Static Route zwischen WatchGuard und Sophos XG

Question

Hallo zusammen, 
 ich habe vor kurzem eine WatchGuard Firewall installiert und die zuvor bestehende Sophos XG als Management Ger&auml;t f&uuml;r die AccessPoints an das alte Subnetz angeschlossen. 
 Zuvor war nur die Sophos als Hauptfirewall an dem Standort, nun ist die WatchGuard die Hauptfirewall und die Sophos dient nur f&uuml;r die Verbindung f&uuml;r die Sophos AccessPoints. 
 Aktuell ist es so, dass die WLAN Clients und die Sophos keine Internetverbindung &uuml;ber die WatchGuard aufbauen k&ouml;nnen. Daher m&ouml;chte ich eine Route auf der WatchGuard und auf der Sophos erstellen, sodass die Sophos APs und die WLAN Clients &uuml;ber die WatchGuard auch eine Verbindung untereinander haben. 
 Wie muss ich den die Route auf der Sophos und der Watchguard konfigurieren, damit das 192.168.99.x Netz auch &uuml;ber den WAN Port der WatchGuard raus ins Internet k&ouml;nnnen? 
 Zudem m&ouml;chte ich das bestehende Netz 192.168.99.x/24 f&uuml;r G&auml;ste Wlan getrennt vom produktiven Netz 10.10.1.x/24 bestehend lassen und eine zweite SSID Verbindung f&uuml;r das produktive Netz 10.10.1.x erstellen. 
 Wie muss hier die Konfiguration auf beiden Firewalls eingerichtet werden damit dies funktioniert? 
 Muss ich eine standard Route auf beiden Firewalls erstellen und dann noch eine Firewall Regel auf beiden Seiten. Wie genau sieht hier die Konfiguration aus? 
 Besten Dank vorab f&uuml;r die Unterst&uuml;tzung. 
 Gr&uuml;sse

Raphael Alganes · Answer

Hello Florian, 
 Thanks for your response. 
 Way I'm seeing it is your Sophos Firewall interface/Port2 LAN with IP network 192.168.99.0/24 and the one connected directly to the Cisco switch is on bridge mode and the Cisco Switch is directly connected to Watchguard Port3LAN with IP 192.168.99.2 
 So, if you want the AP network 192.168.99.0/24 to have internet access, the Default Gateway of clients should be 192.168.99.2 (WG Port3 LAN), with DNS that can resolve and with FW policy on WG that allows outbound traffic. 
 a bridge interface on SF should be unable to have a Default Gateway (Kindly see the gateway field that is grayed out when creating a bridge interface) so that being, the WG should be the DG of the clients on the network 192.168.99.0/24 
 
 With regards to 192.168.99.0 reaching the network 10.44.105.0 , A static route is likely unnecessary since they are directly connected networks on WatchGuard. What you need is to configure a Firewall policy in WatchGuard that allows access to 192.168.99.0 -> 10.44.105.0 and also 10.44.105.0 -> 192.168.99.0 
 Regards,

Raphael Alganes · Answer

Hello Florian, 
 Thanks for your response. 
 Seems the Sophos Firewall is the AP controller for your Sophos APs, and the DHCP for the clients and APs. Then by changing the DG to 192.168.99.2 this likely caused the error 
 By default, access points send the registration request to their default gateway using the magic IP address 1.2.3.4 on port 2712. The gateway must route traffic from the access point sent to 1.2.3.4 to Sophos Firewall, or the DHCP server must use option 234 to change the magic IP address to the address of the Sophos Firewall. 
 That being said, we should configure DHCP option 234 on Sophos Firewall (Assuming SF is your DHCP for AP network and clients) 
 Kindly follow the Steps: 
 1. Go to Configure (Network) > DHCP and then add a DHCP server so that it can lease IP to access points and clients. 
 2. Create the DHCP option and bind it. - Sophos AP works on magic IP address (1.2.3.4) therefore configure the DHCP server to forward all AP registration requests to the IP address of Port2LAN interface on the appliance instead of the magic IP address 1.2.3.4 -This is done by configuring DHCP server option code 234[magic IP] for the interface (Port2) where the AP is connected to. -Connect through SSH and select option 4. To enter Device Console . Once you are in the console, run the following command: 
 
 system dhcp dhcp-options add optioncode 234 optionname dhcp_magic_ip optiontype ipaddress 
 
 3. Apply the created DHCP option on the DHCP server (created in step#2). Run the following command: system dhcp dhcp-options binding add dhcpname *ENTER THE DHCP NAME* optionname dhcp_magic_ip(234) value 192.168.99.1 
 Then - Connect the access point to Sophos Firewall to get the IP address leased by the DHCP server

192.168.0.0/16	Any-External
172.16.0.0/12	Any-External
10.0.0.0/8	Any-External