Thread Info
  • Locked Locked
  • Replies 30 replies
  • Subscribers 5 subscribers
  • Views 109695 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

FAQ / HOWTO: using a Wireless Router with the UTM

BarryG

This is mainly for home users, as I don't recommend using consumer-grade wireless equipment for more than a few users; the Sophos APs are great for larger networks.

If you have a wireless router you want to convert to use as an Access Point with Astaro:

1. decide if you want the wireless network to be part of your LAN, or a new network/DMZ.
If a new network, setup a new interface (or use a VLAN) on the UTM.
Setup the UTM's DHCP & DNS server for the network, and configure Masquerading, firewall rules, desired proxies, etc.

2. tape over the WAN port on the router to avoid creating a double-NAT and other problems

3. change the management IP on the router to an IP on the same network as the LAN or DMZ interface on the firewall.
e.g. if the firewall is 192.168.1.1, set the router to 192.168.1.2

4. disable DHCP on the router

5. plug one of the router's LAN ports into the firewall.

That's it!

Notes: If the router is on a new LAN or DMZ, you won't be able to access it's management interface from another LAN unless you create an SNAT:
Source: LAN (Network) , Service:HTTP or HTTPS, Dest: Router's management IP, Source translation: DMZ (ADDRESS)
If you don't understand this, just remember to connect to the router on wifi or one of the router's LAN ports if you want to manage it.

Advanced topics:
a. Some consumer routers support VLANs and multiple SSIDs natively, or with DDWRT. See https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/21666 for some configuration options.

b. The UTM has a 'HotSpot' mode, in the Wireless Security settings; this can be used with any LAN or DMZ; it doesn't have to be a Sophos AP.


If you have corrections or additions to this information, please post here.
If you have general wireless questions, please start a new thread.

Barry



This thread was automatically locked due to age.
  • wndap 350 and wndap 360 are two of Netgear's AP's that do support VLAN's. You can use a relatively cheap Netgear GS108E switch to do the VLAN-part if your main switch doesn't support it.

    Managing several Sophos firewalls both at work and at some home locations, dedicated to continuously improve IT-security and feeling well helping others with their IT-security challenges.

  • For WiFi access, I use an Asus RT-N16 router that has been flash upgraded to the latest TomatoUSB firmware by Toastman.

    Since I use it only as a WiFi access point, NAS server (it has a WD 1 TB Elements drive attached to the USB port) and as a Gigabit Ethernet switch, I have it configured exactly as BarryG described in his opening post.
    This has been my WiFI AP and utility NAS setup for the past 3 years.
    I like the three antenna diversity setup on the RT-N16 unit, and I also like its sub $100 price point.
    For friends of mine who were not interested in having an ASG or UTM box for their routing and firewalling, I have set up RT-N16 routers reflashed with TomatoUSB as their all-in-one Router, WiFi and NAS solution.

    However, it would be very interesting to have available a firmware image that could turn an inexpensive and commonly available router, such as the Asus RT-N16 or the Linksys WRT54G into a UTM compliant access point.
    But I realize there would be a very limited market for it, basically just us techies with the UTM home licenses who are too cheap to buy a Sophos access point device at their much higher hardware price.
    It wouldn't make sense for Sophos to undercut their WiFi hardware sales.
  • Hi guys,

    I'd like to update this thread and ask for your assistance so I can move this issue forward.

    Summary -

    The customer had a Netgear WNDR3800 router connected to a Bell modem (external /WAN) and an unmanaged DLink switch (internal /LAN) for hardwired PCs and printers. There were four wireless zones on the WNDR3800: two Production (2.4Ghz&5.0Ghz) with LAN access, and two Guest (2.4Ghz&5.0Ghz). The Guest zones had no access to the internal LAN, only to the internet.

    I replaced the WNDR3800 with an Astaro/Sophos UTM9 software appliance running as a VM on ESXi5.5. There are two Intel GT1000 NICs in the VMware host, which are mapped to the WAN and LAN interfaces on the UTM9 - no issues, works perfectly. 
    The WNDR3800 was moved 'inside' by plugging it into the unmanaged DLink switch. The one deal-breaking consequence of this was that the Guest zones on the WNDR3800 no longer had internet access.  

