AP's at Remote Site

In theory it can be done.  Easier with a RED device to the remote sites though.  Instead of me regurgitating what's been written before, if you read through these two threads and the KB article you'll get an idea of the base requirements that'll have to be fulfilled for this to work.

https://community.sophos.com/products/unified-threat-management/astaroorg/f/60/t/56203

https://community.sophos.com/products/unified-threat-management/astaroorg/f/60/t/56213

https://support.astaro.com/support/index.php/Using_a_WiFi_AP_behind_a_split_tunneling_RED_device

So if I understand this correctly I should be able to do what I want.
What I plan on doing is setting up the AP in the same location as the Astaro ASG, then I will move the AP to the remote site. That way it should be able to find it's way back to the Astaro, correct?

AP > Dell 6248 > Private VLAN > Dell 6248 > Astaro
         (10.3.x.x)      (172.x.x.x)       (10.1.x.x)

When the AP boots up, it grabs an IP from DHCP, and then looks for the "magic" IP of 1.2.3.4, which is the IP for the Wifi controller.

Without knowing the details of how your WAN is routed, it is hard to say if this will work properly...

When the AP boots up, it grabs an IP from DHCP, and then looks for the "magic" IP of 1.2.3.4, which is the IP for the Wifi controller.

Without knowing the details of how your WAN is routed, it is hard to say if this will work properly...

So does the AP need a DHCP directly from the Astaro? I can tell the 6248 to route the 1.2.3.4 IP to the subnet the Astaro is on but how is it going to find it? Would the AP not have to be in the same subnet as the Astaro? Where does this magic 1.2.3.4 address come into play?

Like ReD-MaN says, 1.2.3.4 is used inside the Astaro as the address the AP needs to be able to communicate with.  One of the links that Scott supplied comments that things can be made to work correctly in three different ways.  It sounds like the remote office has all traffic go through the Astaro - if that means that the IP of one of the Astaro's Internal interfaces is the the Default Gateway for all devices in the remote network, this should work.   I'm not sure why it would help to set it up in your office first, but that certainly allows you to eliminate a bunch of issues if you have to do problem-solving after moving the AP to the remote office.

Cheers - Bob

What you could do, if your network gear has the features, is this:

1 - Create DHCP reservation for AP at remote LAN
2 - Setup source routing so traffic from that all traffic from that AP goes over your WAN, and would hit the ASG.

This would ensure that the AP always has management access to the ASG device.

Source routing, I mean like, if traffic source is 192.168.1.154, then change next-hop to X.X.X.X type of thing.

I have used a RED to get an AP on a non-WAN connected office location before, but never over a TLS/MPLS connection.

Thanks for all your replies! I guess we will just have to try it out? I'm still not sure about the 1.2.3.4 IP Address scheme but the default route for all "internet" traffic which I'm assuming 1.2.3.4 will be seen as will go to the Astaro so hopefully the AP and Astaro can communicate.
I can't believe that no-one has tried this before? I will post back and let you know how it goes (probably in 3-4 months).

Thanks again!

If the default route goes over your WAN and will pass through the ASG, then you will be good to go.

I was assuming that you possibly didn't have the 0.0.0.0/0 going over your WAN. You know the old saying for that lol.

Are you working with a reseller on this yet? I happen to know one that is has a very experienced person on staff with Astaro products, including the Wifi and RED products ... [:)]