Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 38 subscribers
  • Views 8248 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Gast-WLAN / Firewall Problem (v8)

BlackCrow
Hallo zusammen,

ich bin gerade dabei mehrere AP10 und AP30 in meiner Firma zu installieren und bin bei dem Thema "Gast-WLAN" etwas irritiert.

Folgende Ausgangslage:

Internal Network 172.16.0.0/16
GAST-WLAN Network 192.168.99.0/24
External Network 62.217.x.x/29 (Glasfaser über Cisco Router vom ISP)

WLAN (intern) bridge to AP LAN --> funktioniert einwandfrei
WLAN (Gast) getrennte Zone über wlan0

So nun möchte ich natürlich das das Gast WLAN zwar in das Internet kommt aber nicht in unser lokales LAN. Daher folgende Firewallregeln:

1. Internal Network --> Any allow
2. Gast WLAN Network --> External Network allow

In der Konfiguration läuft im Gast WLAN zwar http aber kein https. Ich vermute da wir den Web-Proxy nutzen, dass http einen Verbindungsaufbau von dem Gast WLAN auf die Gast WLAN LAN Adresse (die Astaro) erfolgreich durchführen kann. Bei https (wird nicht(!) vom Webfilter gescannt) wird die Verbindung direkt nach außen aufgebaut. Dies wird aber per DEFAULT DROP blockiert. Soweit versteh ich es noch.

Nach einiger Überlegung habe ich dann folgenden Regelsatz erstellt:

1. Gast WLAN Network --> Internal Network --> deny
2. Internal Network --> Gast WLAN Network --> deny
3. Internal Network --> Any --> allow
4. Gast WLAN Network --> External Network --> allow

Obwohl ich gelernt habe "first match" kommt der Traffic vom Gast WLAN Network ins Internal Network?

Ich bin irritiert! [:S] Kann mir jemand auf die Sprünge helfen? 

Danke!


Grüße
Kai


This thread was automatically locked due to age.
  • 0
    Was kommt ins Netz?

    Also machst zwei Firewallregeln.

    1. permit: Internal LAN (Network) - ANY - Internet IPv4
    2. permit: WLAN Guest (Network) - ANY - Internet IPv4

    Nutz möglichst wenig "ANY" und das Deny kannste dir an der Stelle sparen, was nicht dort steht, wird nicht erlaubt.
    "Internet IPv4" bedeutet ganz einfach ausgedrückt - das gerade aktive Default Gateway wird genutzt.

    Web Filter kannst du hier natürlich anhand von Profilen steuern.
    Erlaubte Netzwerke, die beiden hinzufügen und entsprechend die Web Protection konfigurieren.

    NAT entsprechend einstellen.
    1. Internal LAN (Network) - Uplink Interface
    2. WLAN Guest (Network) - Uplink Interface

    Das wars.

    Nice greetings
  • 0 in reply to GuyFawkes
    Meine Güte die Definition "Internet IPv4" hab ich komplett überlesen... ich denke damit wird es gehen! Ich werde es morgen oder Montag einmal probieren!

    Vielen Dank!


    Grüße
    Kai
  • 0
    Wenn du den Webfilter Proxy für das Gästenetz einrichtest, kommen deine Gäste über den Webproxy an deine internen Netze (ggf. über die IP Adresse) - hier zieht die Regel, das Proxy's vor Paketfilterregeln befragt werden und First match gilt. Du musst dann im Proxyprofil (du brauchst dann ein eigenes Profil für das Gästenetz...) für das Gästenetz die internen Netze (Namen und IP Adressen) blocken um das zu verhindern.

    Viele Grüße
    Manfred
  • 0
    hallowach, das wird so nicht passieren [;)]

    Nice greetigns
  • 0
    Hallo GuyFawkes,

    ich lerne ja gerne dazu - erklär doch mal bitte warum das so nicht passieren wird.

    Ich bin recht sicher, das das zumindest bis 9.1 so ist das wenn das Gastnetz den WebProxy nutzt (transparant oder standard) und ein request für eine IP Adresse im internen Netz dort ankommt, diese an den internen Server gesendet wird und damit ist der interne Server erreichbar.

    Viele Grüße
    Manfred
  • 0 in reply to Hallowach2
    Hallo zusammen,

    leider scheint es auch unter v8 so zu sein wie hallowach es beschreibt. Mit aktivem Webfilter für das Gastnetzwerk ist weiterhin der Zugriff auf z.B. den internen Sharepointserver möglich! (Im Firewall log erscheint kein "drop") Sobald dieser für das Gastnetzwerk deaktiviert ist, ist kein Zugriff mehr möglich. (Im Firewall log erscheint jetzt ein "drop")

    Ideen? [:S]

    Die Abschaltung des Webfilters für das Gastnetzwerk ist keine Option!


    Grüße
    Kai
  • 0
    So ich habe jetzt ein Proxy Profil erzeugt und folgende URL Sperre eingesetzt:

    ^https?://172\.16\.*

    Dies soll alle http oder https Zugriffe auf irgendeine IP aus dem 172.16.0.0/16 Netzwerk (unser internes Netzwerk) blockieren. Auf den ersten Blick funktioniert es - oder hab ich noch einen Denkfehler?


    Grüße
    Kai
  • 0
    Hallo Kai,

    du hast es genau richtig gemacht (nach meiner Meinung zumindest :-) ). Du solltest noch testen ob es noch andere Wege gibt (z.B. über fqdn, plain hostname, usw.) - das hängt ein bischen von deiner dns und dhcp Konfig ab und ggf. andere Protokolle/Ports die über den Proxy laufen checken

    Viele Grüße
    Manfred

    PS: Der liebe Bob (hier User BAlfson) hat ein Dokument in dem diese ganze Gastnetzgeschichte recht gut beschrieben ist und das ich mal für ihn übersetzt habe - frag ihn doch mal danach.
  • 0
    Hi Leute,
    Habe heute mal nen Test gemacht und ich muss zugeben, dass ich erschrocken bin. Im TestLab war der Zugriff via Port 80 möglich.

    Werde dies morgen mal in diversen Produktivumgebungen prüfen.

    Passt aber somit ehrlich gesagt nicht der Logik, wie Daten/Anfragen durch die UTM verarbeitet werden.

    Wenn das also immer funktioniert, ist das nach meiner Ansicht eine Katastrophe, genauso der Punkt, dass man das Vouchersystem durch einfache IP Änderung austricksen kann!

    @hallowach
    Wenn du das Dokument findest, lad es mal hoch, hätte auch Interesse dran!

    Nice greetings
  • 0
    Hallo GuyFawkes,

    ich möchte dich bitten den Bob (BAlfson) direkt anzusprechen - er ist der Urheber und Eigentümer des Dokuments und ich hab es nur auf Deutsch übersetzt. Ich will da kein Geheimnis drum machen aber ich denke mal das ist anständig so.

    Wenn man die übliche Reihenfolge mit der die UTM arbeitet (DNAT, Proxys, Paketfilter, SNAT - so im groben) anschaut ist das Verhalten meiner Meinung nach verständlich. Da der Proxy die Route zum internen Netz kennt und man nirgendwo einschränkt wohin der Proxy 'telefonieren' darf .... naja, nicht richtig schön aber nachvollziehbar.

    Nur so intressehalber weil ich es selber nicht verwende: wie kann man das Vouchersystem mit ner IP Adressenänderung überlisten? Ich kenne nur den Trick mit der geänderten MAC Adresse.

    Viele Grüße
    Manfred
Unfiltered HTML