Thread Info
  • Locked Locked
  • Replies 30 replies
  • Subscribers 5 subscribers
  • Views 109635 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

FAQ / HOWTO: using a Wireless Router with the UTM

BarryG

This is mainly for home users, as I don't recommend using consumer-grade wireless equipment for more than a few users; the Sophos APs are great for larger networks.

If you have a wireless router you want to convert to use as an Access Point with Astaro:

1. decide if you want the wireless network to be part of your LAN, or a new network/DMZ.
If a new network, setup a new interface (or use a VLAN) on the UTM.
Setup the UTM's DHCP & DNS server for the network, and configure Masquerading, firewall rules, desired proxies, etc.

2. tape over the WAN port on the router to avoid creating a double-NAT and other problems

3. change the management IP on the router to an IP on the same network as the LAN or DMZ interface on the firewall.
e.g. if the firewall is 192.168.1.1, set the router to 192.168.1.2

4. disable DHCP on the router

5. plug one of the router's LAN ports into the firewall.

That's it!

Notes: If the router is on a new LAN or DMZ, you won't be able to access it's management interface from another LAN unless you create an SNAT:
Source: LAN (Network) , Service:HTTP or HTTPS, Dest: Router's management IP, Source translation: DMZ (ADDRESS)
If you don't understand this, just remember to connect to the router on wifi or one of the router's LAN ports if you want to manage it.

Advanced topics:
a. Some consumer routers support VLANs and multiple SSIDs natively, or with DDWRT. See https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/21666 for some configuration options.

b. The UTM has a 'HotSpot' mode, in the Wireless Security settings; this can be used with any LAN or DMZ; it doesn't have to be a Sophos AP.


If you have corrections or additions to this information, please post here.
If you have general wireless questions, please start a new thread.

Barry



This thread was automatically locked due to age.
  • There's an easier way, at least for routers with AP mode. For these routers, you set AP mode, then connect the WAN port to the LAN. At least on my netgear WNDR3700v2, the only things I have to configure are the SSIDs and the management interface. There are no settings for DHCP because it is handled by utm.
  • I just created a nice home network with a Sophos UTM and a pair of Apple Airport Extreme access points. The unique feature on the Airports is the Guest wireless network is isolated on VLAN 1003. With the Sophos UTM running on VMware ESXi 5.5 I was able to configure a 4th interface specifically for the Guest network on VLAN 1003 and terminate it to a captive portal feature on the UTM... It's pretty awesome when friends or family come over, I don't have to hand out my internal wifi password. I can give them a password of the day or even hand out unique vouchers for wifi.

    I wrote up a blog entry on how I did it.

    Sophos Home Firewall with Captive Portal Guest Network using Airport Extreme APs | Binaryspiral
  • I'm having an issue re-deploying a Netgear 3800 behind a new UTM virtual appliance, and would appreciate any input.

    The original configuration was: a Bell DSL modem in bridge mode connected to the WAN port of the Netgear 3800. The 3800 has 4 wifi zones enabled (2 guest and 2 production). One of the LAN ports of the 3800 feeds an unmanaged switch for hardwired devices.

    Now, the Bell DSL modem (in bridge mode) is connected to the WAN port of the UTM. The LAN port of the UTM feeds the unmanaged switch and the 3800 is plugged into one of the ports on that switch.

    My problem is this - everything works perfectly except for the 2 guest zones on the 3800. They were setup in the 3800 for internet access only (no local network access), but now they can't access anything on the internet.

    FYI - the original IP of the internal interface on the 3800 was 192.168.123.1, this is now the internal IP address of the UTM - the 3800 has been re-ip'd to 192.168.123.2



    Anyone have any suggestions?    

    TIA,

    Mike
  • I'm not sure how the 3800 segregates all traffic from the different networks, but it probably will masquerade all it's networks to it's WAN interface. If you connected the 3800 by a LAN interface, this would no longer work I suppose.

    Managing several Sophos firewalls both at work and at some home locations, dedicated to continuously improve IT-security and feeling well helping others with their IT-security challenges.

  • I re-cabled so that the WAN interface is connected, not the LAN interface.
    There was no difference in operation. The two Guest networks cannot access the internet.
  • Hi, please open a new thread, and include network diagrams, log entries, etc.

    Barry
  • You're not going to be able to segregate your guest network traffic at the 3800 any more.  While you were using it as a router, it was able to keep the traffic streams separated from each other, but now that you're using it as an AP only, they must be combined in order to be passed on to the UTM and thence to the internet. The only way to separate them would be to use separate VLANs for the guest networks, and I doubt that consumer Netgear gear does VLAN tagging, though perhaps a third party firmware like DD-WRT or Tomato might.

    Probably cheaper and easier to buy a second cheap router that you can put on a separate Guest network, and handle the routing and firewalling in the UTM. That's what I did here.
  • Thanks.

    Not sure I want to delve into DD-WRT or Tomato at this time...

    I've opened a ticket with Netgear, we'll see what happens - I'll probably end up getting another WAP - any suggestions for ones that support VLANs associated with BSSId's?
  • WAPs that support VLAN tagging are generally going to be business-oriented, and thus more expensive. However, it does appear that TP-Link offers that functionality in their range of consumer APs: http://www.tp-link.com/en/article/?faqid=418

    I have no experience with their gear - that is just a page I found by googling "wireless access point VLAN support"
  • Bear in mind that you're going to need a VLAN-aware switch unless you connect the AP directly to the UTM.
Unfiltered HTML