RED15w Access Point not showing up as pending access point

Question

Hi 
 We use 8 RED15w for roadwarriors. We run the RED's in Standard/Unified mode, bridged to the LAN in the same IP Segment. 
 Users behind the RED can connect to all resources in the LAN Segment, DHCP and DNS are working fine. 
 But the only thing is, the RED15w will not be recognized as Access Points in Wireless Protection as pending Access Points. 
 The existing AP55C AP's are working fine. 
 Wireless Networks (3) are setup with Algorithm AES, one is bridged to LAN and the others are in separate segments. 
 Any idea why? 
 
 Thank you and best regards Markus

StefanBiesenberger · Answer

Same Problem here, with DHCP Relay: 
 Solution: https://community.sophos.com/kb/de-de/119131 
 Example: Configuration of DHCP option 234 on Windows Server 2008 
 
 Logon to your Windows Server 2008 and open the DHCP configuration. 
 Select the applicable DHCP server in the tree and click on "Predefined Options" 
 Now click on "Add" 
 Provide the following information: Name:<freely selectable> data type: IP address Code: 234 
 Click OK 
 Now select the newly added option in the list above and add the IP address of the interface where the AP is connected to(192.168.205.2 in our example) 
 Then right-click on "Server Options" and select "Configure options" 
 Now tick the option 234 and click on Apply to activate the option for your server

MarkusSonderegger · Answer

After some digging and googling, i found a solution for this problem. Thank you Stefan for pointing me in the right direction. 
 The problem was the DHCP option 234 and the Magic IP broadcast (TCP 2712). 
 Here are the configuration details (sorry but in german) [:D]

Sophos SG UTM &ndash; RED15w als Bridge Device einrichten, inkl. Wireless. 
 Von Bytecom 13.09.2016 
 Bei der Verwendung von Sophos RED15w im selben LAN Segment gibt es einige speziellen Konfigurationseinstellungen die beachtet werden m&uuml;ssen. Dies betrifft, neben dem korrekten Bridging, auch die Freischaltung der Magic IP f&uuml;r die Access Points der RED15w. 
 Anforderungen: 
 
 Sophos UTM 9.4x, 
 DHCP Server mit g&uuml;ltigem und aktivem Bereich im entsprechenden LAN Segment. 
 RED15w Devices 
 
 Quellen: 
 
 www.nudelsuppen.com/sophos-utm-red-als-bridge-device-einrichten 
 ictschule.com/.../ 
 community.sophos.com/.../119131

Schritt 1) In der Sophos UTM RED Management aktivieren 
 Schritt 2) Daten korrekt ausf&uuml;llen 
 Schritt 3) RED manuell hinzuf&uuml;gen und nicht mittels &bdquo;Server Deployment Helper&ldquo; 
 Folge Daten ausf&uuml;llen: 
 
 Branch Name : z.b. welche Au&szlig;enstelle 
 Client Type : Welcher Typ RED (z.b. RED 15w) 
 RED ID : Seriennummer der RED 
 Tunnl ID : Automatic 
 Unlock Code : Wird nur ben&ouml;tigt falls die RED schon einmal konfiguriert wurde. Falls es sich um eine neue RED handel bleibt das Feld leer. 
 UTM Hostname : Name (z.b. remote.demo.ch) der Sophos UTM oder IP-Adresse. Muss von extern &uuml;bers Internet erreichbar sein. Keine interne IP! 
 Uplink Mode : Wie soll sich die RED verhalten, in unserem Fall Standard / Unified. 
 
