Thread Info
  • Locked Locked
  • Replies 30 replies
  • Subscribers 6 subscribers
  • Views 110660 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

FAQ / HOWTO: using a Wireless Router with the UTM

BarryG

This is mainly for home users, as I don't recommend using consumer-grade wireless equipment for more than a few users; the Sophos APs are great for larger networks.

If you have a wireless router you want to convert to use as an Access Point with Astaro:

1. decide if you want the wireless network to be part of your LAN, or a new network/DMZ.
If a new network, setup a new interface (or use a VLAN) on the UTM.
Setup the UTM's DHCP & DNS server for the network, and configure Masquerading, firewall rules, desired proxies, etc.

2. tape over the WAN port on the router to avoid creating a double-NAT and other problems

3. change the management IP on the router to an IP on the same network as the LAN or DMZ interface on the firewall.
e.g. if the firewall is 192.168.1.1, set the router to 192.168.1.2

4. disable DHCP on the router

5. plug one of the router's LAN ports into the firewall.

That's it!

Notes: If the router is on a new LAN or DMZ, you won't be able to access it's management interface from another LAN unless you create an SNAT:
Source: LAN (Network) , Service:HTTP or HTTPS, Dest: Router's management IP, Source translation: DMZ (ADDRESS)
If you don't understand this, just remember to connect to the router on wifi or one of the router's LAN ports if you want to manage it.

Advanced topics:
a. Some consumer routers support VLANs and multiple SSIDs natively, or with DDWRT. See https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/21666 for some configuration options.

b. The UTM has a 'HotSpot' mode, in the Wireless Security settings; this can be used with any LAN or DMZ; it doesn't have to be a Sophos AP.


If you have corrections or additions to this information, please post here.
If you have general wireless questions, please start a new thread.

Barry



This thread was automatically locked due to age.
  • I might be taking this off track.  I have my own ubiquiti ap i want to use...or i have a potential client who already has heavily invested in another party ap.  How would i setup the utm to present a page that says blah blah blah you have to agree to these terms and they click agree button or whatever and then they are online?

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • @William:  Hotspot with terms of use on the UTM.  The APs would have to be connected on their own interface.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • yeppers..i would do exactly that..[:)]  I already have the interface ready to go even labeled it wifi just trying to figure out how to make that page popup.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • Thanks for all of the good work on this matter. My kids are very happy and that makes me happy. Thanks.
  • I'm still trying to wrap my head around the AP configuration, well let me just talk through it so it makes some sense (I hope)...

    I have Sophos running on a machine with two Realtek NIC's serving of course WAN and LAN.  One of my APs (ASUS RT-AC68W Router turned AP) and it's of course on my LAN at IP 192.168.1.2.  All things work great right now however shortly I will have some long term guests (son and his entire family, he's being medically retired out of the Army due to combat related injuries, stuff that we never had on the submarines when I was in the silent service) and I'd like to put them on a separate IP address of say 192.168.2.x.  And I even have a third router if needed to make a kid safe network setup however I believe they all use the same computers/cellphone/tablets so the second AP would be fine.  Of course, if I can do all this with my ASUS router, I'm all for it.

    So I though I had read that if I have a third NIC port that I could hook up either the same AP or a second AP to this third NIC and manage the network that way.  After reading this thread I'm not so sure.

    Ether way I just purchased a pair of Intel dual NIC cards for which I was going to add one to my machine and call those ports WAN and LAN and offload the NIC work from the CPU.  I was going to re-purpose the MB NIC to be dedicated to my AP or second AP.

    If I need to start another thread, just beat me about the head and shoulders and I'll comply.

    Thanks,
    -Mark
  • You're right in what you've read altough I don't really see a question in you post.
    Suppose that after you place the new NIC you have a total of 3 (or 4) nic's.
    1 for your own LAN, 1 for WAN and 1 or 2 for guest/kids network(s).
    That is a good starting point and you may not need another router to achieve this since the UTM is perfectly capable for this. You do need to put an eye on your total number of protected IP-addresses which for a home version (I suppose you're using that) is 50.

    You need to add at least masquerading rules for NIC's 3 and 4 and you need to be aware that if you use web protection on those networks as well as on your own LAN that you need to configure web protection (and not just the firewall) to prevent guests from accessing your LAN devices with an incorporated web server (eg. printers and maybe also your access point if you leave it in your own LAN)

    If you have any more questions then please ask them. And you should actually make new threads for every question so that each thread remains clear and just has to handle one question.

    Managing several Sophos firewalls both at work and at some home locations, dedicated to continuously improve IT-security and feeling well helping others with their IT-security challenges.

  • in reply to apijnappels
    You're right in what you've read altough I don't really see a question in you post.
    Suppose that after you place the new NIC you have a total of 3 (or 4) nic's.
    1 for your own LAN, 1 for WAN and 1 or 2 for guest/kids network(s).
    That is a good starting point and you may not need another router to achieve this since the UTM is perfectly capable for this. You do need to put an eye on your total number of protected IP-addresses which for a home version (I suppose you're using that) is 50.

    You need to add at least masquerading rules for NIC's 3 and 4 and you need to be aware that if you use web protection on those networks as well as on your own LAN that you need to configure web protection (and not just the firewall) to prevent guests from accessing your LAN devices with an incorporated web server (eg. printers and maybe also your access point if you leave it in your own LAN)

    If you have any more questions then please ask them. And you should actually make new threads for every question so that each thread remains clear and just has to handle one question.

    Thanks for the response.  I'll open up another thread either later today or tomorrow asking my question clearer.  I should have said can I manage my AP via Sophos or is Sophos only capable of managing one of their AP's?  I'm certain I can achieve my end goal but it would be nice to only use one AP for two different networks (192.168.1.x & 192.168.2.x) depending on which SSID they log in under.  I don't feel that is possible so I'm likely to just add a second router/AP and have that configured to the second IP range.

    As I said, I'll ask it in a new thread, thanks for slapping me around [:D]
  • After connecting my ddwrt router as directed above, the Wireless computers and devices work just fine.
    But none of the devices (MagicJack and Another computer) connected using the ethernet ports on the router are working. Any ideas on how to fix this? THanks.

  • Dear Barry,

     

    Thank you for providing all steps.

     

    If possible, can you please provide screen-shots of above steps, if not then only provide Sophos XG firewall rules screen-shots which need to be created for traffic pass. As I need to deploy on my customer end. Customer wants to configure TP-LINK wireless router with Sophos XG Firewall, and want to control traffic through Sophos XG Firewall.

    Thank you in advance :)

     

    Regards,

    Kashif

  • in reply to Kashif Kamal

    Kashif, we haven't seen Barry around for over a year.  Since this is a question about XG, you will have more luck posting in a forum in that community.

    Cheers - Bob

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML