Help us enhance your Sophos Community experience. Share your thoughts in our Sophos Community survey.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

RED15w Access Point not showing up as pending access point

Hi

We use 8 RED15w  for roadwarriors. We run the RED's in Standard/Unified mode, bridged to the LAN in the same IP Segment.

Users behind the RED can connect to all resources in the LAN Segment, DHCP and DNS are working fine.

But the only thing is, the RED15w will not be recognized as Access Points in Wireless Protection as pending Access Points.

The existing AP55C AP's are working fine.

Wireless Networks (3) are setup with Algorithm AES, one is bridged to LAN and the others are in separate segments.

Any idea why?

Thank you and best regards Markus



This thread was automatically locked due to age.
  • Same Problem here, with DHCP Relay:

    Solution: https://community.sophos.com/kb/de-de/119131

    Example: Configuration of DHCP option 234 on Windows Server 2008

    1. Logon to your Windows Server 2008 and open the DHCP configuration.
    2. Select the applicable DHCP server in the tree and click on "Predefined Options"
    3. Now click on "Add" 
    4. Provide the following information:
      Name:<freely selectable>
      data type: IP address
      Code: 234
    5. Click OK
    6. Now select the newly added option in the list above and add the IP address of the interface where the AP is connected to(192.168.205.2 in our example)
    7. Then right-click on "Server Options" and select "Configure options"
    8. Now tick the option 234 and click on Apply to activate the option for your server
  • After some digging and googling, i found a solution for this problem. Thank you Stefan for pointing me in the right direction.

    The problem was the DHCP option 234 and the Magic IP broadcast (TCP 2712).

    Here are the configuration details (sorry but in german) [:D]


    Sophos SG UTM – RED15w als Bridge Device einrichten, inkl. Wireless.

    Von Bytecom 13.09.2016

    Bei der Verwendung von Sophos RED15w im selben LAN Segment gibt es einige speziellen Konfigurationseinstellungen die beachtet werden müssen. Dies betrifft, neben dem korrekten Bridging, auch die Freischaltung der Magic IP für die Access Points der RED15w.

    Anforderungen:

    • Sophos UTM 9.4x,
    • DHCP Server mit gültigem und aktivem Bereich im entsprechenden LAN Segment.
    • RED15w Devices

    Quellen:

     

    Schritt 1) In der Sophos UTM RED Management aktivieren

    Schritt 2) Daten korrekt ausfüllen

    Schritt 3) RED manuell hinzufügen und nicht mittels „Server Deployment Helper“

    Folge Daten ausfüllen:

    • Branch Name: z.b. welche Außenstelle
    • Client Type: Welcher Typ RED (z.b. RED 15w)
    • RED ID: Seriennummer der RED
    • Tunnl ID: Automatic
    • Unlock Code: Wird nur benötigt falls die RED schon einmal konfiguriert wurde. Falls es sich um eine neue RED handel bleibt das Feld leer.
    • UTM Hostname: Name (z.b. remote.demo.ch) der Sophos UTM oder IP-Adresse. Muss von extern übers Internet erreichbar sein. Keine interne IP!
    • Uplink Mode: Wie soll sich die RED verhalten, in unserem Fall Standard / Unified.

    Schritt 4) Unlock Code notieren! Ansonsten kann die RED nicht mehr auf einer anderen Sophos UTM neu konfiguriert werden.

    Schritt 5) Geduld haben!!! Die RED kommuniziert nun mit der Sophos UTM und konfiguriert sich. Sollte z.b. ein Firmware Update anstehen erledigt die Sophos UTM dies automatisch. Nicht wundern, wenn die RED einige Male neu startet. Auf der RED sollten nach einigen Minuten folgende Lampen konstant grün leuchten: Power, System, Router, Internet und Tunnel.

    Schritt 6) RED und Internes Netzwerk verknüpfen (Bridge erstellen). Unter „Interface & Routing“ –> „Interfaces“ das interne Netzwerk editieren. Das interne Netzwerk wird meist mit „Internal“ bezeichnet.

    Bei „Type“ den Netzwerktyp „Ethernet Bridge“ auswählen und beide Schnittstellen (eth0 und alle mit reds bezeichneten Schnittstellen) aktivieren. Unter „Advanced Bridge“ den Punk „Allow ARP broadcasts“ aktivieren. Mit „Save“ das ganze speichern.

    Schritt 7) Firewall-Regeln und Definitionen erstellen! Damit die DHCP-Anfragen von der Bridge weitergeleitet werden, muss man die Paketfilterregeln anpassen. Beim DHCP-Request wird folgendes Paket erzeugt: Source: 0.0.0.0 Source-Port: 68 Destination: 255.255.255.255 Destination-Port: 67.

    Eine weitere, wichtige Regel für das Magic IP Packet (Auffinden des WLAN Controllers durch die RED Access Points) muss zusätzlich erstellt werden (TCP 2712).

    Neue Netzwerk-Definition anlegen:

    • Name:              any internal
    • Type:               Network
    • IP V4 Address: 0.0.0.0
    • Netmask:         0.0.0.0
    • Name:              Broadcast all
    • Type:               Network
    • IP V4 Address: 255.255.255.255
    • Netmask:         32/255.255.255.255

    Service Definition erstellen:

    • Name:                          DHCP
    • Type:                           UDP
    • Destination Port:         67:68
    • Source Port:                 67:68
    • Name:                         MagicIP
    • Type:                           TCP
    • Destination Port:         2712
    • Source Port:                 1:65535

    Firewall Regeln hinzufügen:

    • Name:              RED Bridge Broadcast
    • Position:          tbd
    • Sources:           any internal
    • Services:          DHCP und MagicIP
    • Destination:     Broadcast
    • Action:             Allow

    Für die weitere interne Kommunikation zwischen Außenstelle und Zentrale muss man nun noch weitere benötigte Regeln anlegen z.B. im Windows-Netzwerk:

    • Name:              RED Bridge Traffic
    • Position:          tbd
    • Sources:           internal(Network)
    • Services:          z.b Windows Network, HTTPS oder any je nach Bedarf.
    • Destination:     internal(Network)
    • Action:             Allow

    Regeln noch aktivieren!!!

    Schritt 8) Nun muss der RED über DHCP noch mitgeteilt werden, wo genau sie der WLAN Controller (UTM) befindet. Sobald ein Sophos Accesspoint am Netzwerk angeschlossen wird, versucht er Kontakt mit der Sophos UTM aufzunehmen. Dazu schickt er eine Anfrage an die Adresse 1.2.3.4 über den TCP Port 2712. Da die Adresse 1.2.3.4 im internen Netzwerk nicht existiert, wird sie weiter nach “draussen” geroutet, bis beim Übergang zum Internet die Sophos UTM als Firewall und Gateway die Abfrage selber bearbeitet, statt weiter ins Internet zu leiten.

    Falls es hier aufgrund von Routern oder VLAN’s zu Problemen kommt, da sie selber als Gateway funktionieren, kann sich der RED Access Point nicht an der UTM registrieren.

    Sofern ein Windows Server das Netzwerk mit IP Adressen versorgt, kann man dort die Serveroption 234 erstellen und entsprechend konfigurieren. Diese Option teilt dem DHCP Client mit, wo sich der WLAN Controller befindet. (community.sophos.com/.../56424)

    Dazu im Windows DHCP Manager, eine Vordefinierte Option erstellen: (DHCP Server Name, rechte Maustaste, Vordefinierte Optionen erstellen…)

    • Klasse:             Global
    • Name:              z.b AP Sophos
    • Datentyp:         IP-Adresse
    • Code:               234
    • Beschreibung:  AP zu UTM

     

    Mit OK bestätigen, auf der nächsten Maske:

     

    • Optionsklasse: DHCP Standard Options
    • Optionsname:  234 AP zu UTM

     

    Mit OK bestätigen.

    Nun nur noch in der für den AP gültigen DHCP Bereich eine Bereichsoption erstellen.

    • 234 AP zu UTM auswählen und unter IP Adresse die interne IP der UTM eintragen.

     

    Sobald sich die RED’s beim nächsten DHCP Handshake beim DHCP melden, bekommen sie diese Option mit und finden auch die UTM im Netzwerk.

    Die RED kann nun am Zielort eingesetzt werden. Am Zielort muss sich bereits ein Internetrouter befinden. Die RED muss dort per DHCP eine IP-Adresse und Default Gateway erhalten, damit sich die RED zum RED Provisioning Service (RPS) verbinden kann und von diesem die Config bezieht. Nach dem Erhalt der Config startet die RED neu und verbindet sich zur UTM. Die RED Kommunikation läuft über TCP/UDP Port 3400.

  • Same here.

    I got this already to work.

    But after some testings, the RED15w lost the AP. It switched from active to inactive and i did not find a way to reactivate it.

    So i decided to delete the RED15w in the SG 550 including all interfaces, SSIDs, Rules,... i have configured earlier.

    When i re-add the RED15w, everything works like it used to - except of the wireless part. The RED15w is not in the list of Pending APs.

  • This is not an answer to the initial questions 

  • to understand you right, RED15w is running fine, but you're also do not see the RED's AP in den Controller as pending AP?

    Do you run the RED in bridge mode?

  • I saw it in the past. But somehow, it changed to inactive one day and i did not get it back to active.
    First i tried to delete the access point and restarted the RED15w. But the AP wasn't showing up again.
    So i decided to completly remove my RED15w configuration including interfaces, SSIDs, rules, etc.

    After adding the RED15w again, the SG 550 is still not showing any pending access points. 

    The RED15w is sitting behind a cable modem.

  • ok, check your firewall rules between your RED and the internal network (include TCP 2712). Is the RED in a seperate network segment? If yes...have you add this network tho the allowed networks in Wireless Protection? (Wireless protection - Global Settings)

    If you are using the RED in the same network segment (bridged with the internal network), does the RED receive an IP address from your DHCP server?

  • ok, check your firewall rules between your RED and the internal network (include TCP 2712).

    The rule is set to Any, ping and TFTP from/to Campus LAN to/from RED interfaces. There are no drops from Firewall Log.

    Is the RED in a seperate network segment? If yes...have you add this network tho the allowed networks in Wireless Protection? (Wireless protection - Global Settings)

    Yes it is and yes i did.

    I will try to use a different internet access (maybe UMTS) and i will try to connect the RED to my home UTM.

    Same with failover via UMTS. But it is working at my home UTM (i can see the pending AP).

    Now i have to find out the difference between my home UTM and the office UTM. Both are on latest update version.

  • I am really confused now.

    As i said earlier, the AP function works fine, while connected to my Sophos UTM Home Edition. I have checked every setting at home (with scrrenshots) for another try at work.

    I have added the RED15w to my SG 550 like i did yesterday, but now with the new unlock key, which do-not-reply@red.sophos.com sent me, and everything works like expected. 

    I don't know, in which case this would concern me. The AP was recognized with DHCP enabled on SG 550 and with DHCP relay to a Windows Server - which i prefer an which i am using for all networks.

    Now i have to find out, why the AP was listed as inactive, why it won't show up at all after removing the RED from the UTM and how i can get an AP back to active without moving the RED to another UTM and back again. Maybe its about certificates which may stay remaining in the UTM until the RED was connected to another UTM.