Working with a Wireless Separate Zone

Have you allowed the WLan separate zone to access the main network through the firewall for the specific services needed?

If you only need access to the AD server and the file stores, a Firewall rule for the network of the wireless for the service group trying to get to the IP of the server should be enough if you don't want them accessing any of the other devices on the main network.

I have a rule set for Internal and StudentZone -> any -> StudentsZone and Internal.  Would that not cover it?

That should cover it. When you're trying to connect through, have a Firewall livelog open to see if the traffic is getting through or being blocked. If it's being allowed to get to the server then it may be being blocked from the server end if it only allows connections from a specific ip network.

Also, if you're just allowing the connection completely between the two networks why not Bridge to AP Lan instead of Separate Zone? Unless you're wanting to restrict the level of internet access they have.

Just ran the live log on the firewall and the activity was exactly through the rule I mentioned and it was all green. No errors at all while I was trying to map the drive. Stumped.

I have a student web filter profile setup. All the students get on via WIFI, so I have their own dedicated Wifi set up as a separate zone. Right now the students are often having to log on through their browser portal multiple times per session. Very annoying.

The teachers have their own non-restricted WIFI. So I've got two levels of filtering. The student WIFI only allows whitelisted MAC addresses - So I know who's on with which device and can lock them out by device if I need.

I have a third level of devices that I'm trying to set up.  I have a number of wifi machines that are for student use.  I would like to have them on their own Wireless Network, and that there would be a web filter policy tied to that network. But, so far I haven't figured out how to do that.

Marvin

A problem I'm wrestling with is that a test set up was masquerade NAT-ing connections to an FTP server as an external address rather than the internal. So the response from the FTP server was targeted to the external address because of the NAT rather the internal address. Are the packets from the device on the wireless network hitting the firewall with their internal or the external address?

I'm really confused by this thread.

Marvin, are you talking about Wireless Protection using Sophos Access Points or something else?

E.B., if you needed a masq rule on a LAN port, then there's a mis-configuration somewhere.  Check #3 in Rulz.  Or, is this an issue related to Accessing Internal or DMZ Webserver from Internal Network?

Cheers - Bob

E.B., if you needed a masq rule on a LAN port, then there's a mis-configuration somewhere.  Check #3 in Rulz.  Or, is this an issue related to Accessing Internal or DMZ Webserver from Internal Network?

It's a masq rule for external IP access but seems to firing on internal IPs, possibly unrelated but worth checking out. If I send an FTP request to the internal IP from an internal address it gets masqued as the external and the connection breaks because the reply never gets back to the requester.

I'm really confused by this thread.

Marvin, are you talking about Wireless Protection using Sophos Access Points or something else?

Cheers - Bob

Yes.  School setting.  New UTM this summer.  Replaced all our routers in the school with Sophos Access Points. I have a largely unfiltered bridged to AP Lan wireless network for the teachers.  And I can map drives and make machines clients to the Windows server without problem.

The students have their own wireless network on a separate zone. I've whitelisted their MAC addresses and forced them all to log in with their Active directory log-ins to surf. Their zone is quite filtered. From this wireless connection, I can't map a drive to the server, nor can I make a machine a client on the network. Both processes error.

Mapping a drive error: "The mapped network drive
could not be created because the following error has occurred: The specified network name is not longer available."

Making a client  error: "An Active Directory Domain Controller (AD DC) for the domain "morweenaschool.org" could not be contacted. ..."

Does that make sense? I hope I'm explaining it clearly.

I can ping the server by IP an Name from within the student zone, so I can see it... 

The whole setup process has been quite an evolution.  I was under the impression before we bought, that I would be able to mange students via their MAC addresses.  Turns out that this is not the case, just manage them with a single big list that I reference with a spread sheet. So I've got this layered approach right now.  I'm sure someone who understood the UTM 
would be able to tell me what I really should be doing.

Marvin

OK, I'm getting the picture now, Marvin.  Check the other Live Logs listed in #1 in Rulz.

If there's nothing in any of those, check the firewall settings in your DC to be certain that it's not blocking the new wireless subnet.

Cheers - Bob