Thread Info
  • Locked Locked
  • Replies 30 replies
  • Subscribers 6 subscribers
  • Views 110660 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

FAQ / HOWTO: using a Wireless Router with the UTM

BarryG

This is mainly for home users, as I don't recommend using consumer-grade wireless equipment for more than a few users; the Sophos APs are great for larger networks.

If you have a wireless router you want to convert to use as an Access Point with Astaro:

1. decide if you want the wireless network to be part of your LAN, or a new network/DMZ.
If a new network, setup a new interface (or use a VLAN) on the UTM.
Setup the UTM's DHCP & DNS server for the network, and configure Masquerading, firewall rules, desired proxies, etc.

2. tape over the WAN port on the router to avoid creating a double-NAT and other problems

3. change the management IP on the router to an IP on the same network as the LAN or DMZ interface on the firewall.
e.g. if the firewall is 192.168.1.1, set the router to 192.168.1.2

4. disable DHCP on the router

5. plug one of the router's LAN ports into the firewall.

That's it!

Notes: If the router is on a new LAN or DMZ, you won't be able to access it's management interface from another LAN unless you create an SNAT:
Source: LAN (Network) , Service:HTTP or HTTPS, Dest: Router's management IP, Source translation: DMZ (ADDRESS)
If you don't understand this, just remember to connect to the router on wifi or one of the router's LAN ports if you want to manage it.

Advanced topics:
a. Some consumer routers support VLANs and multiple SSIDs natively, or with DDWRT. See https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/21666 for some configuration options.

b. The UTM has a 'HotSpot' mode, in the Wireless Security settings; this can be used with any LAN or DMZ; it doesn't have to be a Sophos AP.


If you have corrections or additions to this information, please post here.
If you have general wireless questions, please start a new thread.

Barry



This thread was automatically locked due to age.
Parents
  • Hi guys,

    I'd like to update this thread and ask for your assistance so I can move this issue forward.

    Summary -

    The customer had a Netgear WNDR3800 router connected to a Bell modem (external /WAN) and an unmanaged DLink switch (internal /LAN) for hardwired PCs and printers. There were four wireless zones on the WNDR3800: two Production (2.4Ghz&5.0Ghz) with LAN access, and two Guest (2.4Ghz&5.0Ghz). The Guest zones had no access to the internal LAN, only to the internet.

    I replaced the WNDR3800 with an Astaro/Sophos UTM9 software appliance running as a VM on ESXi5.5. There are two Intel GT1000 NICs in the VMware host, which are mapped to the WAN and LAN interfaces on the UTM9 - no issues, works perfectly. 
    The WNDR3800 was moved 'inside' by plugging it into the unmanaged DLink switch. The one deal-breaking consequence of this was that the Guest zones on the WNDR3800 no longer had internet access.  

    Update -

    After six weeks of emails and phone calls with Netgear support, their position is that the WNDR3800 with the latest firmware and configured for AP mode supports having the four zones operational and able to access the internet, but only if the Guest zones are setup to access the local network (LAN). This is a non-starter for me. My idea of a Guest zone is no local network access, internet only. So the WNDR3800 becomes useless in this deployment. n.b. I could probably make it work by flashing it with DD-WRT or Tomato, but don't have the cycles or inclination at this time.

    Moving forward -

    I researched the features and issues history of a number of WAPS, and purchased an Amped Wireless AP20000G as it appeared to have all the features I needed. It was deployed but had the the same problem as the WNDR3800, the Guest zones were automatically configured to access the local network with no way to disable this - so, back to the store it goes. In addition, the wireless clients were regularly getting dropped and then reconnecting, unacceptable performance. 

    More research - decided the Engenius EAP600 looks like it will do everything required. Here's where I'm asking for your input/assistance. 

    There appears to be a couple of ways I can integrate the EAP600...

    The EAP600 is a simultaneous dual-band Gige WAP, with 8 BSSIDs per radio, which can be individually mapped to VLANs. So, regarding the BSSIDs and VLANs, my thought is as follows:

    1) Management VLAN - untagged
    2) 2.4Ghz BSSID 1 - production zone - (access to internal LAN) - untagged
    3) 5.0Ghz BSSID 1  - production zone - (access to internal LAN) - untagged
    4) 2.4Ghz BSSID 2 - Guest zone - (no access to internal LAN) - VLAN 24
    5) 5.0Ghz BSSID 2 - Guest zone - (no access to internal LAN) - VLAN 50
    6) 2.4Ghz BSSID 3 - BYOD zone - (no access to internal LAN) - VLAN 1024
    7) 5.0Ghz BSSID 3 - BYOD zone - (no access to internal LAN) - VLAN 1050

    OK - so to me this seems reasonable, and should work. Concur?
    Connecting to UTM -

    I think I have two options here -

    Option 1) Add another Intel NIC to the VMware host, define a new interface in the UTM, and dedicate that interface to the EAP600. The VLANs would have to be configured in the UTM and in VMware networking. DHCP and access rules for the VLANs would have to be setup. The DLink unmanaged switch would stay on the Internal /LAN interface.

