Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 3921 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Access control (802.1x) on RED LAN ports?

isenberg_01
For deploying a RED to a remote office I want to add access control to the 4 LAN ports on the RED. DHCP with static mapping and MAC address white or blacklist are the options I'm seeing.

Though those are not usable for my use case as some AP30 or AP50 should be connected to those LAN ports in mode "Bridge to AP LAN", i.e. using the DHCP server on the RED LAN ports which therefore has to be set to dynamic mapping  if you don't want to add every WLAN client manually. "Bridge to AP LAN" is needed and not "Separate Zone" as the location is connected with large latency and slow link to the central UTM.

Is there any other practical solution except for deploying a UTM 120 instead of the RED?


This thread was automatically locked due to age.
Parents
  • 0
    no separate room for the hardware to lock them up

    I can't think of a way to limit access without using a firewall rule that allows only certain wired hosts by MAC address.  I don't see how having a 120 on site would change this requirement.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    I don't see how having a 120 on site would change this requirement.


    It would change indirectly: With the UTM on the remote site, I can use "Separate Zone" for the wireless setting as the wireless packet routing then is managed by the local UTM and not send back via the long latency link. And with "Separate Zone" the local LAN port can be completely limited to only the Accesspoint managing address 1.2.3.4 and static DHCP reservations for the Accesspoints, so nothing else can use the LAN port then.

    The remote site is using wireless only for the clients, no local wired Ethernet.
Reply
  • 0 in reply to BAlfson
    I don't see how having a 120 on site would change this requirement.


    It would change indirectly: With the UTM on the remote site, I can use "Separate Zone" for the wireless setting as the wireless packet routing then is managed by the local UTM and not send back via the long latency link. And with "Separate Zone" the local LAN port can be completely limited to only the Accesspoint managing address 1.2.3.4 and static DHCP reservations for the Accesspoints, so nothing else can use the LAN port then.

    The remote site is using wireless only for the clients, no local wired Ethernet.
Children
No Data
Unfiltered HTML