Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 5 subscribers
  • Views 4188 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Mehrere Wireless Netzwerke auf AP50

ChristophKlahn

Hi Forum,

ich habe einen VDSL-Anschluß mit fester IP über ein Modem am eth0-Interface (eth0) einer UTM angeschlossen.

An eth1 hängt mein internes Netzwerk 172.17.0.x. An eth4 hängt das interne Netzwerk 172.16.0.x eines Büropartners. Wir teilen uns den VDSL-Anschluß. Alles routet soweit prima. Alle haben Internetzugriff usw.

Nun habe ich einen AP50 in mein Netz gehängt und diesem die IP 172.16.0.205 gegeben und dort ein WLAN1 aufgespannt, welches ins AP-LAN bridged. Dazu einen DHCP-Server, der dem WLAN1 dient. Regeln erzeugt und alles funktioniert prima.

Dazu habe ich ein weiteres WLAN2 für Gäste aufgespannt mit eigener Zone 192.168.254.x. Die daraus resultierende Schnittstelle wlan1 hat die IP 192.168.254.1. Ein weiterer DHCP-Server weist auch diesem WLAN2 IP-Adressen zu. Regeln erzeugt und alles funktioniert prima.

 

Nun kommts:

Der Büropartner möchte auch gerne WLAN haben, aber aus seinem eigenen IP-Bereich. Nun habe ich das WLAN aufgespannt, die resultierende Schnittstelle wlan2 hat die IP 172.16.0.189 bekommen. Ein DHCP-Server verteilt Adressen aus dem Bereich .230 - .252, die Gateway-Adresse .1 und die DNS-Adresse .20 (das ist sein Windows Server).

Dazu habe ich zunächst eine Regel angelegt, daß sein wlan2 (Network) any auf any darf.

Den Clients werden saubere Adressen zugeteilt, ich komme aber nicht mit diesen Geräten ins Internet.

 

Wo ist hier der Denkfehler?

 

Vielen Dank im voraus.

 

Gruß

Christoph



This thread was automatically locked due to age.
  • 0

    Hallo,

     

    hört sich danach an, als würde das MASQ fehlen. 

     

    Schau bitte einmal, ob die Maskierungsregel vorhanden ist. 


    Gruß. 

    __________________________________________________________________________________________________________________

  • 0

    Kurz nochmal zum mitschreiben... Du hast 1 UTM, 1 Internetanschluss, 3 interne Netze (Deins, seins, separate Zone Gastwlan bei Dir), die über 2 physische Schnittstellen laufen sowie 1 Accesspoint?

    So wie Du es oben schreibst hängt der AP in seinem Netz (172.16.0.205), war das nur ein Schreibfehler oder ist dem wirklich so? Dann wäre ein Bridge-to-AP LAN WLAN in seinem Netzbereich, außerdem ist der DHCP-Server dann nicht für das WLAN, sondern auch für das interne LAN zuständig (und beißt sich u.U. Sogar mit einem Windows DHCP-Server im gleichen Netz)... Wenn es nur ein Schreibfehler war hast Du bei Dir dann bisher nur fixe IPs konfiguriert gehabt? Bei ihm gehe ich davon aus, dass sein Windows-Server schon DHCP im 172.16.0.0 macht.

    Interessant ist jetzt, dass die Sophos ein zweites separate Zone WLAN mit dem bereits vorhandenen Netz 172.16.0.0 überhaupt zugelassen hat. Denn das kennt sie ja eigentlich bereits von eth4, ich vermute mal, dass das eine Netz eine andere Maske hat, z.b. 172.16.0.0/16 und 172.16.0.0/24? Worauf ich hinaus will ist, dass Du kein separate Zone WLAN machen kannst, dass im selben Subnet wie eth4 liegt. Du kannst das höchstens über ein VLAN-Konstrukt schaffen, das von seinem Netz ausgeht und bis zum Switchinterface, wo der AP steckt geht, dann könntest Du eventuell was mit Bridge to APvlan basteln, z.b. VLAN2 deins, VLAN3 seins.

    In dem Konstrukt (AP hängt an Deinem eth1) kann er kein internes WLAN ohne VLAN haben, höchstens wenn er auch einen eigenen AP hätte. Oder Du bist gönnerhaft und steckst den AP mit einem bridged to AP WLAN wirklich an sein Netz dran, dann brauchst Du dort vermutlich auch kein DHCP und DNS, da das der Server von ihm macht.

    Für deinen Teil machst Du dann ein separate Zone WLAN, das Masquerading in Richtung VDSL macht und dem über Firewall-Regeln erlaubt ist, in das interne Netz von Dir zu funken. Traffic in sein 172.16.0.0er ist verboten. Dann noch ein zweites Separate Zone WLAN für die Gäste, ebenfalls für VDSL Masquerading und über Firewall nur Traffic nach 'Internet IPv4' erlaubt, in alle anderen Netze noch Deny oder aber Default Drop. Ich für meinen Teil bilde lieber Gruppen für eigene Netze und die Gruppen enden dann immer mit einem Drop Any other.

    Vorsicht ist auf jeden Fall geboten, wenn Du den Webfilter im Modus Transparent für alle Netze erlaubst, darüber ist u.U. doch ein gegenseitiger Zugriff möglich. Falls das bei Euch überhaupt ein Thema ist (gegenseitige Abschottung).

