk aufzuspannen, muss die Station dual-band unterstützen. Also geht der Apple-eigene Mechanismus mit dieser Station nicht. Da die Station nun auch mindestens fast 9 Jahre alt ist - vielleicht Zeit mal für was modernes, schnelleres, fähigeres?

Ich habe, wie ich eingangs schrieb auch noch eine 5th generation hier im Schrank stehen; vielleicht hole ich die demnächst mal raus Der Wunsch nach Gast-Wlan war heute morgen kurz aufgekommen; ich dachte, ich könnte den bei der airport "einfach" einschalten; ging ja nicht.

Skaffen-Amtiskaw: schonmal Kinder zu besuch gehabt? es muss ja keiner was böses wollen, aber Neugier ist nunmal Grenzenlos, nicht nur die von Kindern.

Szenario: Wie verhinderst du, dass ein unerzogener Wanst, der mit seiner Mutter bei deiner besseren Hälfte zu besuch ist, ständig BS auf das Apple TV schickt zum abspielen, ohne dafür jedesmal jedem Gerät über dem Router eigene Regeln zuzuweisen und ihm dabei dennoch die Möglichkeit gibst ins Internet zu kommen, damit er seine Klappe hält ... äh beschäftigt ist? Richtig - Gast WLAN. Einfach ein Zweites Wlan haben, das keine Berechtigungen außer Internet hat und nie wieder Gedanken machen, was irgendwann mal passieren könnte. Egal welchen auch noch so unwahrscheinlichen Umstände kommen könnten. Ach und Nein, Körperliche Züchtigung oder die Gäste rausschmeißen sind keine Optionen.

virk: was ist mit dem Gastzugang der Fritzbox? Kein Bock drauf? Vorteil wäre, das auch am Kabel bereits "nur" das Internet Signal anliegt. Und dir reicht das eine Band der AirPort

Das Netzwerkkabel in der Wand muss abgesichert werden, andernfalls kann der "Gast" mit Leichtigkeit in das interne Netz, in dem er einfach das Kabel umsteckt! Deshalb muss der Aufbau anders sein

Die Fritzbox erlaubt es doch einen Gastzugang über Kabel einzurichten. Daran muss das Kabel für das Zimmer gehängt werden und daran kannst Du ein WLAN-Access-Point hängen oder direkt das Kabel zur Verfügung stellen.

Das ist doch an den Haaren herbeigezogen – und wenn nicht, ist das bestenfalls eine kleine Unannehmlichkeit. Jeder Mac, der NAS und alle anderen empfindlichen Geräte sind sowieso nur mit Kennwort erreichbar. Ja, ein Bengel könnte 100 Kopien desselben Fotos auf unserem Drucker ausgeben. Aber solche Leute kennen wir nicht, und da muss ich auch nicht vorauseilend irgendwelche übertriebenen Massnahmen ergreifen.

Hier wird IMHO versucht ein Problem zu lösen, das vermutlich gar nicht existiert. Ein Gastnetz in der Firma oder im Restaurant? Sehr gute Idee! Aber zuhause ganz bestimmt nicht.

Es soll Leute geben, die im "normalen" WLAN Server betreiben, auf denen Firmen- und Kundendaten liegen und die einen Gast, egal wie vertrauenswürdig, einfach nichts angehen.

Zum Absichern reicht in aller Regel auch ganz einfach ein MAC Filter, den man eh an haben sollte, den Port "sichern" ist bei Fritzbox auch kein besserer "Schulz".

ich hätte ne Extreme mit Dualband abzugeben 75€?

Skaffen-Amtiskaw: natürlich ist das an den Haaren herbei gezogen, aber auch nicht sehr weit. schön das du sowas nicht brauchst - der TO hat allerdings nicht darüber gesprochen warum er das braucht und auch keine Frage dahingehend gestellt, sondern wollte wissen wie er es macht.
Warum man das machen sollte kann viele Gründe haben und nur weil bei dir keiner Zutrifft und du es Unsinnig (für dich) findest, muss das nicht jeder genauso sehen, darauf wollt ich hinaus.