 Schritt 4) Unlock Code notieren! Ansonsten kann die RED nicht mehr auf einer anderen Sophos UTM neu konfiguriert werden. 
 Schritt 5) Geduld haben!!! Die RED kommuniziert nun mit der Sophos UTM und konfiguriert sich. Sollte z.b. ein Firmware Update anstehen erledigt die Sophos UTM dies automatisch. Nicht wundern, wenn die RED einige Male neu startet. Auf der RED sollten nach einigen Minuten folgende Lampen konstant gr&uuml;n leuchten: Power, System, Router, Internet und Tunnel. 
 Schritt 6) RED und Internes Netzwerk verkn&uuml;pfen (Bridge erstellen). Unter &bdquo;Interface & Routing&ldquo; &ndash;> &bdquo;Interfaces&ldquo; das interne Netzwerk editieren. Das interne Netzwerk wird meist mit &bdquo;Internal&ldquo; bezeichnet. 
 Bei &bdquo; Type &ldquo; den Netzwerktyp &bdquo; Ethernet Bridge &ldquo; ausw&auml;hlen und beide Schnittstellen (eth0 und alle mit reds bezeichneten Schnittstellen) aktivieren. Unter &bdquo;Advanced Bridge&ldquo; den Punk &bdquo;Allow ARP broadcasts&ldquo; aktivieren. Mit &bdquo; Save &ldquo; das ganze speichern. 
 Schritt 7) Firewall-Regeln und Definitionen erstellen! Damit die DHCP-Anfragen von der Bridge weitergeleitet werden, muss man die Paketfilterregeln anpassen. Beim DHCP-Request wird folgendes Paket erzeugt: Source: 0.0.0.0 Source-Port: 68 Destination: 255.255.255.255 Destination-Port: 67. 
 Eine weitere, wichtige Regel f&uuml;r das Magic IP Packet (Auffinden des WLAN Controllers durch die RED Access Points) muss zus&auml;tzlich erstellt werden (TCP 2712). 
 Neue Netzwerk-Definition anlegen: 
 
 Name: any internal 
 Type: Network 
 IP V4 Address: 0.0.0.0 
 Netmask: 0.0.0.0 
 Name: Broadcast all 
 Type: Network 
 IP V4 Address: 255.255.255.255 
 Netmask: 32/255.255.255.255 
 
 Service Definition erstellen: 
 
 Name: DHCP 
 Type: UDP 
 Destination Port: 67:68 
 Source Port: 67:68 
 Name: MagicIP 
 Type: TCP 
 Destination Port: 2712 
 Source Port: 1:65535 
 
 Firewall Regeln hinzuf&uuml;gen: 
 
 Name: RED Bridge Broadcast 
 Position: tbd 
 Sources: any internal 
 Services: DHCP und MagicIP 
 Destination: Broadcast 
 Action: Allow 
 
 F&uuml;r die weitere interne Kommunikation zwischen Au&szlig;enstelle und Zentrale muss man nun noch weitere ben&ouml;tigte Regeln anlegen z.B. im Windows-Netzwerk: 
 
 Name: RED Bridge Traffic 
 Position: tbd 
 Sources: internal(Network) 
 Services: z.b Windows Network, HTTPS oder any je nach Bedarf. 
 Destination: internal(Network) 
 Action: Allow 
 
 Regeln noch aktivieren!!! 
 Schritt 8) Nun muss der RED &uuml;ber DHCP noch mitgeteilt werden, wo genau sie der WLAN Controller (UTM) befindet. Sobald ein Sophos Accesspoint am Netzwerk angeschlossen wird, versucht er Kontakt mit der Sophos UTM aufzunehmen. Dazu schickt er eine Anfrage an die Adresse 1.2.3.4 &uuml;ber den TCP Port 2712. Da die Adresse 1.2.3.4 im internen Netzwerk nicht existiert, wird sie weiter nach &ldquo;draussen&rdquo; geroutet, bis beim &Uuml;bergang zum Internet die Sophos UTM als Firewall und Gateway die Abfrage selber bearbeitet, statt weiter ins Internet zu leiten. 
 Falls es hier aufgrund von Routern oder VLAN&rsquo;s zu Problemen kommt, da sie selber als Gateway funktionieren, kann sich der RED Access Point nicht an der UTM registrieren. 
 Sofern ein Windows Server das Netzwerk mit IP Adressen versorgt, kann man dort die Serveroption 234 erstellen und entsprechend konfigurieren. Diese Option teilt dem DHCP Client mit, wo sich der WLAN Controller befindet. ( community.sophos.com/.../56424) 
 Dazu im Windows DHCP Manager, eine Vordefinierte Option erstellen: (DHCP Server Name, rechte Maustaste, Vordefinierte Optionen erstellen&hellip;) 
 
