Erstinstallation UAG4100 Bedingungen, welche umgesetzt bzw. für das Beispiel angepasst werden sollen: LAN1 = 172.16.0.1/16bit (255.255.0.0), DHCP ab 172.16.1.1 für 4096 Clients, leased time 3 Tage. LAN2 = soll nicht genutzt werden und wird daher auf 0.0.0.0/0.0.0.0 ohne DHCP gesetzt. VLAN11 = 172.17.0.1/16bit (255.255.0.0), DHCP ab 172.17.1.1 für 4096 Clients, leased time 1 Tag. LAN1 wird das Management Netzwerk. VLAN11 wird das Gäste-Netzwerk, und da LAN2 nicht benötigt, wird der Adressbereich dort weggenommen und für das VLAN11 Interface/Netzwerk Verwendung finden. Am P1 steckt die UAG4100 im eigenen Haus-Netzwerk, von dort aus man die Konfiguration am besten durchführen kann um alles entsprechend einzustellen. Am P2 steckt der Drucker SP350E und am P3 ein ggf. zu Testzwecken verwendbarere Testrechner.
Zunächst mittels Benutzer admin und Passwort 1234 in die UAG4100 einloggen (http://wan-ip/ oder falls aus dem LAN verbunden http://172.16.0.1/). Bei der Passwort Änderung zunächst Ignore (Ignorieren) klicken.
Falls der Assistent erscheint, diesen per Go to Dashboard erst einmal übergehen. Als Firmware sollte mindestens die V4.00(AAIZ.2) enthalten sein, ist dies noch nicht der Fall das somit ausstehende Update unbedingt durchführen (ftp://ftp2.zyxel.com/uag4100/firmware/). Sollte das Update (.BINary-Datei aus dem aktuellen ZIP-Archiv wäre in die UAG zu übertragen) durchgeführt worden sein bzw. ist die zuletzt verfügbare Firmware im Gerät enthalten, gehen wir nun zuerst einen Reset auf Werkseinstellungen mittels system-default.conf durchführen. Dazu im Menu Maintenance/File Manager den Eintrag system-default.conf markieren und oben rechts den Punkt Apply klicken. Sodann der Vorauswahl belassend, OK klicken.
Die UAG4100 wird nun in die aktuellen Werkseinstellungen versetzt, womit der Grundstatus der Einstellungen dieser Unterlage bekannt ist und man nun mit der Eigentlichen Konfiguration beginnen kann um ein LAN1 (Management) und ein VLAN11 (Gästenetzwerk) zu etablieren. Sonstige Unterlagen wie etwa Manual, Supportnote, etc. finden Sie am FTP-Server direkt unter: - ftp://ftp2.zyxel.com/uag4100/ oder: - ftp://ftp.zyxel.com/uag4100/
1. LAN2 Interface Einstellungen ändern auf 0.0.0.0/0.0.0.0 / DHCP = none: Menu Configuration / Interface / Ethernet - LAN2 Eintrag markieren und Edit klicken. Zunächst oben beim Punkt Enable Interface den Haken entfernen. Dann bei IP Address: 0.0.0.0 und bei Subnet Mask: 0.0.0.0 setzen / Eintragen. Den Punkt DHCP: auf None setzen und dann auf OK Klicken. Da LAN2 somit nicht genutzt wird im Menu Port Role alle 4 Ports auf LAN1 zuordnen.
2. VLAN11 Interface anlegen: Nun in das Menu VLAN gehen und mittels Add ein neues Interface anlegen. Der Punkt Interface Type: muss von Gerneral auf Internal eingestellt werden. Als Interface Name: nimmt man vlan11. Die Zone werden wir später zuordnen. Als Base Port wird lan1 gewählt. Und die VLAN ID sollte 11 eingestellt werden. IP-Adresse wird 172.17.0.1/16bit (255.255.0.0) sein. Als First DNS Server (Optional): setzen wir den Punkt auf Device. Und der DHCP wird ab 172.17.1.1 für 4096 Clients mit Leased 1 Tag eingestellt. Danach klick auf OK um das VLAN11 Interface anzulegen.
3. Zone (zwecks Firewall von/nach) Einstellen bzw. anpassen: Im Menu Configuration / Network / Zone markieren wir nun Zone LAN2 und klicken Edit. Zone (VLAN11) nun nach rechts in die Member Liste bringen und OK Klicken. Somit bleiben die Einstellungen der Firewall vom Grundsatz her gleich und brauchen nicht speziell Konfiguriert oder Angepasst werden. 4. Menu Configuration / Network / IPnP: Hier muss das vlan11 rechts in die Member List und danach Apply klicken. 5. Menu Configuration / Network / Layer 2 Isolation: Auch hier muss das vlan11 rechts in die Member List und danach Apply klicken.
6. Menu Configuration / Object / Address fehlende Objekte anlegen: Klicken Sie add um ein Interface Subnet Basierendes Address Objekt anlegen zu können. Als Name: VLAN11_SUBNET Type ist dann Interface Subnet vom Interface vlan11. Dann klicken Sie OK um dieses Objekt zu erstellen.