@Alle: Gastnetzwerk auf der Fritzbox ginge und geht. Jedoch ist genau dieses im Besprechungsraum nicht erreichbar, da zu weit weg. Desweiteren haben wir hier in der Fa. eigentlich kein Wlan, jedenfalls keines, wodrauf sich die Mitarbeiter verlassen können. Wlan ist zwar oft da, aber nicht immer, da ich z.B. die besagte airport ab und zu zum Wochenende ausschalte, was weiß ich sonst noch. Eine noch vor einer Woche in die Runde gestellte Frage nach "supportetem WLAN" (und damit meine ich WLAN, was immer läuft) wurde abschlägig beschieden; allen reicht die Ethernetstrippe.

Die "Dringlichkeit" ist weg und was ich gelernt habe, ist, dass die extreme 2nd generation Gastnetzwerk wohl nicht kann und es nicht meine Blödheit war. Für das nächste Mal werde ich wohl die extreme 5th generation nehmen, oder einen der drei, vier anderen Router, die hier noch rumstehen
@ibasst: Ich hab bei ebay drei extremes gekauft und eine habe ich auch noch übrig, wie ich bereits schrieb

@DefiLover:

Ich kann an der AExtreme zwar im Bridge Modus ein GästeWLAN einrichten, das ist aber nicht nutzbar!

Ich habe hier eine FB7490 als Router und daran eine A1521 Airport Extreme 802.11ac per Ethernet im Bridge-Modus drangehangen, Anschluss ist ein Telekom IP-Anschluss.

Ein funktionierendes Gäste-WLAN kann ich nur einrichten, wenn ich als "privates" WLAN die AE und als Gäste-WLAN die entsprechende Funktion FB nutze. Oder aber ich schließe die AE über den Gastzugang-LAN Port an die FB und habe dann nur noch Internetanschluss für die AE ohne Zugriff auf das LAN.

Sobald ich die Gäste-WLAN-Funktion der Airport-Basis einschalte und mich in das entsprechende Netz einwähle, wird beim Client in der Verbindung "Kein Internetzugang" (Ausrufezeichen im WLAN-Symbol) angezeigt. Das AP-Dienstprogramm läuft dann auch entsprechend Amok...

Das liegt dann aber zu 90+% an der F***box.

Wenn man es richtig aufsetzen will, dann bleibt nur der klassische Weg.

Gäste LAN nicht WLAN. Das Gäste WLAN hab ich nur als Optionale Variante genannt.
Der Witz daran ist doch, dass dieses Gäste LAN über das bereits von dir verlegte Kabel läuft. D.H auch wenn dort jemand sitzt und sich direkt auf das Kabel stöpselt kommt er "nur" ins Internet. Und Ansonsten ist da halt die AirPort drann, die dieses Gäste LAN dort im Raum als ganz normales WLAN überträgt.

Bzgl. Gäste-LAN bin ich jetzt gerade nicht firm. Keine Ahnung, wie/ob das bei der Fritzbox 7340 geht. In dem Besprechungsraum liegt bislang unser ganz normale Ethernetstrippe, die mit verschiedenen switches in alle Büros verteilt ist.
Es ist Freitag nachmittag; ich hole jetzt die neuere Extreme aus dem Schrank und probiere es aus und berichte, sobald es etwas zu berichten gibt.

Habe soeben die gleichen Symptome wie cube4you. Airport-Dienstprogramm suggeriert mir, dass es ginge, aber client "meldet" kein Internet. Also werde ich mal suchen, ob ich bei der 7340 auch so etwas habe/konfigurieren kann wie eine Gäste-LAN-Buchse; jedoch müsste ich dann eine zweite Strippe in den Besprechungsraum ziehen, da wir dort auch Internet und internes Netzwerk benötigen.

Das kann auch die 7340. Muss sie aber nicht - du kannst via VLAN alles über ein Kabel machen.

Bei meiner 3490 ist das der erte Punkt in den Netzwerkeinstellunegn

Bei meiner 7340 finde ich besagten Punkt "Gastzugang" in den Netzwerkeinstellungen nicht und auch sonst nirgendwo. Eventuell gibt es diesen in dieser Fritzbox doch nicht. Sie hat auch nur zwei LAN-ports.

Dann hilft nur der Weg, den ich oben skizziert habe. D.h. eine interne Firewall, um das Gastnetzwerk abzutrennen. Neue Switche brauchst Du nicht, Gastzugang und Firewall werden mit der Fritzbox verbunden, der Rest mit dem LAN Port der Firewall. Als Firewall kann man entweder etwas Proprietäres nutzen, oder man nimmt pfsense oder ipfire. Auf den Projektseiten gibt es Verweise auf passende Hardware und auch Servicedienstleister.