Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Replies 13 replies
  • Subscribers 11 subscribers
  • Views 1479 views
  • Users 0 members are here
Options
Suggested

APX320 und XGS3200

SuW

Hallo zusammen,

ich bin ein ziemlicher Sophos newbie und bin derzeit mit der Planung eines Wlans beschäftigt. Wir haben eine XGS2300 im Einsatz, die u.a. auch Jugendschutzfilter bietet. Im Festnetz ist das nun seit einem halben Jahr im Einsatz. Nun soll ein Wlan dazu kommen (rund 60 Access Points sind in Planung). Ich hatte ursprünglich vor, diese direkt über die Firewall zu verwalten, wovon mir allerdings mittlerweile (aufgrund von Performance-Einbußen) abgeraten wird. Mir wird empfohlen, die AccessPoint in Sophos Central zu verwalten. Jetzt blick ich aber nicht, wie ich dann die Kommunikation so hinbekomme, dass dem Wlan die eingesetzten Regeln der Firewall zugrunde liegen. Das Problem ist wohl, dass ich weder die APX noch Sophos Central kenne... Muss ich die XGS auch ins Ventral bringen?

Danke im Voraus, und sorry für "rudimentäre" Frage...



Added TAGs
[edited by: emmosophos at 11:02 PM (GMT -8) on 23 Feb 2024]
  • 0

    Hallo SuW,

    von den APX320 verabschiede dich gleich mal. Sophos stellt die gerade ein.

    https://support.sophos.com/support/s/article/KB-000035279?language=en_US#AP_series

    Aber mit der AP6 Serie kannst du natürlich über Central gemanagt das Gleiche erreichen.

    Ich baue die Regeln auch auf der Firewall.

    Dazu wird (in Central) für die entsprechende SSID ein "bridge to VLAN" eingerichtet und dieses "Gäste-VLAN" dann an der Firewall ganz normal mit eigenen Regeln belegt.

    Bei weiteren Fragen bitte melden.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Also es hilft beim Management der APs über Central sehr, wenn man sich mit VLANs und der Implementierung derselben mit den vorhandenen Switchen auskennt.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0

    Hallo Dirkkotte und PhilippRusch,

    danke für die Info. Ja, ich weiß, dass die APX eingestellt werden. Ich möchte trotzdem auf diese setzen (solange sie noch erhältlich sind) , da hier die Lizenz für Central inklusive ist. Bei den AP6 ist es derzeit nur im 1. Jahr kostenlos. 

    Vielen Dank für den Hinweis mit bridge-to-Vlan, wir werden voraussichtlich erst Ende März in die Aufbauphase kommen. Dann melde ich mich bestimmt nochmal :-))

  • 0 in reply to SuW

    Guten Morgen SuW,

    leider wirst du die APX nicht mehr in der Menge erhalten. Ich hatte jetzt selber ein Projekt vor der Brust mit 62 AP und wollte die APX720 verwenden.
    Es ist nichts mehr zu bekommen in den Mengen, ich bin so furchtbar sauer auf Sophos, das die zu der Lokalen Verwaltung keine  Alternative mehr bieten. Sophos ich für mich auch an dem Punkt gestorben, ob ich jetzt noch die Firewalls weiter betreibe wird sich zeigen. Ich werde auf keinen Fall mehr auch nur einen Sophos Accesspoint mehr kaufen, so wie einige IT Partner von mir auch nicht mehr. Wir haben uns jetzt für LANCOM und ARUBA entschieden. Wenn Sophos meint Cloud only wäre im IT Entwicklungsland Deutschland die Lösung, dann bitte. 

  • 0 in reply to Patrick81

    Hallo Patrick81,

    ich habe tatsächlich meine 70 APX 320 noch bekommen - bin auch kein Freund von Cloud Lösungen. Hast Du Erfahrung mit der Verwaltung einer großen Menge APX über die Firewall direkt? Mir wurde davon abgeraten, wenn es mehr als 5 APs sind solle ich die Cloud Lösung verwenden.... Eigentlich wollte ich direkt über die XGS2300 verwalten....

