This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WLAN Bridge ins AP Lan und DHCP Probleme immer nach Update

Hallo zusammen,

wir hatten bei dem letzten Update unserer UTM erneut ein Problem mit unserem "Internen" WLAN.

Folgende Konstellation vor dem Update:

- Internes WLAN Netzwerk ist als "Bridge ins AP Lan" konfiguriert, unter Schnittstellen sind auch beide (eth0 + WLAN intern) als Ethernet Bridge unter "INTERNAL" verbunden

- Im internen LAN gibt es einen DHCP Server, der nicht auf der UTM ist, der DHCP-Server ist als DHCP Relay für das Netzwerk "INTERNAL" eingestellt

- Grundsätzlich funktioniert alles auch tadellos

Nach dem letzten Update auf "9.502-4" gab es wohl auch ein Firmware Upgrade auf den Accesspoints (wir haben 3x AP15). Nach diesem Update haben WLAN Clients am nächsten Morgen leider keine gültigen DHCP Daten erhalten. In der Firewall konnte ich keine geblockten Pakete oder ähnliches entdecken, nach einem Neustart der Clients und einem kompletten Neustart der UTM und auch einem "Steckerziehen" der Accesspoints lief dann wieder alles so wie soll.

Da dies nun allerdings bereits mehrfach passiert ist (mittlerweile weiß ich immer nach einem Update auf der UTM) wollte ich mal fragen, ob man das Verhalten verbessern kann? Ist das ein Bug nach dem Update oder habe ich noch einen Denkfehler in meiner Konfig?

Vielen Dank schonmal und noch einen angenehmen Tag allen...

VG Timm



This thread was automatically locked due to age.
Parents
  • Hallo,

     

    ich habe gleich mehrere Fragen:

    Bridge in to AP LAN sollte kein Interface erzeugen. Welches WLAN Intern Interface meinst du? Separate Zone?

    DHCP Relay ist bei Bridge to AP LAN auch nicht nötig - Bei Interfaces Bridges auch nicht. 

     

    Gruß

    __________________________________________________________________________________________________________________

  • Hallo,

    vielen Dank für die fixe Antwort!!!

    Ich habe ein WLAN Netzwerk "WLAN-INTERN" angelegt, dieses habe ich auf "In AP-LAN bridgen" gestellt.

    Unter Schnittstellen hatte ich die bisherige Schnittstelle "Internal" auf Ethernet Bridge gestellt, hierbei sind angehakt bzw. verbunden "eth0"+"WLAN-INTERN"

    In dem Netzwerksegment "Internal" habe ich einen eigenen DHCP Server (der auch Domain Controller ist), da es am Anfang auch mit dem DHCP und dem WLAN Probleme gab, hatte ich gemäß einer Best-practise Anleitung zusätzlich noch einen Eintrag für ein DHCP Relay erstellt:

    DHCP-Relay => für Netzwerk "Internal" => zeigt auf interne DomainController-IP Adresse.

    Meinst du die Probleme könnten vom DHCP Relaying kommen? Eigentlich sollte ja ein WLAN Client auch ohne den Relay Eintrag den DHCP Server im gleichen Netzwerk (ist ja gebridged mit eth0) finden.

    Viele Grüße und schönen Tag.

     

    PS: Dies war übrigens die Anleitung, nach der ich ursprünglich vorgegangen bin: https://community.sophos.com/kb/en-us/122080

Reply
  • Hallo,

    vielen Dank für die fixe Antwort!!!

    Ich habe ein WLAN Netzwerk "WLAN-INTERN" angelegt, dieses habe ich auf "In AP-LAN bridgen" gestellt.

