This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WLAN Bride to VLAN

Hallo liebe Sophos Community,

ich verzweifelt hier noch an folgender Konfiguration:

Wir haben über die Sophos Wireless Protektion bereits einige WLAN mit separaterer Zone und eigenem DHCP Server auf der UTM konfiguriert. Das funktioniert soweit auch wunderbar.

Jetzt möchten wir gerne ein Fremd W-LAN (eigener DSL-Anschluss, eigener W-LAN Controller und zum Teil auch eigene AP´s ) über unsere vorhandenen Sophos AP´s ausstrahlen.

Der Hintergedanke ist, dass in Besprechungsräumen in denen bereits ein Sophos AP installiert ist, nicht noch zusätzlich ein Unify Accesspoint benötigt wird.

Ich habe dazu ein VLAN Ethernet Interface (ETH6.14) auf der UTM angelegt.

Dieses bekommt auch eine DHCP Adresse vom Unify DHCP Server.

Dann habe ich ein weiteres WLAN mit der Option Bridge to VLAN angelegt und diesem die VLAN ID 14 zugewiesen.

Die Sophos Accesspoint befinden sich in VLAN2

Es kommt aber nach dem Verbinden mit dem W-LAN keine Kommunikation zwischen Client und dem Netzwerk zustande. Ich bekomme weder eine IP-Adresse vom Unify DHCP Server, noch kann ich diesen pingen bei manueller IP Vergabe am Client.

Eine Firewallregel, DHCP Forword oder MASQ. Benötige ich doch eigentlich nicht, da sich alles innerhalb von VLAN 14 bewegen sollte.

Habe ich etwas übersehen? Oder funktioniert mein Vorhaben mit Bridge to VLAN so nicht?

Anbei noch die Konfiguration:

Danke Euch!

This thread was automatically locked due to age.

0 BAlfson over 3 years ago

Hallo Andreas,

Herzlich willkommen hier in der Community !

(Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

What happens if you disable 'Client isolation' in the Wireless Network definition?

You might be interested in a document I maintain that I make available to members of the UTM Community, "Configure HTTP Proxy for a Network of Guests." If you would like me to send you this document, PM me your email address. Ich behaupte auch eine deutsche Version, die ursprünglich vom Mitglieder hallowach übersetzt wurde, als wir zusammen im Jahre 2013 eine große Revision machten.

MfG - Bob (Bitte auf Deutsch weiterhin.)

Sophos UTM Community Moderator
Sophos Certified Architect - UTM
Sophos Certified Engineer - XG
Gold Solution Partner since 2005

MediaSoft, Inc. USA
Cancel
Vote Up 0 Vote Down

Cancel
0 Andreas Debus over 3 years ago in reply to BAlfson

Hi Bob,

leider keine veränderng bei deaktivierter Client Isolation.

Gruß, Andi
Cancel
Vote Up 0 Vote Down

Cancel
0 Albeck over 3 years ago in reply to Andreas Debus

Mal so ganz doof gefragt..den Switchport auf dem der AP angeschlossen ist, den hast du schon auch VLAN 14 getagged?

Nachtrag: Also so wie du das Schaubild gezeichnet hast kann das denke ich nicht funktionieren, weil das sind 2 unterschiedliche Interfaces die jeweils getrennt an einen Swicth gehen. Demnach kann das VLAN 14 nur unterbrochen sein.
Cancel
Vote Up 0 Vote Down

Cancel
0 Andreas Debus over 3 years ago in reply to Albeck

Hallo,

nein die AP´s befinden sich in VLAN2. Ich bin davon ausgegangen, dass das VLAN14 an der UTM gebrückt wird.

Sonst müsste ich das Interface doch auch gar nicht an der UTM Anlegen oder ?

Viele Grüße, Andi
Cancel
Vote Up 0 Vote Down

Cancel
0 Albeck over 3 years ago in reply to Andreas Debus

Moin, folgendes:

- Das VLAN 2 in dem deine Sophos APs stehen ist quasi ein AP Management Netz. Darüber verbinden diese sich zur UTM und der Traffic von "seperate Zonen WLANs" findet darüber statt. Das ist auch wichtig das die in einem VLAN stehen, sonst könntest du kein WLAN in ein VLAN bridgen. Das hat aber mit der bridge Funktionalität an sich nichts zu tun.
(Würden die APs nicht in einem VLAN stehen, könntest du nur "bridge to AP LAN" auswählen, was bedeuten würde das du die APs unttagged in VALN 14 stellen müsstest, was aber für spätere Erweiterungen ungeschickt ist, da du dann eben nicht in VLANs bridgen kannst. -> Will sagen das die APs in einem VLAN 2 AP Mgmt Netz stehen ist sinnvoll)

- Allerdings müssen die VLANs in die du deine WLANs bridgen willst auch tagged am AP anliegen. Denk einfach so: dein WLAN Client schickt ein Paket, es geht an den AP und wird da in das Netz getagged, also muss am Switchport auch der Tagg anliegen.

- Zur Lösung des Problems, am einfachsten wäre, falls physisch möglich, die Switche miteinander im VLAN 14 zu verknoten, oder evtl. die Interface an der UTM zu bridgen, oder das VLAN 2 auf ETH6 zu legen und die Switche mit VLAN 14 und 2 zu verknoten, dann hast du dein Interface 7 frei
Cancel
Vote Up 0 Vote Down

Cancel
0 Andreas Debus over 3 years ago in reply to Albeck

Hi Albeck,

danke für Deine Antwort! Ich bin davon ausgegangen, dass der Traffic zunächst ebenfalls (wie bei separate Zone) über das VLAN2 zur UTM getunnelt wird und erst dann über da extra Interface ins VLAN14 geht.

Das was du schreibst, macht aber ebenfalls Sinn. Was ich aber nicht verstehe ist, wozu ich dann überhaupt ein Interface in dem VLAN auf der UTM anlegen muss. Der AP schickt den Traffic ja dann scheinbar ohnehin direkt in das VLAN.

Ich baue das am Montag mal um und werde es testen!

Gruße, Andi
Cancel
Vote Up 0 Vote Down

Cancel
0 Albeck over 3 years ago in reply to Andreas Debus

Also das VLAN 2 Interface brauchst du an der UTM damit die APs sich da hinverbinden können.

Das VLAN 14 Interface denke ich brauchst du nicht, vorrausgesetzt die Clients am Hotspot verbinden sich über den Unify ins Internet (so wie eingezeichnet) und brauchen kein Zugirff auf das Interne Lan sowie ein interner Lan Client braucht keinen Zugirff auf einen Hotspot Client.
Cancel
Vote Up 0 Vote Down

Cancel