    Options 2) Purchase a small VLAN capable switch like the Netgear GS105E, plug both the DLink unmanaged switch and the EAP600 into it and configure one trunk port to plug into the internal LAN port of the VMware host. 

    ** There has to be 'Windows/Netbios' connectivity between the unmanaged DLink and the EAP600. **

    I would appreciate any comments, suggestions, caveats, etc.

    Thanks for taking the time to read all this.

    Mike
Reply
  • Hi guys,

    I'd like to update this thread and ask for your assistance so I can move this issue forward.

    Summary -

    The customer had a Netgear WNDR3800 router connected to a Bell modem (external /WAN) and an unmanaged DLink switch (internal /LAN) for hardwired PCs and printers. There were four wireless zones on the WNDR3800: two Production (2.4Ghz&5.0Ghz) with LAN access, and two Guest (2.4Ghz&5.0Ghz). The Guest zones had no access to the internal LAN, only to the internet.

    I replaced the WNDR3800 with an Astaro/Sophos UTM9 software appliance running as a VM on ESXi5.5. There are two Intel GT1000 NICs in the VMware host, which are mapped to the WAN and LAN interfaces on the UTM9 - no issues, works perfectly. 
    The WNDR3800 was moved 'inside' by plugging it into the unmanaged DLink switch. The one deal-breaking consequence of this was that the Guest zones on the WNDR3800 no longer had internet access.  

    Update -

    After six weeks of emails and phone calls with Netgear support, their position is that the WNDR3800 with the latest firmware and configured for AP mode supports having the four zones operational and able to access the internet, but only if the Guest zones are setup to access the local network (LAN). This is a non-starter for me. My idea of a Guest zone is no local network access, internet only. So the WNDR3800 becomes useless in this deployment. n.b. I could probably make it work by flashing it with DD-WRT or Tomato, but don't have the cycles or inclination at this time.

    Moving forward -

    I researched the features and issues history of a number of WAPS, and purchased an Amped Wireless AP20000G as it appeared to have all the features I needed. It was deployed but had the the same problem as the WNDR3800, the Guest zones were automatically configured to access the local network with no way to disable this - so, back to the store it goes. In addition, the wireless clients were regularly getting dropped and then reconnecting, unacceptable performance. 

    More research - decided the Engenius EAP600 looks like it will do everything required. Here's where I'm asking for your input/assistance. 

    There appears to be a couple of ways I can integrate the EAP600...

    The EAP600 is a simultaneous dual-band Gige WAP, with 8 BSSIDs per radio, which can be individually mapped to VLANs. So, regarding the BSSIDs and VLANs, my thought is as follows:

    1) Management VLAN - untagged
    2) 2.4Ghz BSSID 1 - production zone - (access to internal LAN) - untagged
    3) 5.0Ghz BSSID 1  - production zone - (access to internal LAN) - untagged
    4) 2.4Ghz BSSID 2 - Guest zone - (no access to internal LAN) - VLAN 24
    5) 5.0Ghz BSSID 2 - Guest zone - (no access to internal LAN) - VLAN 50
    6) 2.4Ghz BSSID 3 - BYOD zone - (no access to internal LAN) - VLAN 1024
    7) 5.0Ghz BSSID 3 - BYOD zone - (no access to internal LAN) - VLAN 1050

    OK - so to me this seems reasonable, and should work. Concur?
    Connecting to UTM -

    I think I have two options here -

    Option 1) Add another Intel NIC to the VMware host, define a new interface in the UTM, and dedicate that interface to the EAP600. The VLANs would have to be configured in the UTM and in VMware networking. DHCP and access rules for the VLANs would have to be setup. The DLink unmanaged switch would stay on the Internal /LAN interface.

    Options 2) Purchase a small VLAN capable switch like the Netgear GS105E, plug both the DLink unmanaged switch and the EAP600 into it and configure one trunk port to plug into the internal LAN port of the VMware host. 

    ** There has to be 'Windows/Netbios' connectivity between the unmanaged DLink and the EAP600. **

    I would appreciate any comments, suggestions, caveats, etc.

    Thanks for taking the time to read all this.

    Mike
Children
No Data
Unfiltered HTML