Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 4281 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Hotspot for internal staff

RStokes
Hi All,

We have a UTM 220 with 3 AP30s and 1 AP10.

The WiFi Network is just a basic WPA2 PSK, everyone knows the single set password to connect their laptop if needed.

I was looking to change this, where people would use their active directory credentials to log in (we are currently working on reducing the amount of passwords people have to remember).

RADIUS does not and has never worked for us. It was hell, we even had a guy who is known locally as the Radius Guy, and we never got it working with the Sophos UTM. (Our AD is on 2008 R2 servers)

So now I am thinking about using Hotspot for internal users.

How would this work? I got as far as clicking 'new hotspot' but got stuck when it said interface.

Basically I am looking to authenticate against our AD server, so users can connect their machines and have full internal & internet access (as if they are on a wire) when on WiFi. I like that it expires after 12 hours, as that will solve another issue, of using being double connected via WiFi and LAN accidentally, which is a different story (headache) altogether.


This thread was automatically locked due to age.
  • 0
    You should add your Wifi virtual interface in Hotspot definition (screenshot).

    If you don't see it, than you are probably using "Bridged to AP lan" option in your SSID definition.
  • 0
    I use RADIUS for WPA2-Enterprise whenever I bridge an SSID to an internal LAN.  It is tricky though as there are several spots in the 2008R2 configuration needed.

    What is the problem caused by a user being double connected?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    I use RADIUS for WPA2-Enterprise whenever I bridge an SSID to an internal LAN.  It is tricky though as there are several spots in the 2008R2 configuration needed.

    What is the problem caused by a user being double connected?

    Cheers - Bob


    Well usually connection to file servers will go over WiFi rather than the cable and that can slow things down, plus our accounting and stock software uses fox pro with a file share and screws up over WiFi
  • 0 in reply to BAlfson
    I use RADIUS for WPA2-Enterprise whenever I bridge an SSID to an internal LAN.  It is tricky though as there are several spots in the 2008R2 configuration needed.

    What is the problem caused by a user being double connected?

    Cheers - Bob


    Although saying that I would love to have RADIUS set up, just cant get it working!
  • 0 in reply to RStokes
    RStokes

        I am in the same situation.....

    I thought of using a hotspot and tickets but this requires NOT being bridged to the lan so I lose Bonjour printing for Apple devices.

    I am trying to get Freeradius working on a Raspberry Pi but cannot get the last 2% working.

    I would be thrilled if the UTM could use its own user definitions but, alas, this is a future feature.

      Tom
  • 0
    I am just curious on one thing, maybe my thinking is off on this on:

    If a user connects to the hotspot, this is technically a non secure connection? (ie no PSK)?

    So when the user enters his / her AD credentials, is this technically at risk?

    Thanks,
    Richard
  • 0
    A hotspot is often an open network, but it could just as well use WPA2/PSK or Radius or whatever authentication and encryption.
    You could simply give everyone the PSK for your Hotspot wifi and all traffic is encrypted.

    Managing several Sophos firewalls both at work and at some home locations, dedicated to continuously improve IT-security and feeling well helping others with their IT-security challenges.

  • 0 in reply to apijnappels
    Richard:

    I had the same question and it was explained that, yes it would be an unsecured connection, but it was never meant to be a corporate connection, just a guest connection to get to the internet.

    I discovered that you can also apply encryption, but this requires the PSK and the hotspot code. This makes it a bit of a messy situation that lead me to seek out Radius. I have got this working on Windows Server 2008 for a corporate use and have just got TekRadius (runs on any Windows machine) working for a smaller application. 


    I think I have my solution providing open access for anyone to a few select internet sites and Radius for users who need printing and wider internet use.

    It still bugs me that UTM cannot authenticate off its user definitions. (Most other providers have this built in) I am not totally happy having to "hide" the TekRadius on a machine that should always be left on.

       Tom
Unfiltered HTML