Gäste‑WLAN, das schützt: Online für Besucher, sicher für das Unternehmen

Verfasst von Justin Wagner

Aus der Praxis im Raum Koblenz, Neuwied, Bonn und im Westerwald

Wer seinen Kunden ein WLAN anbietet, macht vieles richtig: Wartezeiten fühlen sich kürzer an, Veranstaltungen laufen entspannter, der Service wirkt moderner. Problematisch wird es erst, wenn sich das Gäste‑Netz unbemerkt mit dem internen Netzwerk vermischt. Dann stehen plötzlich Drucker, Kassensysteme oder Server im selben Datenstrom wie fremde Smartphones. Dieser Artikel zeigt, wie ein Gäste‑WLAN so aufgebaut wird, dass Besucher komfortabel online sind – während das Unternehmensnetz unangetastet bleibt.

Was ein gutes Gäste‑WLAN wirklich ausmacht

Im Kern geht es um klare Trennung und klare Regeln. Technisch bedeutet das: eine eigene Funkkennung für Gäste und ein eigenes, logisch getrenntes Netzwerksegment. Geräte im Gäste‑Netz sehen weder Büro‑Rechner noch Speicher oder Drucker; der Datenverkehr der Besucher darf ausschließlich ins Internet. Ein zentrales Anmeldefenster – das sogenannte Captive‑Portal – erklärt in einfachen Worten die Nutzungsbedingungen, zeigt Impressum und Datenschutz und bietet einen schnellen Start per Ticket oder QR‑Code. So behalten Sie die Kontrolle, ohne Aufwand beim Empfang zu erzeugen.

Weil in einem offenen WLAN nicht nur Serien‑Streaming, sondern auch Jugendschutz und Schadsoftware eine Rolle spielen, gehört ein Filter auf DNS‑Ebene dazu. Er sperrt ungeeignete Inhalte und hindert bekannte Schadseiten an der Ausführung. Damit er verlässlich greift, werden verschlüsselte Umwege zu externen DNS‑Diensten unterbunden und alle Anfragen über den eigenen Resolver geführt. Zusätzlich zahlt es sich aus, die verfügbare Bandbreite pro Gerät zu begrenzen und das Gäste‑WLAN nur während der Öffnungszeiten zu aktivieren. Das sorgt für stabile Verbindungen im Alltag und verhindert nächtliche Dauerlast.

Die Architektur – schlank, robust, nachvollziehbar

Die bewährte Linie lautet: Internetanschluss, davor eine Firewall oder ein geeigneter Router, dahinter zwei Welten – das interne Netz und das Gäste‑Netz. Access Points funken beide Netze aus, wissen aber genau, wohin welcher Datenverkehr gehört. Der Controller – ob in der Firewall integriert oder als eigenes System – liefert das Captive‑Portal, verwaltet die Tickets und erzeugt bei Bedarf Reports. In der Praxis setzen wir je nach Größe und Budget auf Lösungen mit UniFi‑Guest‑Control, auf klassische Hotspot‑Varianten etwa mit MikroTik, oder auf Portalfunktionen in OPNsense. Wichtig ist nicht das Logo auf dem Gerät, sondern die saubere Segmentierung, transparente Regeln und eine Dokumentation, die jeder versteht.

So läuft eine Umsetzung vor Ort ab

Am Anfang steht ein kurzer Rundgang: Wie sind die Räume geschnitten, wo liegen bereits Netzwerkkabel, wo hängt vielleicht schon ein PoE‑Switch? Daraus entsteht ein kleiner Plan mit den Positionen der Access Points und der Konfiguration. Anschließend werden das Gäste‑Segment und die Funkkennung eingerichtet, das Portal gestaltet und die Ticketprofile definiert – zum Beispiel ein kurzer Zugang für die Wartezone, ein Tagespass für Seminare oder ein Paket für Veranstaltungen. Bandbreitenlimits und die Aktivzeiten richten wir passend zum Betrieb ein; der Jugendschutzfilter wird getestet und die Umgehung über externe DNS‑Dienste unterbunden. Zum Schluss folgt die Abnahme: Funktioniert die Trennung, erscheint das Portal, verfallen Tickets wie vorgesehen, greift der Filter, und ist das WLAN außerhalb der Öffnungszeiten wirklich aus? Erst wenn diese Punkte sitzen, übergeben wir System und Unterlagen und schalten das Monitoring scharf, das bei Störungen automatisch informiert.

Wo es oft hakt – und wie man es besser macht

Die häufigste Schwachstelle ist eine fehlende Trennung: Ein „Gast‑WLAN“, das im selben Adressbereich wie die Bürogeräte liegt, ist keines. Ebenfalls verbreitet sind Portale ohne klare Nutzungsbedingungen, Filter, die durch verschlüsselte DNS‑Anfragen wirkungslos werden, oder reine Funk‑Mesh‑Strecken, die bei größerer Auslastung schlicht einbrechen. Wer dagegen Kabelstrecken zu wichtigen Access‑Points nutzt, saubere Regeln in der Firewall pflegt, das Portal verständlich gestaltet und Verantwortlichkeiten benennt, betreibt sein Gäste‑WLAN stabil – und vermeidet Ärger.

Unser Angebot für Standorte in der Region

IT Service Wagner plant, installiert und betreut Gäste‑WLANs für Praxen, Vereine und Ladengeschäfte – inkl. Portal‑Branding, Ticketverwaltung, Jugendschutz, Dokumentation und laufender Pflege. Wir arbeiten herstelleroffen und wählen die Lösung, die zu Räumen, Budget und Nutzung passt. Für Sie bleibt es einfach: Besucher surfen, das Büro‑Netz bleibt geschützt, und Sie haben einen Ansprechpartner, der erreichbar ist.

Kontakt
IT Service Wagner · Im Lampental 5, 56598 Rheinbrohl
Telefon: 02635 9247605 · E‑Mail: info@itservicewagner.de

Justin Wagner
Weiter

Fallback & Hochverfügbarkeit für Unternehmen – so bleibt Ihr Betrieb im Raum Koblenz–Bonn online