    Gruß / Regards,

    Kevin
    Sophos CE/CA (XG+UTM), Gold Partner

  • 0

    Hallo Christoph,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    Kevin warned you about potential problems when allowing one of the wireless networks to use Web Filtering.  The easiest trick is to put the subnets you want to "hide" from the Transparent Proxy into the 'Destination Skiplist'.  There are other things that can be done.  You might be interested in a document I maintain that I make available to members of the UTM Community, "Configure HTTP Proxy for a Network of Guests."  If you would like me to send you this document, PM me your email address. I also maintain a version auf Deutsch initially translated by fellow member hallowach when he and I did a major revision in 2013.  Ich behaupte auch eine deutsche Version, die ursprünglich vom Mitglieder hallowach übersetzt wurde, als wir zusammen im Jahre 2013 eine große Revision machten.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to LuCar Toni

    Hallo LucaChristmann1,

    eine NAT-Regel existiert.

     

    Gruß

    Christoph

  • 0 in reply to kerobra_retired

    Hallo kerobra,

    kerobra said:

    Kurz nochmal zum mitschreiben... Du hast 1 UTM, 1 Internetanschluss, 3 interne Netze (Deins, seins, separate Zone Gastwlan bei Dir), die über 2 physische Schnittstellen laufen sowie 1 Accesspoint?

     

    Das ist so richtig.

     

    Mit der IP des AP habe ich mich verschrieben. Der hängt natürlich in meinem Netz mit der IP 172.17.0.205. In meinem Netz habe ich einen DHCP-Server definiert für den Bereich .200 - .254. Mein Server hat keinen DHCP-Server. Das klappt auch soweit.

    Sein Server macht auch kein DHCP. Wenn ich testweise mal mein iPhone in sein WLAN mit dem IP-Bereich 172.16.0.x hänge, dann bekommt das iPhone eine IP von seinem DHCP-Server zugewiesen.  Der Sophos DHCP-Server übergibt auch die .20 als DNS-Server, der auf seinem Server läuft. Als Gateway habe ich mal die Adresse von eth4 und mal von eth0 probiert. Geht, wie schon beschrieben, beides nicht.

    Ich glaube, daß es besser ist, wenn ich den AP z.B. an eth5 hänge und für alle WLANs (meins, seins und Gäste WLANs) jeweils einen eigenen Netzwerkbereich auf mache, oder?

     

    Gruß

    Christoph

  • 0 in reply to ChristophKlahn

    Eine MASQ-Regel ist nicht dasselbe wie eine NAT-Regel.

    Eine NAT Regel kann SNAT, DNAT, NONAT, FULLNAT oder 1:1NAT sein.
    MASQ ist im Prinzip ein SNAT für jeglichen Traffic vom internen Netz in Richtung Internet mit der Quellumsetzung auf die IP der WAN-Schnittstelle. Oder auch jeder anderen Schnittstelle, der Anwendungszweck entscheidet.

    MASQ:


    SNAT:

    Die beiden Regeln machen sehr vereinfacht gesprochen mehr oder weniger dasselbe, MASQ ist (wo benötigt oder gewünscht) jedoch weit weniger fehleranfällig.

    Gruß / Regards,

    Kevin
    Sophos CE/CA (XG+UTM), Gold Partner

  • 0 in reply to BAlfson

    Hi Bob,

    vielen Dank. Ich schicke Dir eine PN ;-).

     

    Gruß

    Christoph

  • 0 in reply to kerobra_retired

    Hi,

    ich habe unter "Network Protection/NAT" eine Maskierungsregel "wlan2" auf WAN angelegt gehabt. Ohne Erfolg.

     

    Gruß

    Christoph

  • 0 in reply to ChristophKlahn

    Ich glaube, daß es besser ist, wenn ich den AP z.B. an eth5 hänge und für alle WLANs (meins, seins und Gäste WLANs) jeweils einen eigenen Netzwerkbereich auf mache, oder?

    Musst Du nicht einmal an ein eigenes Interface hängen. Dem AP ist nur wichtig, dass das Default Gateway, dass er via DHCP bekommt die Sophos ist, gibt auch noch andere Möglichkeiten, ihn zu dirigieren, aber die sind hier nicht relevant. Wichtig ist dazu erst mal nur die Einstellung in der Wireless Protection, über welche Schnittstellen sich APs melden dürfen.

    Du kannst mit dem AP dann 2 "separate Zone" Configs ausstrahlen, die mit Deinem und seinem Netz nix zu tun haben (z.B. 172.117.. und 172.116..). Über Firewall-Regeln regelst Du bei Bedarf die Zugriffe von 172.17 auf 172.117 und umgekehrt und vor allem die Zugriffe aus den WLANs Richtung Internet.

    Gruß / Regards,

    Kevin
    Sophos CE/CA (XG+UTM), Gold Partner

  • 0 in reply to kerobra_retired

    Hallo Kevin,

    okay, werde das dann  morgen mal so umstellen und berichten ;-). Zunächst einmal vielen Dank für Deine Bemühungen.

     

    Gruß

    Christoph

Unfiltered HTML