Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 26 replies
  • Subscribers 5 subscribers
  • Views 67510 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Eigenen AP (Raspberry Pi 3) durch Sophos UTM schützen (Update: Sophos UTM und FB 7490 - So gehts)

Chris -

Moin moin!

Ich steh gerade auf der Leitung und brauche dringend Hilfe. Die Suche hab ich mehrfach bemüht, bin aber leider nicht wirklich schlauer geworden.


Vielleicht zunächst kurz, was ich vor habe:


Fritz!Box 7490 --> (WAN) --> UTM --> (LAN) --> Switch mit Desktop-PC, NAS, Raspberry Pi 3 als AP

Mein grundsätzliches Problem war und ist, dass ich auf die Fritzbox wegen VoIP-Telefonie nicht verzichten kann. Daher war meine Idee, einfach alle relevanten Geräte hinter die UTM (welche wiederum hinter der FB hängt) zu klemmen. Von meinem laienhaften Verständnis her müssten die "bösen Buben" dann erst mal durch die Fritzbox und dann noch durch die UTM. Das heisst aber konsequenterweise auch, dass ich die FB nicht länger als W-Lan Router benutzen kann, sondern hinter der UTM einen Access Point einrichten muss.

Mit ist klar, dass die einfachste Lösung ein AP aus dem Hause Sophos wäre (soweit kam ich schon mal durch die Suche), allerdings ist mir das im Moment zu teuer. Daher, als eingefleischter Maker, dacht ich mir, bau ich mir selbst einen: https://frillip.com/using-your-raspberry-pi-3-as-a-wifi-access-point-with-hostapd/

Kurzum:
Mein Raspberry fungiert aktuell als AP und verteilt fleissig im eigenen Netz IPs via DHCP. Dank NAT von wlan0 auf eth0 funktioniert das hinter der UTM prima. eth0 hat eine IP aus dem DHCP-Pool des internen Interfaces der UTM, wlan0 eine eigene in einem neuen Subnetz.

Das heisst aber auch, dass in der UTM nur eth0 des AP als neues Gerät auftaucht, nicht aber die mit dem AP verbundenen Geräte. Und genau das ist das Problem.

Wie genau muss ich die UTM bzw. meinen AP konfigurieren, damit ich die mit dem AP verbundenen Geräte mit eigenen Filtern versorgen kann (so möchte ich z.B., dass meine IoTs nur an eine IP funken dürfen, aber das Smartphone der Freundin alles darf) und sich gleichzeitig die ganze Chose in einem separaten Netz abspielt (damit die bösen Buben nicht mein WPA2 hacken und dann gleich in meinem LAN sind).

Geht das überhaupt?

Vielen Dank für eure Zeit vorab,

ein frustrierter Bastler



This thread was automatically locked due to age.
  • 0 in reply to Chris -

    Hi Chris,

    mit diesen Masquerading Regeln brauchst Du keine Route setzen. Gesagt hast Du es falsch, aber richtig konfiguriert, die Route darf nicht zur secondary IP zeigen, denn die würde die Fritzbox ja nicht kennen. Screenshot meiner Masquerading Regeln erübrigt sich, da hat es keine ;-)

    In Deiner Config ist nun aber entweder die Route oder aber der zweite Masquerading Eintrag unnötig, beides brauchst Du nicht, entweder eine Route oder Masquerading für das jeweilige Netz.

    Gruß / Regards,

    Kevin
    Sophos CE/CA (XG+UTM), Gold Partner

  • 0 in reply to Chris -

    Hi Chris,

    wie Dir Kevin schon sagte, Du musst das mit dem Routing nicht machen und kannst es beim Masquerading belassen.

    Das führt halt zum DoppelNAT. Das ist nicht schlimm, kann aber in machen Konstellationen zu Problemen führen. Darum hat Kevin die Möglichkeit aufgezeigt das DoppelNAT zu umgehen. Der Aufwand ist nicht groß.

    cu
    Walter

  • 0 in reply to wk

    Etz hab ichs kaputt gemacht :)

     

    Wer will schon doppeltes NAT, also ich nicht...gesagt, getan. Erst mal die Routen in der FB angepasst:

    10.10.10.0 -> Secondary IP/Netz fürs W-Lan

    192.168.2.0 -> Internes Netz (LAN hinter der UTM; Internal)

    192.168.178.22 -> External WAN an der UTM (also FB -> UTM)

     

    Den Exposed Host gelassen wie er ist:

     

    Danach sämtliches Masquerading in der UTM abgeschalten. Zunächst ging alles...bis mir aufgefallen ist, dass meine beiden Squeezeboxen (Logitech Internet Radio) plötzlich nicht mehr wollen.