7. Menu Configuration / Web Authentication: Wählen wir hier nun den Punkt Web Portal und klicken unten auf Apply.
8. Menu Configuration / AP Profile / SSID / Security List: Damit man nun mehrere SSID s ausstrahlen kann, muss dies auch in unterschiedliche Verschlüsselungen per WPA2-MIX, etc. verknüpft werden. Gedanke dabei ist in diesem Beispiel eine SSID für das LAN1 Management sowie die SSID für das Gäste Netzwerk. Erst mal legen wir 2 neue Security List Einträge an: Klicken Sie auf Add und geben als Profilname WPA2-PSK-MIX_Mitarbeiter an. Den Punkt Security-Mode setzen wir auf wpa2-mix. Als PSK nehmen wir mal PSK-Mitarbeiter. Der Cipher Type: muss auf auto stehen (damit sind WPA2/AES sowie WPA/TKIP erlaubt). Den Punkt Group Key Update Timer: geben wir auf 600 (bewährte sich bei Streams).
Nun erneut ein weiteres Security Profil anlegen mit dem Namen WPA2-PSK-MIX_Gaeste. Sonstige Einstellungen sind gleich der obigen für die Mitarbeiter, aber als PSK verwenden wir der Einfachheit halber: 123456789abcd
9. Menu Configuration / AP Profile / SSID / SSID List: Nun legen wir 2 neue SSID Profile an, eines für Gaeste und eines für die Mitarbeiter. Klicken Sie auf Add und geben als ersten Profilenamen SSID_Gaests an. Als SSID nehmen wir mal Gast-WLan. Als Security verknüpfen wir unser zuvor angelegtes WPA2-PSK-MIX_Gaeste. Als VLAN ID müssen wir hier den Punkt eine 11 eintragen. Dies geht nur dann, wenn man unten beim Punkt VLAN Support: bei Local VAP Setting auf On stehen hat. - Klicken Sie nun auf OK. Beim zweiten anzulegenden SSID Profil geben wir den Namen SSID_Mitarbeiter. Als SSID strahlen wir Mitarbeiter-WLan aus (kann man aber auch später hidden geben). Als Security Profil verwenden wir unser angelegtes WPA2-PSK-MIX_Mitarbeiter. Da LAN1 = VLAN ohne Tag arbeitet, muss man hier nun beim Punkt Local VAP Setting auf VLAN Support: = Off stellen und dort das Outgoing Interface: = lan1 wählen.
Somit sind 2 SSID / Security Profile erstellt mit entsprechender Zuordnung. 10. Menu Configuration / AP Profile / Radio: In diesem Menu markieren wir nun das default Radio Profil und stellen dort die am Radio (den Accesspoints, welche gemanaged werden) die auszustrahlenden SSID Profile ein. Das vor ausgewählte default SSID profile nutzen wir nicht und ersetzen die Einträge lediglich mit unseren SSID s für die Gaeste und Mitarbeiter.
11. Menu Configuration / Billing: Um das Billing nur für die Gaeste auszulegen, muss in diesem Menu noch (Profil default kann, muss aber nicht entfernt werden) das Profil SSID_Gaests bei SSID Selected Profile zugeordnet werden. 12. Menu Configuration / Printer Manager: Ist ein SP350E (ältere werden nicht unterstützt) zugegen, ist dieser hier im Menu bei der Printer List anzugeben.
Damit der Drucker immer die Selbe IP-Adresse bekommt, sollte man diesen im DHCP Statisch reservierend zuordnen. Dies kann der Einfachheit halber im Dashboard mit Klick auf DHCP Table im System Status Bereich umgesetzt werden.
Aber man kann auch ins LAN1 Interface Editierend den Static DHCP Eintrag manuell hinzu fügen: Welche IP-Adresse der Drucker bekommt ist entsprechend zu prüfen und die MAC-Adresse kann man am Drucker an der Geräte Unterseite nachprüfen. 13. Menu Configuration / Wireless / Controller: Standard eingestellt ist in diesem Menu Always Accept und sollte später auf Manuel gestellt werden, wenn alle Managed Accesspoints in der Liste geführt werden. Steht dieser Punkt auf Manual und ein weitere Managed AP soll hinzugefügt werden, kann man dies im Menu Monitor / Wireless / AP Information mittels markieren / hinzufügen auch händisch umsetzen.
14. Menu Configuration / Wireless / AP Management: Hier findet sich zum einen der eingebaute AP des UAG4100 gelistet sowie hinzugeführte APs. Je nach Profile Vorgaben kann es sein, das hier aufgelistete Managed Accesspoints kein Radio-Profil zugeordnet ist, dies kann mit Edit jedoch händisch nachgeholt werden.
15. UAG4100 soll seine eigenen AP-Module nicht nutzen: Damit der UAG4100 sein eigenes Wifi nicht ausstrahlen kann, muss man lediglich zwei separate Radio-Profile erstellen (eines 2.4GHz und eines 5GHz) in diesem man SSID alle Einträge disable setzt und das Profil als Inaktiv anlegt. Dies habe ich mit dem Radio-Profil undefault für 2.4GHz und undefault2 für 5GHz umgesetzt und so im Menu Configuration / Wireless / AP Management dem Eintrag 127.0.0.1 mittels Edit zugeteilt.
16. Menu System / DNS: Sollte man die UAG4100 mittels WAN (P1) Interface an ein vorhandenes Netzwerk anschließen, welches keine IP-Adresse per DHCP am WAN Interface anliegend vergibt und man hier manuell die WAN-IP, Gateway, etc. Informationen setzen, sollte man im Menu System / DNS einen funktionierenden DNS-Forwarder eintragen, z.b. 8.8.8.8. 17. Obige Anleitung spiegelt auch die Datei latest-sample.conf wieder, diese man so in die UAG mit aktueller Firmware einfach einspielen und als Grundlage nutzen kann.