This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Hotspots can access internal LAN IP's..?

Hi Everyone,

I'm trying to create 'Guest' Hotspots using a UTM425 (on 9.105-9) and AP30's.

I've followed the guide (new interface, masquerading, vouchers, etc), and everything works fine as expected. I can connect to the unsecured hotspot and get directed to the portal to enter a voucher code, after which I can access the internet.

The problem I've found is that clients connected to a Hotspot for some reason can access IP's on our internal LAN's.
For example, we have some fileshares, for arguments sake on \fileserver\share.  If I try accessing the share using the hostname of the server, I can't resolve it and access it.  It's the same for internally hosted websites too.

However, if I use the internal IP address of the fileserver instead of the server's hostname (ie, \10.10.10.2\share), I can access the shares with no problems.  It's the same for internally hosted websites.  If I replace the hostname with the internal IP of the server that's hosting the site, it opens fine.

Surely this shouldn't be the case?  The hotspots are set up as 'separate zones', on a completely different subnet to our internal LAN's.

The guest WLAN interfaces are not members of any firewall rules that allow them to pass traffic to any of the internal interfaces (that I can tell). The only firewall rule in place for them allows 'web browsing' and 'VPN protocols' to 'internet', which in turn is bound to our internet connection interface.

I've been crawling through all the Firewall and NAT rules we have and cannot see how the traffic is being passed between the networks.


I was wondering if the problem lies with the VLAN's we have on our internal network and L3 switches routing the traffic before the UTM saw it, but from what I've read, these access points create an SSL connection between the access point and the UTM so it shouldn't matter if there are routes on other network equipment, the UTM should be handling all traffic from its AP's?
As a test, I connected an AP directly to the UTM on a spare NIC we had with a completely separate subnet to our internal LAN's, but the behavior of the hotspots was the same.

Have I found a potential bug, or could there be something I'm missing somewhere?
This is quite worrying as it means our guest hotspots aren't as secure as we need them to be.

I'd appreciate any suggestions, and if anyone needs more information, just let me know what you need to know!

Thanks!


This thread was automatically locked due to age.
Parents
  • Yes, we do use the HTTP proxy in Web Security, however for now the Guest WLAN network I'm testing this with is not in the 'Allowed networks' on the 'Global' tab.

    I did read somewhere that the Web Security module can cause this behavior on the Guest WLAN's, and have since tested by disabling the module and then testing, Unfortunately the same thing happens and the guests can access the internal LAN's.

    Would the Web Security module interfere with, and allow, access to fileshares on the internal networks?

    I'll look into this though and create filter rules for the Guest WLAN just in case the Web Security module is still interfering in some way.
Reply
  • Yes, we do use the HTTP proxy in Web Security, however for now the Guest WLAN network I'm testing this with is not in the 'Allowed networks' on the 'Global' tab.

    I did read somewhere that the Web Security module can cause this behavior on the Guest WLAN's, and have since tested by disabling the module and then testing, Unfortunately the same thing happens and the guests can access the internal LAN's.

    Would the Web Security module interfere with, and allow, access to fileshares on the internal networks?

    I'll look into this though and create filter rules for the Guest WLAN just in case the Web Security module is still interfering in some way.
Children
No Data