Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 1 subscriber
  • Views 10987 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Hotspots can access internal LAN IP's..?

hckeith
Hi Everyone,

I'm trying to create 'Guest' Hotspots using a UTM425 (on 9.105-9) and AP30's.

I've followed the guide (new interface, masquerading, vouchers, etc), and everything works fine as expected. I can connect to the unsecured hotspot and get directed to the portal to enter a voucher code, after which I can access the internet.

The problem I've found is that clients connected to a Hotspot for some reason can access IP's on our internal LAN's.
For example, we have some fileshares, for arguments sake on \fileserver\share.  If I try accessing the share using the hostname of the server, I can't resolve it and access it.  It's the same for internally hosted websites too.

However, if I use the internal IP address of the fileserver instead of the server's hostname (ie, \10.10.10.2\share), I can access the shares with no problems.  It's the same for internally hosted websites.  If I replace the hostname with the internal IP of the server that's hosting the site, it opens fine.

Surely this shouldn't be the case?  The hotspots are set up as 'separate zones', on a completely different subnet to our internal LAN's.

The guest WLAN interfaces are not members of any firewall rules that allow them to pass traffic to any of the internal interfaces (that I can tell). The only firewall rule in place for them allows 'web browsing' and 'VPN protocols' to 'internet', which in turn is bound to our internet connection interface.

I've been crawling through all the Firewall and NAT rules we have and cannot see how the traffic is being passed between the networks.


I was wondering if the problem lies with the VLAN's we have on our internal network and L3 switches routing the traffic before the UTM saw it, but from what I've read, these access points create an SSL connection between the access point and the UTM so it shouldn't matter if there are routes on other network equipment, the UTM should be handling all traffic from its AP's?
As a test, I connected an AP directly to the UTM on a spare NIC we had with a completely separate subnet to our internal LAN's, but the behavior of the hotspots was the same.

Have I found a potential bug, or could there be something I'm missing somewhere?
This is quite worrying as it means our guest hotspots aren't as secure as we need them to be.

I'd appreciate any suggestions, and if anyone needs more information, just let me know what you need to know!

Thanks!


This thread was automatically locked due to age.
Parents
  • 0
    Hi,

    Thanks for your response..

    The firewall rule I have in place that is specifically for the guest WLAN is:

    Guest WLAN > Web Surfing, VPN protocols > internet. Allow.

    The 'Web Surfing' group includes ports 80, 443, 8080, 3128
    The 'VPN protocols' group includes ports 51,50,500,4500, 1701, 1723, 3389, 55198.

    Both of those were default groups that came pre-configured in the UTM.

    The 'internet' network is the "any" network, bound to interfaces with default gateway 0.0.0.0/0.

    Again, that was already pre-configured in the UTM and can't be edited.

    Aside from adding in the 'VPN protocols' to the firewall rule (to allow our corporate guests to connect to their own companies VPN's), the firewall rule was auto-created by wireless security.

    We do have an 'any internal networks > any > any internal networks' rule in the firewall to allow all traffic between our internal LAN's, however the interface networks of the guest WLAN's are not part of the 'any internal networks' group.

    Accessing the internet on the guest networks is no problem so I believe that the firewall rules to allow them to access the internet are working as they should.  For some reason though the clients connected to the guest WLAN can access IP's on the internal LAN's, but I can't seem to find a rule or other part of our configuration that would allow them to do that.

    Is our Firewall rule for the Guest WLAN along the lines of what you were thinking?
Reply
  • 0
    Hi,

    Thanks for your response..

    The firewall rule I have in place that is specifically for the guest WLAN is:

    Guest WLAN > Web Surfing, VPN protocols > internet. Allow.

    The 'Web Surfing' group includes ports 80, 443, 8080, 3128
    The 'VPN protocols' group includes ports 51,50,500,4500, 1701, 1723, 3389, 55198.

    Both of those were default groups that came pre-configured in the UTM.

    The 'internet' network is the "any" network, bound to interfaces with default gateway 0.0.0.0/0.

    Again, that was already pre-configured in the UTM and can't be edited.

    Aside from adding in the 'VPN protocols' to the firewall rule (to allow our corporate guests to connect to their own companies VPN's), the firewall rule was auto-created by wireless security.

    We do have an 'any internal networks > any > any internal networks' rule in the firewall to allow all traffic between our internal LAN's, however the interface networks of the guest WLAN's are not part of the 'any internal networks' group.

    Accessing the internet on the guest networks is no problem so I believe that the firewall rules to allow them to access the internet are working as they should.  For some reason though the clients connected to the guest WLAN can access IP's on the internal LAN's, but I can't seem to find a rule or other part of our configuration that would allow them to do that.

    Is our Firewall rule for the Guest WLAN along the lines of what you were thinking?
Children
No Data
Unfiltered HTML