VLAN for Guests with Ubiquity: Unifi USG, USW8-150, AC-Pro, AC-LR and other stuff

This posts is merely an overview of what I did to get my WLAN guests, who access the Internet through the hotspot feature of the USG and the Unifi controller,through a VLAN so that they are not part of my own private network. (security)

This handout only applies when you own some gear of Ubiquity. (I have also other hardware, here you might have to make some configuration as well, my situation is explained.

What hardware is in the network
USG Router – US 8-150W switch – AC-Pro, 2 x AC-Lite AccessPoint (Unifi stuff)
1x TP-Link TLSG108E (Smart Switch)
2x Dump switch 5 port Netgear (not important in this story)
1x TP-Link TLSG2216 (Smart Switch)

1st Create a guest network with VLAN100. Do this only if you have the USG. If you do not have an USG this does not apply cause the network part in the controller is for use with the Unifi USG router.

If you use “Guest” it is already isolated from your corporate LAN.
Modify other settings like DHCP in this menu. This I do not explain.

Now make sure your SSID for your guests can be on a VLAN

This is the most important part.

Notice: I have an US-8-150W. When creating a VLAN Guest network in the profiles part of the controller the ports will be configured automatically. As long as you have all profiles accepted on the ports, the VLAN will directly work if your AccessPoint is directly connected to the Unifi Switch.

In my situation I have 2 AccessPoints behind a smart switch and 1 AccessPoint connected to a dumb switch what is connected to the US-8-150W (all devices eventually come to the US-8-150W as the uplink is the USG Router).

A simple test towards the AP connected to the dumpswitch is showing that the VLAN is working

To have the VLAN100 working towards the other APs you need to tag the ports in other smart swiches. In my situation 2 different TP-Link devices

Tips for the TP-Link: TLSG108E: enable 802.1Q (no need to set the 802.1Q PVID setting)

In my example you see that port 1 and port 6 are tagged with VLAN 100. Port 1 is the uplink port towards the other switch (the unifi switch) and port 6 is the port towards the AccessPoint

Apply and save the configuration and your guests can access the guest portal over VLAN

the TP-Link SG2216 is a business smart switch so the screens are a little different

Here you see the VLAN section of the SG2216 where I tagged port 16 (uplink port towards the Unifi Switch) and port 10 connected to the AccessPoint. Now this AccessPoint is also serving VLAN towards my Guests.

Maybe you wonder what will happen to your normal LAN clients when you enable or tag ports on VLAN100: your normal LAN is not tagged and the switches will forward your data normally.

Schiphol, Gate F02

Ik zit nu op een stoeltje bij Gate F02. Een KPN hotspot is gevonden, XS4ALL username ingeklopt en waarempel: het werkt. Direct internet gebruik.

Vanmorgenvroeg om 05.55 opgestaan en om 06.25 in de auto naar Schiphol. Lilian kon lekker doorrijden en nu 7.50 ben ik EN ingechecked EN zit ik dus te wachten voor vertrek. Boarding time 8.45, Stoel 23C, vlucht KL0791 richting Sao Paulo met eindbestemming Buenos Aires. In Sao Paulo heb ik een boarding time van 17.55 (locale tijd), Gate 08, Stoel 11C, vlucht JJ8004

In het kort:

KL791 Vertrek/Aankomst Amsterdam to Sao Paulo Gru 10.00 – 17.00

JJ8004 Vertrek/Aankomst Sao Paulo to Buenos Aires 19.00 – 21.50

Zonnetje begint te schijnen dus laat die oversteek over het grote water maar komen.

Maandagmorgen zit ik in de buurt van de Obelisco om daar aan xx mensen training te geven. Life’s a bitch but someone has to do the dirty job ;-)

Dus na mijn commentaar op KPN Hotspots en XS4ALL werkt ‘WiFi’ nu dus wel (Gate F02).

KPN, Xs4all, Hotspots, blogs & problemen

r-win en ikzelf hebben geconstateerd dat de samenwerking tussen KPN, XS4ALL en de Hotspots niet werken. We constateerden onafhankelijk van elkaar dat we niet met onze XS4ALL accounts (ik heb er zelfs 2!!) konden inloggen op het HotSpot KPN netwerk.
De oplossingen en antwoorden die je krijgt van XS4ALL komt zo uit een grijs boekje en dat verwacht je niet van een helpdesk die award na award krijgt uitgereikt.