 Klasse: Global 
 Name: z.b AP Sophos 
 Datentyp: IP-Adresse 
 Code: 234 
 Beschreibung: AP zu UTM

Mit OK best&auml;tigen, auf der n&auml;chsten Maske:

Optionsklasse: DHCP Standard Options 
 Optionsname: 234 AP zu UTM

Mit OK best&auml;tigen. 
 Nun nur noch in der f&uuml;r den AP g&uuml;ltigen DHCP Bereich eine Bereichsoption erstellen. 
 
 234 AP zu UTM ausw&auml;hlen und unter IP Adresse die interne IP der UTM eintragen.

Sobald sich die RED&rsquo;s beim n&auml;chsten DHCP Handshake beim DHCP melden, bekommen sie diese Option mit und finden auch die UTM im Netzwerk. 
 Die RED kann nun am Zielort eingesetzt werden. Am Zielort muss sich bereits ein Internetrouter befinden. Die RED muss dort per DHCP eine IP-Adresse und Default Gateway erhalten, damit sich die RED zum RED Provisioning Service (RPS) verbinden kann und von diesem die Config bezieht. Nach dem Erhalt der Config startet die RED neu und verbindet sich zur UTM. Die RED Kommunikation l&auml;uft &uuml;ber TCP/UDP Port 3400.

JanboNörskau · Answer

Hi Bob 
 Thanks for welcoming me! 
 I involved the Distributor's UTM-Support. Finally they gave up and involved the Sophos Support analyzing my UTM-Logs. 
 Outcome: The WLAN-Configuration which I pushed to the pending AP of the RED15w at the first (and only) time it appeared under "Pending APs", misconfigured the AP and kept sticky in the device. The config I pushed when I assigned the pending AP to an existing WLAN-Config-Group was not very wise because it only could have functioned in the main office where the UTM and the existing APs are located (different VLANs with a tagged management VLAN to be reached by the APs). 
 The problem (and the bug) seems to be that this configuration stays sticky in the device - independent of the effort you bring up. With no wanted result you can: 
 
 Restart the RED15w-device (interrupt power locally) 
 Restart the RED15w-device (interrupt connection within the UTM by disabling and enabling it again) 
 Delete the RED15w-device from the UTM and redeploy it via Sophos provisioning service on the same UTM 
 Delete the RED15w-device from the UTM and redeploy it via Sophos provisioning service on an different UTM (including the need of using the unlock keys -> AP will not be available on the new/ different UTM neither) 
 Delete the RED15w-device from the new UTM and redeploy it via Sophos provisioning service on the old UTM (including the need of using the unlock keys) 
 
 So how did I solve the Problem: Following the recommendation of the Sophos Support: 
 
 Configuration of an VLAN-Interface with binding to the virtual RED-Hardware-Interface 
 Configuration of an DHCP in the new environment (that might have been not necessary) 
 Assignment of the new network to the "allowed interfaces" under "global settings" of the Wireless protection 
 
 And uppps: The AP was available and configurable again -> showing up under "Pending APs" :-) After proper configuration I could delete all the workarounds. Now I can delete it and it will show up again immediately in "Pending APs" because the sticky configuration is not important if there is no tagged VLAN configured... 
 I hope that Sophos will catch up and solve this bug. I reported the whole story to the ALSO-Support to forward it to Sophos.This is the first problem I could solve with the RED15 devices (i have some more) and the first time the Sophos Support was of any value during debugging. But this also might be unfair and based on the support of the distributor that potentially doesn't involve Sophos close enough - I'm not sure... 
 This forum might be my rescue in the future -> we will see :-) 
 Cheers from rainy Hamburg, Germany 
 Janbo