Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 38 subscribers
  • Views 2880 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos AP30 2 SSID's

sebascho93
Hallo Zusammen, 

ich habe folgendes Problem. 
Ich wurde eingeteilt unseren neuen Sophos AP30 einzurichten.
Dieser soll 2 SSID's besitzen. Eine für das Interne Netz und die andere als Gast Netz. 
Das Gast Netz soll komplett über die UTM 9 geregelt werden. 
Hierzu habe ich ein neues Interface erstellt mit folgenden Daten:
Hardware: wlan1
IP: 192.168.14.1/24
Type: Ethernet Static
MTU: 1500

Damit das Gast-Netz nur das Gateway eerreichen kann, wurde eine Policy Route erstellt:
Type: Gateway Route
Source Interface: gast
Source Network: Gast
Service: Any
Destination Network: Any
Gateway: Firewall (anderes Netz mit interner IP)

Als Adressvergabe wurde auf der Firewall noch ein DHCP Dienst eingerichtet.
Interface: Gast
Range Start: 192.168.x.x
Range End: 192.168.x.x
DNS Server1: Firewall (anderes Netz) DNS dienst wurde eingerichtet
DNS Server 2: DNS Dienst von Vodafone (8.8.8.8)
Default Gateway: Firewall (anderes Netz)
Lease Time: 86400

Der Client aus dem Gast Netz bekommt die Infrtomationen von dem DHCP Server und es wird ihm eine Adresse zugewiesen. Jedoch kann er das Gateway anpingen aber er bekommt kein Zugriff auf das Internet.

Was habe ich falsch gemacht?

Hoffe auf euere Unterstützung [:)]
Sebastian Schorch


This thread was automatically locked due to age.
  • 0
    Hast Du eine Firewall Regel erstellt? Dabei solltest Du das "Internet" Objekt als Ziel nutzen.
    Eine Masquerading-Regel wird auch gerne vergessen bei neuen Netzen.

     

    Sophos Certified Architect (UTM + XG)

  • 0
    Nein, eine Firewall Regel habe ich nicht erstellt. 
    Eine Masquerading regel jedoch schon. Die lautet: 
    GAST -> WAN (externe IP)
  • 0
    Hab ein wenig länger beraucht...
    Habs verstanden. die Astaro hängt hinter einen anderen Firewall

    Also ne Firewallregel brauchst du noch.
    gast network --> any---> Firewall anderes netz.

    Masquerading brauchst du nicht weil bist ja noch intern und hast deshalb die Route.... aber... die Route brauchst du auch wieder zurück... also 
    Firewall ( anderes netz)
     add ip route 192.168.14.0 255.255.255.0 "Ip von der Astaro"

    Dns brauchst du auch ne Firewall regel... ODER

    ich würde hier die Astaro selber eintragen und DNS -->DNSforwarder die Firewall ( anderes Netz).

    ich glaube das sollte so passen, wenn ich es richtig kapiert habe
  • 0
    ne So ist das nicht ganz. 
    Die Firewall (anderes  Netz) damit meine ich die Astaro.
    Der AP ist an dem Switch angeschlossen und hat 2 SSID's. 
    Die Gast SSID soll in ein neues Netz.
    Dafür muss ich aber ein Routing von dem Hauptnetz in das gastnetz machen, damit dass Gastnetz zugriff auf die Firewall als Gateway hat...

    VG
  • 0
    nööö eine route brauchst du nicht.. 
    nur eine Firewallregel

    im wlannetz bei Client auf "getrennt" einstellen... das reicht
  • 0
    wie meinst du denn das?
    Das andere Netz muss doch nen Gateway haben... und das wäre in diesem Fall die ASG aus dem anderen Netz wo der Access point konfiguriert ist mit einem wlan 1 interface.

    VG
  • 0
    ok also ich geh das jetzt einmal mit dir durch für ein Gast netzwerk.

    Wlan SSID:
    WLAN Gast
    Client Verkehr : Getrennt
    Client-Isolation: Aktiviert
    Den Rest so wie du es brauchst.


    Schnittstelle:
    Wlan Gast  
    WLAN 1
    192.168.14.1 /24

    Netzwerkdienste-> DNS:
    Zugelassene Netzwerke ---> Wlan Gast

    Netzwerkdienste-> DHCP:
    WLan Gast
    Beginn: 192.168.14.10
    ende: 192.168.14.250
    DNS:192.168.14.1
    Gateway: 192.168.14.1

    NetworkProtection--> Firewall:
    WLan gast---> any-->Internet

    NetworkProtection--> nat-->Maskierung:
    Wlan Gast Network --> WAN


    Das war's... keine Route oder sowas
  • 0
    Durch das getrennt... wird eine art Red tunnel aufgebaut... du brauchst kein VLAN oder Routing... die CLients im Gast hauen direkt auf der Schnittstelle auf der Astaro.
    ab dann übernimmt firewall regel und die maskierung..
  • 0
    Okay. Habe das jetzt so gemacht, wie du es gesagt hast. 
    Hier noch einmal zum Abgleich:

    Interface:
    Wlan 1
    192.168.14.1/24
    Ethernet Static

    Kein Routing

    DNS:
    Allowed Networks: 
    GAST (Network)

    DHCP: 
    Interface: Gast
    192.168.14.10
    192.168.14.250
    DNS Server 1: 192.168.14.1
    DNS Server 2: 0.0.0.0
    Default gateway: 192.168.14.1

    Firewall: Gast -> Any -> Internet

    NAT: Maske GAST -> WAN

    Wireless Network:
    Client Traffic: Separate Zone
    Client Isolation: Enabled


    Trotzdem funktioniert der Internet zugriff nicht auf einem Client, der sich im Gast Netz befindet.

    Danke und VG
  • 0
    Name auflösen geht. ? nicht das du kein Forwarder hast.

    Hat der IE vielleicht noch ein Proxy drin... weil ihr den internet benutzt?
Unfiltered HTML