    Die Ursache glaube ich bereits gefunden zu haben:

    2017:03:06-21:52:10 firew_chris dhcpd: DHCPRELEASE of 10.10.10.28 from 00:XX:XX:XX:XX:XX via eth1 (not found)
    2017:03:06-21:52:17 firew_chris dhcpd: uid lease 10.10.10.12 for client 00:XX:XX:XX:XX:XX is duplicate on REF_IntEthExternaWan
    2017:03:06-21:52:17 firew_chris dhcpd: DHCPDISCOVER from 00:XX:XX:XX:XX:XX via eth1
    2017:03:06-21:52:17 firew_chris dhcpd: DHCPOFFER on 10.10.10.28 to 00:XX:XX:XX:XX:XX via eth1
    2017:03:06-21:52:17 firew_chris dhcpd: uid lease 10.10.10.12 for client 00:XX:XX:XX:XX:XX is duplicate on REF_IntEthExternaWan
    2017:03:06-21:52:17 firew_chris dhcpd: DHCPREQUEST for 10.10.10.28 (192.168.178.22) from 000:XX:XX:XX:XX:XX via eth1
    2017:03:06-21:52:17 firew_chris dhcpd: DHCPACK on 10.10.10.28 to 00:XX:XX:XX:XX:XX via eth1
    Die MAC hab ich entfremdet, ist jedes mal die Gleiche. Soweit ich diesen Log-Auszug des DHCP verstehe, konkurrieren hier zwei IPs um eine MAC. Die 10.10.10.28 ist die gewollte, via Static Mapping der Mac-Adresse zugewiesen und auch außerhalb des DHCP-Scopes. Woher die 10.10.10.12 kommt ist mir ein Rätsel (kommt aus dem DHCP-Pool). Gleiches Problem bei beiden Radios.
     
    Keine Ahnung, was das mit den neuen Routings zu tun haben könnte, aber diese waren nunmal die letzte Änderung an der UTM bevor an den Radios nix mehr ging. Ansonsten gabs nur noch nen kleines Firmware-Update vor ein paar Tagen.
     
    Hilfe!?! :)
     
    Gruß und vielen Dank
     
    Chris
  • 0 in reply to Chris -

    Hi Chris,

    die Routen passen soweit, daran sollte es nicht scheitern. Die Sophos ist allerdings gerne etwas zickiger bei DHCP-Leases.

    Probier mal, deine Statischen Reservierungen noch mal zu löschen und stell dann den DHCP-Bereich für Dein WLAN so ein, dass Anfang und Ende identisch sind. Dadurch löschst Du alle Leases raus, löschen einzelner unterstützt der DHCP-Server leide noch nicht. Nach dem Speichern der Änderung gleich wieder bearbeiten und die alten Werte einstellen.

    Gruß / Regards,

    Kevin
    Sophos CE/CA (XG+UTM), Gold Partner

  • 0 in reply to kerobra_retired

    Danke dir Kevin! Leider deinen Post ein paar Minuten zu spät gelesen:

    Nachdem die beiden Radios ausgefallen waren, quittierte auch noch der Chromecast die Arbeit. Hiernach habe ich mal alle Schritte rückwärts gemacht: Routen gelöscht und Masquerading wieder angeschmissen. Geht jetzt wieder alles.

    Werde dein Vorgehen die Tage testen, wenn die Göttergattin gerade keine Musik im Badezimmer braucht :).

  • 0 in reply to Chris -

    Hast Du in der Konstellation auch einen Web Proxy aktiviert gehabt?

    Den würde ich zuerst mal ausschalten und erst, wenn  es grundsätzlich klappt wieder aktivieren.

    Interessant wäre auch, ob nur DNS nicht will und ob z.B. ein Ping auf eine externe IP wie 8.8.8.8 dennoch funktioniert. FQDN zu 8.8.8.8 ist google-public-dns-a.google.com für die Gegenprobe. Ping muss dann natürlich firewalltechnisch auch raus dürfen.

    Gruß / Regards,

    Kevin
    Sophos CE/CA (XG+UTM), Gold Partner

Unfiltered HTML