    Update -

    After six weeks of emails and phone calls with Netgear support, their position is that the WNDR3800 with the latest firmware and configured for AP mode supports having the four zones operational and able to access the internet, but only if the Guest zones are setup to access the local network (LAN). This is a non-starter for me. My idea of a Guest zone is no local network access, internet only. So the WNDR3800 becomes useless in this deployment. n.b. I could probably make it work by flashing it with DD-WRT or Tomato, but don't have the cycles or inclination at this time.

    Moving forward -

    I researched the features and issues history of a number of WAPS, and purchased an Amped Wireless AP20000G as it appeared to have all the features I needed. It was deployed but had the the same problem as the WNDR3800, the Guest zones were automatically configured to access the local network with no way to disable this - so, back to the store it goes. In addition, the wireless clients were regularly getting dropped and then reconnecting, unacceptable performance. 

    More research - decided the Engenius EAP600 looks like it will do everything required. Here's where I'm asking for your input/assistance. 

    There appears to be a couple of ways I can integrate the EAP600...

    The EAP600 is a simultaneous dual-band Gige WAP, with 8 BSSIDs per radio, which can be individually mapped to VLANs. So, regarding the BSSIDs and VLANs, my thought is as follows:

    1) Management VLAN - untagged
    2) 2.4Ghz BSSID 1 - production zone - (access to internal LAN) - untagged
    3) 5.0Ghz BSSID 1  - production zone - (access to internal LAN) - untagged
    4) 2.4Ghz BSSID 2 - Guest zone - (no access to internal LAN) - VLAN 24
    5) 5.0Ghz BSSID 2 - Guest zone - (no access to internal LAN) - VLAN 50
    6) 2.4Ghz BSSID 3 - BYOD zone - (no access to internal LAN) - VLAN 1024
    7) 5.0Ghz BSSID 3 - BYOD zone - (no access to internal LAN) - VLAN 1050

    OK - so to me this seems reasonable, and should work. Concur?
    Connecting to UTM -

    I think I have two options here -

    Option 1) Add another Intel NIC to the VMware host, define a new interface in the UTM, and dedicate that interface to the EAP600. The VLANs would have to be configured in the UTM and in VMware networking. DHCP and access rules for the VLANs would have to be setup. The DLink unmanaged switch would stay on the Internal /LAN interface.

    Options 2) Purchase a small VLAN capable switch like the Netgear GS105E, plug both the DLink unmanaged switch and the EAP600 into it and configure one trunk port to plug into the internal LAN port of the VMware host. 

    ** There has to be 'Windows/Netbios' connectivity between the unmanaged DLink and the EAP600. **

    I would appreciate any comments, suggestions, caveats, etc.

    Thanks for taking the time to read all this.

    Mike
  • Hi,

    Either option 1 or 2 should work.

    You should tell VMWare to pass the VLAN tags to the UTM.

    For option 2, you'll need to delete the existing Internal interface in the UTM and re-create it as a VLAN interface.
    You can create a new management interface first if you don't have one already.
    The management interface should not be on the new VLAN switch during initial configuration.

    Which VLAN will the DLink be on? The production/Internal? If so, I think it should work if you connect it to a tagged port on the new VLAN switch.
    It might not work as well with option 1 though.

    Barry
  • Hi BarryG,

    Thanks for your response.
    I'm leaning towards option 1.
    I wouldn't change anything on the existing Internal / LAN NIC/Interface where the DLink is currently connected.

    Anything else I should look out for?

    Thanks,

    Mike
  • Hi,

    With option 1, you'd have to create a new VLAN for 'production/internal' and bridge it to the current network.
    I think that'd work out OK for NetBios (SMB/CIFS), but I have had some trouble with uPnP and other broadcast protocols.

    If it were me, I'd probably add a management interface and do option 2.

    Barry
  • Hi again - 

    I've purchased the EAP600 and a Cisco SG200-8P switch in order to implement option 2.

    Prior to rolling this solution out at the clients site, I wanted to set it up on my home UTM which is very similar to the clients setup. I setup the EAP 600 and the Cisco switch (correctly, I hope) and connected them in to my home UTM and then changed the LAN interface to an Ethernet VLAN.

    I thought I had a pretty good handle on how to make this work from the various postings in this site - obviously not. Nothing is working the way I would expect.

    If I post the details of what I've done, could I ask for some guidance and assistance to get everything working?

    Thanks,

    Mike
  • Hey Mike,

    If you wanted to start another thread about your issue, I have some experience with the EAP family, VLAN switching, and the UTM so may be of some help.
  • Thanks.

    I might not want to go to DD-WRT or Tomato at present though. This was a great help all the same
Unfiltered HTML