Zonder een 0900-nummer te bellen (a veel geld) en wellicht dan met veel kans een nono aan de lijn krijgen, krijg je dus geen normaal antwoord.

Het schijnt dat KPN blogs en Fora uitleest. Nu ben ik natuurlijk maar een klein doorsnee weblogje, maar het is wel jammer dat er vooralsnog geen actie is ondernomen.

Dus KPN: hierbij een klacht / opmerking / verzoek tot oplossing zodat ik gebruik kan maken van jullie geweldig WiFi netwerk met mijn XS4ALL abonnement.

UPDATE 

Pim van KPN hotspot reageert:

Zoals vermeldt zou de toevoeging @xs4all in de gebruikersnaam niet nodig moeten zijn. Schiphol echter stond om onduidelijke reden anders geconfigureerd, waardoor dit wél nodig bleek. Dit hebben we direct aangepast.

Excuses voor de overlast en ik verneem graag of het nu wel werkt.

Het is dat ik even geen zakenreis heb, dus ik heb even geen toegang tot de KLM Lounge. Echter weet ik voor 100% zeker dat ik @xs4all.nl wel gebruikt heb. Maar goed: zou het niet werken dan is het nu wellicht opgelost. Dan is in ieder geval 1 doel bereikt. Nu het probleem van r-win nog.

Update II: Toevallig dat Lilian in Utrecht moest zijn vanavond en ze heeft de notebook bij zich. En Warempel: KPN Hotspot op het trein station werkt met m’n inlognaam !! Dus klachten worden door KPN Hotspot serieus genomen. ;-)

Update III: Ook station Amersfoort werkt. Lilian zit nu even te MSN-en met me.

INTERNETBELLEN VIA HOTSPOTS

xs4all en KPN hebben weer eens wat.. een test, internet belen via hotspots. Nou als dat net zo goed werkt als geauthenticeerd worden in de KLM Lounge op schiphol dan is het project bij voorbaat kansloos.

Ik ben nog steeds diep bedroeft dat 2 xs4all accounts gewoonweg niet juist geauthenticeerd konden worden.

update: afgelopen week heb ik een e-mail gestuurd naar de helpdesk van xs4all. De jongens en meiden hebben nog steeds niet gereageerd. Of mijn vraag is te lastig of ze hebben de vraag nog niet gelezen of ze weten gewoonweg niet wat het probleem is.

KPN Hotspot Schiphol, KLM Lounge

nohotspot.jpg

xs4all usersname ingevoerd, juiste wachtwoord, maar de KPN verbinding vertikte het om mij toegang te verlenen. Met 2 xs4all acccounts geprobeerd om in te loggen: nope…. nou wat is hier jullie antwoord op? ik heb toch recht op 60 minuutjes vrije toegang?

Update: het weinig zeggende antwoord van de xs4all helpdesk. ipv het probleem uit te zoeken dit antwoord:

 

Als u aanmeldt op de KPN hotspot via uw laptop en u een willekeurige
website oproept dan krijgt u de standaard KPN hotspot vangpagina. Hierop
kunt u inloggen vergeet niet om XS4ALL te kiezen in het menu achter
“Direct internettoegang Via:” Hierna vult u uw XS4ALL uw inlognaam
(beheeraccount) en wachtwoord en klik op “Inloggen”.

Op het moment dat u niet kunt inloggen, heeft u mogelijk niet gekozen om
te verbinden via XS4ALL of u gebruikt een verkeerde inlognaam/wachtwoord
combinatie. De inlognaam die u moet gebruiken is hetzelfde als uw ADSL
inlognaam zonder “@xs4all.nl”.

Als u verder nog problemen heeft met het maken van verbinding met een
bepaalde Hotspot neem dan contact op met de KPN Hotspot helpdesk
0900-HOTSPOTS (0900-4687787) of via e-mail info@kpnhotspots.com .

Voor meer informatie kunt u terecht op onze helpdesk Hotspot login
pagina:
http://www.xs4all.nl/helpdesk/mobielinternet/hotspot/login.html

Voor de configuratie van uw laptop kunt u terecht op de algemene Hotspot
pagina:
http://www.xs4all.nl/helpdesk/mobielinternet/hotspot/index.html

Ik hoop u hiermee voldoende te hebben geinformeerd. Mocht u nog vragen
hebben naar aanleiding van deze e-mail dan horen wij deze graag van u!

Met vriendelijke groet,