Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 8 replies
  • Answers 2 answers
  • Subscribers 5 subscribers
  • Views 5708 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Gäste WLAN: DHCP am entfernten Standort

Geo

Hallo,

am folgenden Punkt komme ich nicht weiter und könnte ein paar Tipps gebrauchen.

 

In der Zentrale steht eine SG 310, an der waren bisher lokale AP dran mit mehreren netzen.

In einem entfernten Standort befindet sich ein Lancom, der eine VPN-Verbindung zu der UTM hat (keine Ports geblockt). Jetzt soll ein Access Point am entfernten Standort zum Einsatz kommen mit internen Netzwerk (Bridge to AP LAN), sowie ein Gäste WLAN, wofür ich einfach das SophosGuest missbraucht habe.

Das Ergebnis ist, des Netz ist sichtbar und ich kann mein Smartphone mit besagten Netz verbinden, aber das Smartphone bekommt nie eine IP-Adresse vom DHCP auf der UTM.

Im DHCP Log kann ich sowohl die Anfragen (DHCPDISCOVER), wie auch die angebotene IP (DHCPOFFER) sehen, aber eine IP bekommen die WLAN Gäste nicht.

 

Was habe ich übersehen?

 

Danke + Gruß

Geo



This thread was automatically locked due to age.
  • 0

    Hallo,

     

    ich gehe davon aus, dass dieser Aufbau nicht funktionieren kann.

    Separate Zone durch einen IPsec Tunnel funktioniert nicht. Nur Bridge to AP (V)LAN. 

    __________________________________________________________________________________________________________________

  • 0

    Hallo Geo,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment.  )

    I'm going out on a limb to disagree with MBP.  I think you only need to add 1.2.3.4 to the tunnel to be able to use Separate Zone Wireless Networks.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Hi Bob,

    did you ever get this working? 

    I mean - Yes you will see the AP - Yes, the AP will get the configuration and broadcast the Wireless Network - but the traffic of AP to UTM is not getting carried through the IPsec. 

    This is my observation after couple of setups. Always switched to VLANs or RED Tunnel. 

    The Point is, the traffic seems to be routed wrong of the AP. So basically the same behavior like here. The AP is there and UTM can see the AP and push him config. But the Traffic of the separate zone seems not to be routed to the management UTM. 

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Hallo ManBearPig,

     

    der Wechsel bringt mir aber keine wirkliche Abhilfe, wenn ich die Hotspot Option in Verbindung mit Vouchers einsetzen möchte.

    Ich kann zwar über die VLAN das DHCP vom Lancom erledigen lassen, aber ich sehe gerade nicht die Möglichkeit es über den VPN zu UTM durchzureichen.

     

    Übersehe ich etwas oder ist es mit dem Vouchern nur in Verbindung mit Sophos RED möglich?

     

    Gruß

    Geo

  • 0 in reply to Geo

    Für VLAN Ports am entfernten Standort benötigst du eine VLAN Bridge. Oder der Lancom Switch übernimmt das und routed es ohne Tag weiter. 

    https://community.sophos.com/kb/en-us/132608

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    It has been a coupla years since I tried this, MBP, but I think it does work.  Unfortunately, I just had to use a RED tunnel for a client for another reason, so I couldn't test.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to LuCar Toni

    Wäre eine GRE Verbindung eventuell eine Lösung?

    Eine RED, die auf dem VPN läuft, wäre zwar eine machbare Lösung, aber mit weiteren Kosten verbunden.

     

    Gruß

    Geo

  • 0 in reply to LuCar Toni

    I have to raise this one from the grave...

    I'm not sure if the AP is responsible for that problem. I have 2 customers, where "separate zone" networks are used over site-to-site VPNs. But those VPNs are not built with the UTM that has the wireless protection. They are built with Cisco ASA firewalls and it runs without any issue. In both installations the routing is solved over the LAN-facing interface and another IP in the same subnet as the LAN interface.

    Another customer has now UTM's IPSec site-to-site VPN and wireless protection on one device of 3. There I have now the problem with the "remote APs" being successfully connected to the "main" UTM, site-to-site VPNs up without an issue and broadcasting the Bridge-to-AP-LAN wireless network with no issue. Only the separate zone network does not work.

    Did anyone find ever a solution for this problem? I guess it has to be searched more in the IPSec VPN direction rather than the AP direction. Maybe a MTU problem because of the additional encapsulation for separating the traffic?

    Gruß / Regards,

    Kevin
    Sophos CE/CA (XG+UTM), Gold Partner

Unfiltered HTML