Wir haben hier einen UTM-Cluster am Laufen, der u.a. auch ein WLAN-Gastnetzwerk bereitstellt. Dieses wurde mit dem Assistent für Wireless Protection angelegt als "getrennte Zone". Angemeldete Hosts an diesem WLAN bekommen von der UTM über DHCP eine IP aus 172.16.28.0/24. Es gibt eine NAT-Regel (Dynamic Hide NAT) für dieses Subnetz auf die Uplink-Interfaces, sowie eine passende Firewall-Regel für alles aus diesem Subnetz nach "Internet IPv4".
Unser internes Netz läuft unter 10.10.0.0/16. Desweiteren gibt es zahlreiche RED-Netzwerke, die alle im Bereich 10.20.0.0/16 liegen (jeweils /24). Zwischen diesen Netzen ist alles erlaubt.
Es funktioniert im Grunde alles so, wie es soll. Allerdings haben wir das Phänomen, dass von den in diesem Gast-WLAN angemeldeten Geräten interne Webserver, also HTTP(S) , erreichbar sind. Diese liegen im Subnetz 10.10.0.0/16 und sollten natürlich nicht erreichbar sein. Es geht auch ausschließlich HTTP(S), kein Ping, und kein anderes Protokoll (soweit getestet). Server in den RED-Bereichen 10.20.0.0/16 sind aber wiederum nicht erreichbar.
Wir haben nun schon einiges probiert, also zunächst mal alle Einstellungen dreimal gecheckt, ob alles korrekt ist. Dann haben wir eine explizite Firewall-Regel mit hoher Priorität erstellt, die das 172.16.28.0/24 gegen 10.10.0.0/16 abschottet (alles verwerfen), ohne Wirkung. Das Abschalten der Firewall-Regel 172.16.28.0/24 -> Internet IPv4 bewirkt nur, dass keine externen Ziele mehr erreichbar sind, die internen bleiben es aber trotzdem.
Wir haben nun gerade gar keine Idee mehr, was man da noch machen soll...?
Ergänzung: Der WLAN-AP hängt physisch an 10.10.0.0/16 und bekommt auch eine IP aus diesem Netz. Kann das damit ggf. zusammenhängen? Also gehen Pakete von authentifizierten Clients direkt an die Hosts in 10.10.0.0/16, ohne den Weg über die UTM zu nehmen? Das würde auch die Unwirksamkeit der Firewall-Regel erklären. Und wenn es so ist, wie kann man das denn anders lösen?
mfg, Jan
This thread was automatically locked due to age.