Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 5 replies
  • Answers 1 answer
  • Subscribers 3 subscribers
  • Views 17575 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Gäste WLAN mit einen Ubiquiti AP über VLAN

Basti .

Hallo,

Ich habe mir am Wochenende eine Sophos UTM 9 auf einem älteren Laptop installiert. Den WAN Port habe ich über einen USB-NIC realisiert. Momentan sieht es so aus:
Fritzbox -> UTM -> Netgear Switch -> Ubiquiti AP

Soweit funktioniert auch alles aber ich würde natürlich gern das WLAN an der Fritzbox abschalten und nur noch den Ubiquiti AP inkl Gäste WLAN nutzen. Doch genau da komme ich nicht weiter...

Auf dem Port 1 des Netgear Switch hängt der AP mit VLAN 100 tagged und VLAN 1 untagged, auf dem Port 2 hängt die UTM mit VLAN 100 tagged und VLAN 1 untagged. Auf dem Ubiquiti AP habe ich 2 WLAN Netze: Home (ohne VLAN) und Guest (VLAN 100)

Auf der UTM habe ich eine Schnittstelle Ethernet-VLAN erstellt mit VLAN 100 und dem Gateway 10.10.100.1, einen DHCP Server erstellt mit der Range 10.10.100.10-100 und dem Gateway 10.10.100.1 als DNS habe ich openDNS angegeben.

In der Firewall habe ich folgende Regeln:
Guest -> Any -> LAN (Netzwerk) - Verwerfen
Guest -> DNS und Mail -> Internet - Zulassen

Im Webfilter habe ich das Guest Interface in ein eigenes Profil gepackt und auf Transparent gestellt (Das LAN Interface läuft im Standard Proxy Mode) und dann habe ich dort noch unter "diese URLs blocken": 10.0.0.1/24 eingetragen (Ist mein LAN)

Jetzt hätte ich gedacht ich könnte über den Webproxy ins Internet komme aber NICHT in mein Internes Netz...wenn ich mich jedoch mit dem Guest WLAN verbinde bekomme ich zwar eine IP aus dem rictigen DHCP Bereich, kann nicht ins Internet aber dafür in mein interes Netzwerk :(

Wo habe ich den Fehler gemacht!?
Brauche ich noch ein NAT!?

Im Webfilter und Firewall Log taucht auch nichts auf...

Wäre toll wenn mich jemand auf den richtigen Weg bringen könnte :)



This thread was automatically locked due to age.
  • 0

    Hallo Basti,

    Wenn Du den Webproxy verwendest, dann gehst Du an den Firewall-Regeln vorbei.

    Zuerst testen:

    Schalte mal den Webproxy für das Gäste-LAN ab und beobachte die Firewall Logs (vorher Protokollierung einschalten).

    Wenn Du dann nicht ins Internet kommst, liegt das meist an einer vergessenen Masquerading Regel (wird beim Installations Wizard für das interne Netz erstellt) für das neue Netzwerk.

    Da Du ja eine gültige IP bekommst, wird das mit den VLANs schon stimmen.

     

    Wenn das  klappt, kannst Du Dir den Proxy zur Brust nehmen. Auch hier helfen die Live-Logs enorm.

    Hier solltest Du Dir aber Gedanken über die korrekte Syntax bei den URLs machen. Bei den vorkonfigurierten Ausnahmen findest Du entsprechende Beispiele.

    (10.0.0.1 blockt nur diese eine IP)

    Ich würde aus Sicherheitsgründen den Proxy nicht verwenden.

     

    Viel Glück!

    CS

     

     

    Sophos Certified Architect (UTM + XG)

  • 0 in reply to CS

    Hallo CS,

    Vielen Dank für die Tipps! Ich werde mir das Heute Abend mal genau ansehen aber ich habe dazu noch 2 Fragen:

    1. Muss ich eine Maskierungs Regel machen? Ist das nicht auch eine Sicherheitslücke das alles aus dem Gäste Netz raus kann?

    2. Wieso würdest du den Web Proxy aus Sicherheitsgründen nicht benutzen? Ich wollte meinen Gästen auch ein bisschen Schutz geben auch wenn die meisten wohl eh nur surfen.

     

    Vielen Dank nochmal!

  • 0 in reply to Basti .

    Hallo Basti,

    Erstmal herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    You might be interested in a document I maintain that I make available to members of the UTM Community, "Configure HTTP Proxy for a Network of Guests."  If you would like me to send you this document, PM me your email address.

    Ich behaupte auch eine deutsche Version, die ursprünglich vom Mitglieder hallowach übersetzt wurde, als wir zusammen im Jahre 2013 eine große Revision machten.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • +1 in reply to Basti .

    Basti . said:

    1. Muss ich eine Maskierungs Regel machen? Ist das nicht auch eine Sicherheitslücke das alles aus dem Gäste Netz raus kann?

    2. Wieso würdest du den Web Proxy aus Sicherheitsgründen nicht benutzen? Ich wollte meinen Gästen auch ein bisschen Schutz geben auch wenn die meisten wohl eh nur surfen.

    Hi Basti,

    1. Wenn Du keinen Proxy (also eine Firewall-Regel) benutzt, brauchst Du immer ein Masquerading Richtung Internet, es sei denn, Du hast intern "richtige gültige public" IP-Adressen.

    2.  Wenn Du den Proxy richtig sicher konfigurieren willst, müsstest Du alle internen möglichen URL's/IP's explizit verbieten (und diese Liste aktuell halten). Der Schutz über den Proxy wird sowieso überbewertet. Ich würde nur ATP einschalten.

    CS

     

    Sophos Certified Architect (UTM + XG)

  • 0 in reply to CS

    Hallo CS,

    1. Danke für die Erklärung! Ich habe eh schon gemerkt das ich eine Maskierungs Regel brauche :)

    2. Da hast du natürlich Recht! APT ist ja für alle Schnittstellen an da kann man ja nur Ausnahmen erstellen, jedenfalls verstehe ich das so.

    Meine Lösung ist jetzt:

    1. Guest -> Any -> LAN (Netzwerk) - Verwerfen
    2. Guest -> DNS, EMail Messageing und Web Surfing -> Internet - Zulassen

    Dazu eine Maskierungs Regel Gäste Netzwerk -> Uplink Interfaces

    Damit kommen die Gäste raus aber nicht in mein LAN (Request Timeout)

    Vielen Dank für deine Hilfe :)

     Danke aber Momentan bin ich mit der Lösung zufrieden :)

Unfiltered HTML