    Unter Schnittstellen hatte ich die bisherige Schnittstelle "Internal" auf Ethernet Bridge gestellt, hierbei sind angehakt bzw. verbunden "eth0"+"WLAN-INTERN"

    In dem Netzwerksegment "Internal" habe ich einen eigenen DHCP Server (der auch Domain Controller ist), da es am Anfang auch mit dem DHCP und dem WLAN Probleme gab, hatte ich gemäß einer Best-practise Anleitung zusätzlich noch einen Eintrag für ein DHCP Relay erstellt:

    DHCP-Relay => für Netzwerk "Internal" => zeigt auf interne DomainController-IP Adresse.

    Meinst du die Probleme könnten vom DHCP Relaying kommen? Eigentlich sollte ja ein WLAN Client auch ohne den Relay Eintrag den DHCP Server im gleichen Netzwerk (ist ja gebridged mit eth0) finden.

    Viele Grüße und schönen Tag.

     

    PS: Dies war übrigens die Anleitung, nach der ich ursprünglich vorgegangen bin: https://community.sophos.com/kb/en-us/122080

Children
  • Hallo,

     

    also sprechen wir hier von einer SG1XXw ? Dort wird ein Interface erzeugt, für APs dementsprechend nicht.

    Der DHCP Relay ist in meinen Augen nicht nötig - Könntest du einen Screenshot davon kurz hochladen?

     

    Gruß

     

    __________________________________________________________________________________________________________________

  •  

    also sprechen wir hier von einer SG1XXw ? Dort wird ein Interface erzeugt, für APs dementsprechend nicht

     

    Genau! Wir haben hier eine SG125w.

    Was meinst du mit "APs". Access Points? Auf welche Accesspoints ich das Wireless Netzwerk verteile ist doch für die generelle Konfig egal, so hatte ich das bisher immer verstanden? Evtl. hab ich hier aber einen Denkfehler?

     

    Hier noch die 3 Screenshots, die meine aktuelle Konfig zeigen sollten.....

     

  • Hallo,

     

    bitte das DHCP Relay deaktivieren.

    APs = Access Points.

    Bitte nach deaktivieren des Relays das Problem reproduzieren.

     

    Gruß

    __________________________________________________________________________________________________________________

  • Alles klar, vielen Dank erstmal!!!!

    Ich hab das DHCP Relay wieder deaktiviert, DHCP funktioniert immer noch. ....

    Ich werde schauen, ob das Problem beim nächsten Update immer noch besteht.

    Grundsätzliche Verständnisfrage noch von mir: Die "Interface" Bridge wird ja logischerweise immer noch benötigt. In der Knowledge Base von den XG Modellen habe ich nun noch gelesen, dass bei diesen im Hintergrund bei "Bridge to AP LAN" bei einem WLAN Netzwerk automatische alle Regeln usw. generiert werden. Ich nehme an bei der UTM9 ist das nicht der Fall, oder?

  • So, noch ein kleines Update:

    Ich musste leider feststellen, dass es im ganzen Netzwerk Probleme mit den WLAN-Clients (diesmal auch Windows Laptops) gab. Es war kein DHCP mehr möglich, nachdem ich den "Relay" Eintrag auf unseren internen DHCP entfernt hatte.

    Daraufhin hab ich mal das komplette "interne" WLAN neu aufgesetzt (auf wlan3) und stückweise in Betrieb genommen. Damit ich einen "Bridge-Betrieb" mit dem internen LAN (internal auf eth0) hinbekomme, muss ich zwingend bei dem WLAN "in AP-LAN bridgen" aktivieren, sonst kann ich das WLAN-Interface gar nicht unter Schnittstellen auswählen.

    Mit dieser Konfiguration bekommt kein "erfolgreich" am WLAN angemeldeter Client (Windows, iOS devices) Zugang zum internen DHCP Server, alle bekommen immer eine 169.254..... IP.

    Setze ich den Eintrag, "DHCP-Relay" für "Internal" mit Weiterleitung an IP vom internen DHCP Server, bekommen alle Clients wieder erfolgreich eine IP-Adresse zugewiesen und alles läuft.

