Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Gast-WLAN / Firewall Problem (v8)

Hallo zusammen,

ich bin gerade dabei mehrere AP10 und AP30 in meiner Firma zu installieren und bin bei dem Thema "Gast-WLAN" etwas irritiert.

Folgende Ausgangslage:

Internal Network 172.16.0.0/16
GAST-WLAN Network 192.168.99.0/24
External Network 62.217.x.x/29 (Glasfaser über Cisco Router vom ISP)

WLAN (intern) bridge to AP LAN --> funktioniert einwandfrei
WLAN (Gast) getrennte Zone über wlan0

So nun möchte ich natürlich das das Gast WLAN zwar in das Internet kommt aber nicht in unser lokales LAN. Daher folgende Firewallregeln:

1. Internal Network --> Any allow
2. Gast WLAN Network --> External Network allow

In der Konfiguration läuft im Gast WLAN zwar http aber kein https. Ich vermute da wir den Web-Proxy nutzen, dass http einen Verbindungsaufbau von dem Gast WLAN auf die Gast WLAN LAN Adresse (die Astaro) erfolgreich durchführen kann. Bei https (wird nicht(!) vom Webfilter gescannt) wird die Verbindung direkt nach außen aufgebaut. Dies wird aber per DEFAULT DROP blockiert. Soweit versteh ich es noch.

Nach einiger Überlegung habe ich dann folgenden Regelsatz erstellt:

1. Gast WLAN Network --> Internal Network --> deny
2. Internal Network --> Gast WLAN Network --> deny
3. Internal Network --> Any --> allow
4. Gast WLAN Network --> External Network --> allow

Obwohl ich gelernt habe "first match" kommt der Traffic vom Gast WLAN Network ins Internal Network?

Ich bin irritiert! [:S] Kann mir jemand auf die Sprünge helfen? 

Danke!


Grüße
Kai


This thread was automatically locked due to age.
Parents
  • Hallo GuyFawkes,

    ich möchte dich bitten den Bob (BAlfson) direkt anzusprechen - er ist der Urheber und Eigentümer des Dokuments und ich hab es nur auf Deutsch übersetzt. Ich will da kein Geheimnis drum machen aber ich denke mal das ist anständig so.

    Wenn man die übliche Reihenfolge mit der die UTM arbeitet (DNAT, Proxys, Paketfilter, SNAT - so im groben) anschaut ist das Verhalten meiner Meinung nach verständlich. Da der Proxy die Route zum internen Netz kennt und man nirgendwo einschränkt wohin der Proxy 'telefonieren' darf .... naja, nicht richtig schön aber nachvollziehbar.

    Nur so intressehalber weil ich es selber nicht verwende: wie kann man das Vouchersystem mit ner IP Adressenänderung überlisten? Ich kenne nur den Trick mit der geänderten MAC Adresse.

    Viele Grüße
    Manfred
  • Hi Manfred,

    Hallo GuyFawkes,
    ich möchte dich bitten den Bob (BAlfson) direkt anzusprechen - er ist der Urheber und Eigentümer des Dokuments und ich hab es nur auf Deutsch übersetzt. Ich will da kein Geheimnis drum machen aber ich denke mal das ist anständig so.


    Klar, kein Problem. Frage ihn dann direkt.
    Geht es da um Default Einstellungen, um Einrichtung oder allgemeine Informationen?


    Nur so intressehalber weil ich es selber nicht verwende: wie kann man das Vouchersystem mit ner IP Adressenänderung überlisten? Ich kenne nur den Trick mit der geänderten MAC Adresse.


    hier ist der Thread dazu:
    https://www.astaro.org/local-language-forums/german-forum/49319-hotspot-voucher-recherche.html

    Feature Request ist auch schon "under Review".

    Ganz einfach gesagt, änderst du die IP als Gast, siehst du im WebProxy nur die IP (im Web Protection Log steht keine MAC) und hast keine Zuordnung mehr: Voucher - MAC - IP

    Nice greetings
Reply
  • Hi Manfred,

    Hallo GuyFawkes,
    ich möchte dich bitten den Bob (BAlfson) direkt anzusprechen - er ist der Urheber und Eigentümer des Dokuments und ich hab es nur auf Deutsch übersetzt. Ich will da kein Geheimnis drum machen aber ich denke mal das ist anständig so.


    Klar, kein Problem. Frage ihn dann direkt.
    Geht es da um Default Einstellungen, um Einrichtung oder allgemeine Informationen?


    Nur so intressehalber weil ich es selber nicht verwende: wie kann man das Vouchersystem mit ner IP Adressenänderung überlisten? Ich kenne nur den Trick mit der geänderten MAC Adresse.


    hier ist der Thread dazu:
    https://www.astaro.org/local-language-forums/german-forum/49319-hotspot-voucher-recherche.html

    Feature Request ist auch schon "under Review".

    Ganz einfach gesagt, änderst du die IP als Gast, siehst du im WebProxy nur die IP (im Web Protection Log steht keine MAC) und hast keine Zuordnung mehr: Voucher - MAC - IP

    Nice greetings
Children
No Data