Advisory: Support Portal Maintenance. Login is currently unavailable, more info available here.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos WLAN AP over VPN

Hallo,

ich habe eine Frage. Wir haben eine SG230 im Headquater und mehrere kleine SG105 / 115 in mehreren Aussenstellen.
Zwischen den Aussenstellen und der Zentrale gibt es SSL VPN Tunnel.

An jedem Standort gibt es auch WLAN APs. Gerne würde die ich diese nun zentral in der SG230 managen und nicht in den Aussenstellen.

Die Option 234 wäre ja auch einfach gesetzt beim DHCP der Aussenstellen.
Allerdings melden sich die WLAN APs nicht in der zentrale was wahrscheinlich daran liegt, dass bei der Zentrale nur das Internal Interface beim WLAN Modul hinterlegt ist.

Gibt es hier eine Möglichkeit?

(Ich nehme mal an, das External Interface mit auf zu nehmen wäre ehr keine so tolle Idee)



This thread was automatically locked due to age.
Parents
  • Hallo Christoph,

    das sollte schon funktionieren, im DHCP-Server der Aussenstellen die IP des Internal Interface der Zentrale als DHCP-Option 234 definieren.

    Wenn es nicht funktioniert, siehst im Firewall Log der Aussenstelle und der Zentrale die Anfragen vom WLAN AP?

    bye Josef

    Firewall consultant since 1995
    Astaro consultant since 2001
    Sophos partner since 2012
    BERGMANN engineering & consulting GmbH, Wien/Austria

  • Das hatte ich schon ausprobiert. Allerdings kommen die Pakete dann ja über das SSL VPN mit einer virtuellen Adresse rein und die Sophos lauscht ja nur auf Interfaces.

    Also am Beispiel:

    Headquater:
    Die Adresse der Firewall am internen ETH ist 10.50.1.1
    Der SSL VPN Pool ist 10.242.2.x / 24

    Aussenstelle
    Die Adresse der Firewall im internen ETH ist 192.168.60.1
    Die Firewall bekommt dann ja beim SSL VPN Tunnel irgendeine Adresse aus dem SSL VPN Pool zugewiesen.

    Der AccessPoint hat eine Adresse aus dem Netz der Aussenstelle per DHCP bekommen - 192.168.60.100
    Die Option 234 ist gesetzt und zeigt auf die 10.50.1.1

    Aber die Firewall im Headquater akzeptiert die Anfrage nicht, weil sie ja aus einem unbekannten Netz kommt.
    Und ich kann im Headquater weder das SSL VPN Netz beim Wireless Menu hinzufügen, noch den Adressbereich der Aussenstelle.

  • Grundsätzlich funktioniert das, wie Du schon angemerkt hast ist dazu allerdings die Aufnahme vom WAN Interface in der Wireless Protection nötig.
    Der SSL-VPN Tunnel ist logisch am WAN Interface gebunden, daher ist das auch das Interface, welches den AP als erstes zu sehen bekommt, unabhängig von der DHCP Option 234 und ob die vielleicht zur IP vom internen Interface zeigt.

    Einzige andere mir bekannte Möglichkeit wäre der Wechsel auf RED-Anbindung, da Du dann ein echtes logisches Interface bekommen würdest, "aus welchem der Traffic kommt".

     

    Zumindest mit IPSec VPN gibt es allerdings Probleme bei der Verwendung von "Separate Zone" WLANs, ist aber irgendwie ein Sophos IPSec-VPN-eigenes Problem, kommt ein AP z.B. via Cisco IPSec-VPN zur Sophos Firewall ist alles OK und beide Modi sind möglich.

    Gruß / Regards,

    Kevin
    Sophos CE/CA (XG+UTM), Gold Partner

  • Ist es denn wohl ein Risiko das WAN Interface mit ein zu tragen bei der Wireless Konfig?

    Dann würde ich das mal austesten.

  • Hallo Christoph,

    Ja kerobra hat Recht, man müsste, weil die Sophos kein SSL VPN-Interface kennt, das WAN Interface in die Wireless Protection mit aufnehmen. Sicherheitstechnisch würde ich davon allerdings dringend abraten, weil du damit dem Internet "Zugriff" auf deinen Wireless-Controller gibst.

    Beste Alternative ist IMHO auch die SSL VPN Verbindung durch eine RED-Verbindung zu ersetzen.

    bye Josef

    Firewall consultant since 1995
    Astaro consultant since 2001
    Sophos partner since 2012
    BERGMANN engineering & consulting GmbH, Wien/Austria

Reply
  • Hallo Christoph,

    Ja kerobra hat Recht, man müsste, weil die Sophos kein SSL VPN-Interface kennt, das WAN Interface in die Wireless Protection mit aufnehmen. Sicherheitstechnisch würde ich davon allerdings dringend abraten, weil du damit dem Internet "Zugriff" auf deinen Wireless-Controller gibst.

    Beste Alternative ist IMHO auch die SSL VPN Verbindung durch eine RED-Verbindung zu ersetzen.

    bye Josef

    Firewall consultant since 1995
    Astaro consultant since 2001
    Sophos partner since 2012
    BERGMANN engineering & consulting GmbH, Wien/Austria

Children
No Data