    Interessanterweise scheint auch das komplette Neuerstellen vom internen WLAN meine Verbindungsprobleme behoben zu haben!? Komisch.....

    Ich persönlich würde mir wünschen, dass Sophos hier mal ein "aktuelles" Best-Practise Beispiel zu dieser aus meiner Sicht eigentlich sehr simplen Aufgabe veröffentlicht. Es existieren teilweise stark unterschiedliche Beiträge zu diesem Thema.

    Ich werde das Problem weiter beobachten und berichten.....

  • Hallo,

     

    DHCP Relay ist nicht korrekt konfiguriert, da du zwei Interfaces zwingend benötigst.

    Das Interface vom DHCP Server und das Interface, zu dem es weitergeleitet werden soll.

    Somit funktioniert ein DHCP Relay mit nur einem Interface nicht.

    Mit einer Interface Bridge besitzt du nur noch ein Interface.

     

    Gru?

    __________________________________________________________________________________________________________________

  • Ok, das hab ich verstanden. Das klingt auch logisch, denn ein Relay macht ja eigentlich nur "interfaceübergreifend" eigentlich Sinn.

    Durch die Bridge hab ich ja nur noch ein Interface. Das Problem ist, dass sobald ich das "Relay" deaktiviere, DHCP (vom internen DHCP Server) nicht mehr möglich ist. Wenn ich das WLAN als "getrennte Zone" erstelle und einen DHCP Server auf der UTM erstelle, dann klappt auch alles so wie es soll. Nur den internen DHCP bekomme ich nicht sauber ans Laufen. Firewallregeln hab ich auch schon getestet, ohne Erfolg.

    Was wäre denn deine Alternative zum nicht korrekten "DHCP Relay"?

    Vielen lieben Dank und schönen Abend.

  • Hallo,

     

    Eine Interface Bridge muss genügen, da dies auf Layer 2 basiert. Probiere es hier einmal mit einer Firewall Rule.

    Was ich mir aber vorstellen kann ist, dass es hier zu einem Problem mit der Bridge kommt.

     

    Gruß

    __________________________________________________________________________________________________________________

  • Ich bekomme es leider als reine "Interface Bridge" nicht sauber zum Laufen.

    Wie von Dir vorgeschlagen hab nochmal den "Relay" Eintrag rausgenommen. Eine Firewallregel Allow "Internal>Any>Internal" musste ohnehin für die Bridge schon immer da sein, ansonsten wurde der Verkehr geblockt. Ich habe zusätzlich noch eine Regel erstellt "Internal>DHCP>Any", ohne Erfolg. Anmeldevorgänge dauern teilweise ewig, manchmal bekommt der Client eine Adresse zugewiesen, manchmal nicht..... Ich habe hierfür bisher leider keine "saubere" Lösung gefunden.
    Gibt es denn hier noch eine irgendeine "Debug" Möglichkeit um zu schauen, warum das interne DHCP nicht sauber funktioniert??

    Aktiviere ich wieder das "eigentlich falsche" DHCP Relay, bekommen die Clients sofort eine IP Adresse zugewiesen und es gibt auch keine Abbrüche mehr.

    Besonders merkt man das bei iOS Geräten, kurzes Deaktivieren und anschließendes Aktivieren von WLAN => ohne DHCP-Relay Eintrag dauert das Wiederherstellen der WLAN Verbindung ewig und bricht auch teilweise ganz ab, mit DHCP Relay Eintrag ist WLAN fast "sofort" wieder da und auch einsatzfähig......

    Insgesamt kann ich hier das Verhalten der UTM einfach nicht nachvollziehen..... :-(

    VG Timm

  • https://community.sophos.com/products/unified-threat-management/f/wireless-security/56535/115w---do-these-actually-work/208720#208720

    In diesem Workaround aus 2015 ist genau das aktuelle Verhalten beschrieben, ich kann allerdings nicht ganz nachvollziehen, warum Sophos hier nicht mal eine funktionierende Lösung anbietet???