Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 1 subscriber
  • Views 10987 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Hotspots can access internal LAN IP's..?

hckeith
Hi Everyone,

I'm trying to create 'Guest' Hotspots using a UTM425 (on 9.105-9) and AP30's.

I've followed the guide (new interface, masquerading, vouchers, etc), and everything works fine as expected. I can connect to the unsecured hotspot and get directed to the portal to enter a voucher code, after which I can access the internet.

The problem I've found is that clients connected to a Hotspot for some reason can access IP's on our internal LAN's.
For example, we have some fileshares, for arguments sake on \fileserver\share.  If I try accessing the share using the hostname of the server, I can't resolve it and access it.  It's the same for internally hosted websites too.

However, if I use the internal IP address of the fileserver instead of the server's hostname (ie, \10.10.10.2\share), I can access the shares with no problems.  It's the same for internally hosted websites.  If I replace the hostname with the internal IP of the server that's hosting the site, it opens fine.

Surely this shouldn't be the case?  The hotspots are set up as 'separate zones', on a completely different subnet to our internal LAN's.

The guest WLAN interfaces are not members of any firewall rules that allow them to pass traffic to any of the internal interfaces (that I can tell). The only firewall rule in place for them allows 'web browsing' and 'VPN protocols' to 'internet', which in turn is bound to our internet connection interface.

I've been crawling through all the Firewall and NAT rules we have and cannot see how the traffic is being passed between the networks.


I was wondering if the problem lies with the VLAN's we have on our internal network and L3 switches routing the traffic before the UTM saw it, but from what I've read, these access points create an SSL connection between the access point and the UTM so it shouldn't matter if there are routes on other network equipment, the UTM should be handling all traffic from its AP's?
As a test, I connected an AP directly to the UTM on a spare NIC we had with a completely separate subnet to our internal LAN's, but the behavior of the hotspots was the same.

Have I found a potential bug, or could there be something I'm missing somewhere?
This is quite worrying as it means our guest hotspots aren't as secure as we need them to be.

I'd appreciate any suggestions, and if anyone needs more information, just let me know what you need to know!

Thanks!


This thread was automatically locked due to age.
Parents
  • 0
    Sorry to make my first forum post a "Me, too!".... but me, too!

    Precise scenario: Guest WiFi created manually (without the wizard) has full access to the interior LAN and Site-to-Site VPN, even with firewall rule #1 as:

    Guest WiFi -> Internal Network -- Drop

    Can't understand why the "Separate Network" option for WiFi doesn't create a separated network. All it does is create a separate address space, then bridges the traffic right through anyway.
Reply
  • 0
    Sorry to make my first forum post a "Me, too!".... but me, too!

    Precise scenario: Guest WiFi created manually (without the wizard) has full access to the interior LAN and Site-to-Site VPN, even with firewall rule #1 as:

    Guest WiFi -> Internal Network -- Drop

    Can't understand why the "Separate Network" option for WiFi doesn't create a separated network. All it does is create a separate address space, then bridges the traffic right through anyway.
Children
No Data
Unfiltered HTML