This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WLAN 2 getrennte Netze

Hallo,

 

Ich habe Verschiedene Posts zu diesem Thema gelesen und in keinem habe ich so Richtig die passende Antwort gefunden, ich hoffe mir kann weitergeholfen werden und wenn ihr mir nur die Scheuklappen vom Kopf nehmt ;)

 

Ich stehe im Moment vor der Aufgabe ein altes WLAN System abzulösen und in einem ein Gast-WLAN mit ausschließlichem Zugriff auf das Internet einzurichten.

Dazu stehen mir Sophos AP 55c zur Verfügung, diese sind über das interne Netzwerk mit der UTM9 verbunden.

Es sind zwei WLAN-Netzwerke eingerichtet. Das Erste Netzwerk  (Test-01) als "Bridge ins AP LAN" und das Zweite  (Test-02) als "Getrennte Zone" (WLAN1).

Das interne Netzwerk befindet sich im IP-Kreis 192.168.125.0/24, für WLAN1 wurde eine Schnittstelle als Ethernet im IP-Kreis 192.168.123.0/24 eingerichtet.

 

Wenn ich mich via WLAN jetzt in Test-02 anmelde bekomme ich Zugriff auf Test-01.

 

Meine Frage an dieser stelle ist:

Dadurch das es Zwei unterschiedliche Netze sind, sollte doch keine Kommunikation stattfinden oder?

Habe ich ggf. etwas übersehen und ich sehe den Wald vor lauter Bäumen nicht mehr?

 

VG, Frank

 

 



This thread was automatically locked due to age.
Parents
  • Hi,

    wie du schon richtig geschrieben hast, für das Gast W-Lan eine getrennte Zone mit eigenen DHCP/DNS Einstellungen konfigurieren. Zum Beispiel bietet sich hier das 172er Netzwerk (172.15.x.x) an.

    Dann die jeweilige Firewallregel konfigurieren und beim Ziel statt "any"  "Internet" auswählen.

    Gegebenenfalls spielt die Websurfprotection auch eine Rolle, je nachdem ob diese aktiv ist für das Gast W-Lan oder nicht

     

    Gruß,

    Jonas

  • Hi,

    danke für den Hinweis.

     

    Ich habe das Gast W-Lan mal beispielsweise mit dem Netz 172.15.123.0/24 konfiguriert.

    Im Webfilter ist das Netzwerk auch zugelassen.

    Natürlich in getrennter Zone und eigenem DHCP. eine Firewall Regel wurde angelegt 172.15.123.0 (Netzwerk) ->Dienste Any -> Internet IPv4

     

    Ich bin allerdings immer noch in der Lage in das interne Netzwerk zu kommen.

     

    VG, Frank

  • Nimm einmal bitte das Gast W-Lan aus dem Webfilter raus, sodass nur die Firewallregel für das Gast Netzwerk greift

    Immer noch Zugriff auf das interne Netzwerk? - Sollte dann nicht mehr möglich sein bei ordnungsgemäßer Konfiguration

  • Wenn ich das Gast W-Lan aus dem Webfilter nehme bekomme ich trotzdem Zugriff auf das interne Netzwerk und nicht mehr aufs Internet.

     

    Der Fehler wird wohl an einer anderen Stelle sein..

     

    Ich Versuche grade das ganze mit eine Route zu verhindern, so das anfragen wieder zurück geleitet werden. Aber ich denke das ist eine eher unschöne Lösung und nur ein Workaround

     

  • Ich glaube "verhindern" ist der falsche Ansatz.

    Die Ursache finden und korrigieren die bessere Variante.

    Ohne aktiven WebFilter (Gast W-Lan aus dem Webfilter nehmen) einfach mal das Firewall log aufmachen, nach der Ziel-IP im interne Netzwerk filtern und den Zugriff machen, welcher geblockt sein sollte.

    Die Loggingfunktion sollte dazu an allen Firewall-Rules aktiviert sein.

    Dann müsste die Regel, welche das Fehlverhalten verursacht zu erkennen sein.

    Falls nicht, doch noch mal das WebFilter-log prüfen, ob doch der proxy verantwortlich ist.

     


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Ich bin mir sicher, wenn du den Webfilter ausgenommen hast, dass der Fehler an einer falsch konfigurierten Firewallregel liegt. Schau dir mal die Reihenfolge der Firewallregeln sowie die FW Regeln über deiner FW-Regel für das W-Lan Gast genauer an....Was viele nicht wissen, die richtige Reihenfolge der Firewallregeln ist sehr wichtig für eine sichere und gewünschte Konfiguration.

     

    EDIT: Hast du den Webserverschutz aktiviert ?

     

    LG Jonas

  • Vielen dank für eure Hinweise.

     

    Beim durchgehen des ganzen ist aufgefallen das ein Zugriff nur mit ICMP gegeben ist...

    Selbstverständlich habe ich nur diesen weg mit dem Smartphone getestet.[:(]

     

    Mit einem Laptop ist mir dann endlich aufgefallen das nur Pings ins andere Netzwerk kommen.

    In der Firewall und dem Reiter ICMP ist in den Ping-Einstellungen "Gateway leitet Pings weiter" eingeschaltet, weswegen die Pings durchgehen.

     

    Danke an Jonas92 und dirkkotte dass ihr mich in die richtige Richtung geleitet habt.

     

     

    VG, Frank

  • Hallo Frank,

    Erstmal herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    You already discovered the answer to your question, but you still might want to look at #2 in Rulz. Also see Doug Foster's take on some of this: READ ME FIRST: UTM Architecture.

    You might be interested in a document I maintain that I make available to members of the UTM Community, "Configure HTTP Proxy for a Network of Guests."  If you would like me to send you this document, PM me your email address.  Ich behaupte auch eine deutsche Version, die ursprünglich vom Mitglieder hallowach übersetzt wurde, als wir zusammen im Jahre 2013 eine große Revision machten.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • Hallo Frank,

    Erstmal herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    You already discovered the answer to your question, but you still might want to look at #2 in Rulz. Also see Doug Foster's take on some of this: READ ME FIRST: UTM Architecture.

    You might be interested in a document I maintain that I make available to members of the UTM Community, "Configure HTTP Proxy for a Network of Guests."  If you would like me to send you this document, PM me your email address.  Ich behaupte auch eine deutsche Version, die ursprünglich vom Mitglieder hallowach übersetzt wurde, als wir zusammen im Jahre 2013 eine große Revision machten.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
No Data