This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Interne IPs über HTTP erreichbar aus Gast-WLAN (getrennte Zone)

Wir haben hier einen UTM-Cluster am Laufen, der u.a. auch ein WLAN-Gastnetzwerk bereitstellt. Dieses wurde mit dem Assistent für Wireless Protection angelegt als "getrennte Zone". Angemeldete Hosts an diesem WLAN bekommen von der UTM über DHCP eine IP aus 172.16.28.0/24. Es gibt eine NAT-Regel (Dynamic Hide NAT) für dieses Subnetz auf die Uplink-Interfaces, sowie eine passende Firewall-Regel für alles aus diesem Subnetz nach "Internet IPv4".

Unser internes Netz läuft unter 10.10.0.0/16. Desweiteren gibt es zahlreiche RED-Netzwerke, die alle im Bereich 10.20.0.0/16 liegen (jeweils /24). Zwischen diesen Netzen ist alles erlaubt.

Es funktioniert im Grunde alles so, wie es soll. Allerdings haben wir das Phänomen, dass von den in diesem Gast-WLAN angemeldeten Geräten interne Webserver, also HTTP(S) , erreichbar sind. Diese liegen im Subnetz 10.10.0.0/16 und sollten natürlich nicht erreichbar sein. Es geht auch ausschließlich HTTP(S), kein Ping, und kein anderes Protokoll (soweit getestet). Server in den  RED-Bereichen 10.20.0.0/16 sind aber wiederum nicht erreichbar.

Wir haben nun schon einiges probiert, also zunächst mal alle Einstellungen dreimal gecheckt, ob alles korrekt ist. Dann haben wir eine explizite Firewall-Regel mit hoher Priorität erstellt, die das 172.16.28.0/24 gegen 10.10.0.0/16 abschottet (alles verwerfen), ohne Wirkung. Das Abschalten der Firewall-Regel 172.16.28.0/24 -> Internet IPv4 bewirkt nur, dass keine externen Ziele mehr erreichbar sind, die internen bleiben es aber trotzdem.

Wir haben nun gerade gar keine Idee mehr, was man da noch machen soll...?

Ergänzung: Der WLAN-AP hängt physisch an 10.10.0.0/16 und bekommt auch eine IP aus diesem Netz. Kann das damit ggf. zusammenhängen? Also gehen Pakete von authentifizierten Clients direkt an die Hosts in 10.10.0.0/16, ohne den Weg über die UTM zu nehmen? Das würde auch die Unwirksamkeit der Firewall-Regel erklären. Und wenn es so ist, wie kann man das denn anders lösen?

mfg, Jan



This thread was automatically locked due to age.
  • Klingt nach der Webproxy/Web Protection Komponente. Das läuft an den Firewallregeln vorbei.

    Transparenter Filter aktiviert?

  • Ja, der Tranparenzmodus ist aktiv... und das 10.10.0.0/16 ist da auch als zugelassenes Netzwerk drin, und das muss es ja auch.

    Habe jetzt mal die IP des WLAN-AP auf die Liste der vom Transparenzmodus ausgenommenen Hosts gesetzt, har aber leider auch keine Wirkung. Wahrscheinlich wegen der Option "HTTP-Verkehr zulassen". Die kann ich aber auch nicht abschalten, da das dann ja für alles dort gilt.

    mfg, Jan

  • Hallo Jan,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    There is a better solution.  You might be interested in a document I maintain that I make available to members of the UTM Community, "Configure HTTP Proxy for a Network of Guests."  If you would like me to send you this document, PM me your email address. Ich behaupte auch eine deutsche Version, die ursprünglich vom Mitglieder hallowach übersetzt wurde, als wir zusammen im Jahre 2013 eine große Revision machten.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hallo Bob,

    möchtest du so freundlich sein und mir dieses Dokument zur Verfügung stellen? :)

    Würde das gerne mal abgleichen mit meiner Variante, welche ich hier bei mir konfiguriert habe.

    Glaube, du hast du etwas mehr Know-How. ;)

     

    Thx a lot. :))