  • 0 in reply to SuW

    Naja, natürlich möchte man sich gerne mit seinen neuen APs durchsetzen. Dann würde ich auch vom alten Produkt abraten.

    Die XGS 3200 sollte ca. 60 Stück verwalten können, es kommt aber auch immer sehr stark darauf an wieviel Leistung die XGS 3200 für andere Aufgaben aufwenden muss. Daher sind 60 Stück nicht wirklich garantiert! Wenn du schon bei 60 APs bist in der Planung und die 3200 kann maximal 60 Stück, bist du schon fast voll ausgereizt von der Accesspoint Menge her.

    Ein anderes Szenario für dich:

    Die Sophos 3200 hat einen einen AMD Ryzen R1606G (2/4) @ 2,6 Ghz  und 8 GB RAM
    Damit soll diese ca 60 APs schaffen.

    Kaust du dir eine eine Lizenz für die  Virtuelle Sophos  4 Kerne und 8 GB RAM auf einem modernen Server der 3,5 - 4,7 Ghz hat. ist diese CPU deutlich schneller als der alte AMD. 

    Diese Virtuelle Sophos verwendest du nur für die APs und nichts weiter, Kostet 1x 2500 €. dann legst du in der XGS 3200 ein Netz an. KA 10.10.10.X. Mit der Virtuellen Sophos legst du einen WAN-Port an, und verbindest die beiden Firewalls. So filtert die XGS 3200 für die Virtuelle Firewall den ganzen Datenverkehr mit einen Xtrem-Protection z.B.

    Da die Virtuelle Sophos nur APs verwaltet, sollte diese auch locke 90 + können. Da meines Wissens nach die AP Limitierung durch CPU und RAM entsteht..... 

    Grüße

    Patrick 

  • 0 in reply to SuW

    Was genau wäre denn die Einschränkung, die Central dir hier auflegen würde, wenn du Central Wireless Management verwenden würdest? 

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Hallo LuCar Toni, ich habe keine Sorge vor Einschränkungen seitens der Central Wireless Management,. Es geht mir vielmehr darum, dass ich zum einen nicht unbedingt eine Firewall-Lösung in der Cloud ansässig haben möchte und darum, dass die APs drei verschiedene Netze mit unterschiedlichen Regeln (gesetzt in der Firewall, zB Jugendschutzfilter) senden sollen . Vielleicht liegt es auch nur daran, dass ich Sophos Newbie bin ;-) ...

  • 0 in reply to SuW

    Central ist eine Management Lösung - Dort werden keine Daten vom Access Point hingeschickt. 

    Du kannst einfach folgendes machen: Arbeite mit Bridge to VLAN, etabliere eine VLAN Infrastruktur und die VLANs lässt du auf die Firewall zeigen. 

    Danach kannst du auf der Firewall ganz normal, wie gewohnt, ein Filtering aufbauen. 

    Früher hat man das Separate Zone genannt (VXLAN), nun in Central kann man mittels VLAN arbeiten: https://www.youtube.com/watch?v=Uijjdi-cNgE

    __________________________________________________________________________________________________________________

  • 0 in reply to SuW

    Hallo,

    um die APX Accesspoints über central zu verwlaten, benötigt man keine virtuelle Firewall in der Cloud. Die lokale Firewall kann so beiben, wie sie ist. Außer, das man für die verschiedenen WLAN Netzwerk.Segmente natürlich ein Interface und entsprechende Firewallregeln vorsehen muss.

    Im Prinzp werden mit Sophos Central Wireless nur die Einstellungen der Accesspoints geregelt. Alles weitere wird dann im lokalen Netzwerk mit der lokalen Firewall und VLANs auf den Switchen verwaltet.

    Ich würde den Modus "Bridge to VLAN" verwenden und eventuell ein Gastnetzwerk vorsehen, mit der dafür vorbereiteten Lösung in Sophos Central.

    Auf den Switchen müssen dann entsprechende VLAs eingerichtet werden.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

Unfiltered HTML