Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 3839 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Hotspot with non-Sophos AP issues

GZgidnick
Hi guys,

I hope some one will be able to help me as I already spend few days trying to get working solution for my home using Sophos UTM9.2 Home eddition.

The UTM is running with 3 physical interfaces.
Interface 1: Uplink PPPoE -> Internet
Interface 2: Internal LAN [192.168.0.0]
Interface 3: Hotspot LAN [192.168.1.0]

On the Hotspot Interface I have plugged Linsys running DD-WRT configured as AP. 
The Management IP of the AP is in the Hotspot Interface range. 
The AP is plugged directly to the Sophos Guest Interface

Sophos is running dedicated DHCP on this interface. 
The interface IP address is passed as a default gateway for the clients connecting onto the Hotspot.
When clients can succesfully obtain IP address from the server.


The issue:
Cannot ping the Internal LAN clients from the Guest  LAN.
Cannot ping Guest LAN from the Internal LAN.
Sophos can ping both Guest and Internal LANs.

I have tried with Firewall rules 
ANY - ANY - ANY
ANY - ping - ANY
Guest LAN; Internal LAN - ANY - Internal LAN; Guest LAN
SNAT: Internal LAN - ANY - Guest LAN (Src translation = Guest IPADDR)
SNAT: Internal LAN - HTTP - DDWRT (Src translation = Guest IPADDR)

Nothing works!

Note: the only thing that works between the LANs is the WebAdmin. WebAdmin has been configured to accept connection from ANY interface.
Guest LAN clients can open WebAdmin w/o any issues or additional configuration.

I want to have the DD-WRT admin interface accessible from the Internal LAN
I want the Internal Web Server to be accessible from the Guest LAN
I want FTP server to be accessible from the Guest LAN.

I followed the folowing article(he best I could find online) and few others:
https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/21968 

Spent years in the Voice industry makes me complete Firewall/Security noob. So far I was only deactivating firewalls on my way but now I want to learn.

Any help welcome!


This thread was automatically locked due to age.
  • 0
    I've had issues in the past with DD-WRT actually being set to work in AP mode. I used a WRT600N that worked well in AP mode and a E4200 that didn't work well at all in AP mode. Maybe it is Firmware Version related, maybe it is the SPI Firewall, etc.

    That being said, you're going to need to do a couple things.
    [LIST=1]
    • You didn't mention a Masquerading Rule. You need a Masquerading Rule so that all Guest LAN traffic can reach the outside. Network Protection --> NAT --> New Masquerading Rule for Guest LAN --> External.
    • DD-WRT Admin Interface: On your DD-WRT Router, go to Administration --> Management and look under Remote Access. You'll need to enable either Allow Any Remote IP or Web GUI Management and maybe even both. By default, DD-WRT seems to only allow subnet connections.
    [/LIST]
    As far as your other concerns, a couple Firewall Rules should be all that you need: 
    [LIST=1]
    • Internal LAN --> Any --> Guest LAN
    • Guest LAN --> Any --> Internal LAN
    [/LIST]
    I certainly hope this helps. Let me know how it works out.
  • 0
    Hi, disable the hotspot and see if you can get everything else working on the Wireless/Guest network first.

    Note that Pings/ICMP are regulated on the ICMP tab under Network Protection->Firewall

    Barry
  • 0
    Thank you for the responses gents!

    I've done quite a bit of testing tonight and i think i am narrowing down the issue.

    As per DaMaN841:
    - DD-WRT already had Remote Management turned on for HTTP, HTTPS and SSH for any IP address.
    - The following firewall rules were already in place:
    Internal LAN -> Any -> Guest LAN
    Guest LAN -> Any -> Internal LAN
    - The following masquerading rules were already in place (Internet is reachable from both networks):
    Internal LAN -> WAN
    Guest LAN -> WAN

    As per BarryG
    - ICMP were already switched under the Advanced Tab
    - I followed your advise and deactivated the Hotspot. Effectively I got two Internal LANs. During testing I activated logging for the SNAT rules, and initial packet logging for the Firewall rules. 
    I was able to confirm that the packets are being forwarded from the Internal -> Guest and vice versa. 

    I tried HTTP, HTTPS, SSH from the Internal LAN to Guest LAN (AP). Could not get access from the AP. (Network timeout.)
    No ping response from the Guest LAN either.
    The routing table as follows:
    default via 123.2.2.252 dev ppp0  table 200  proto kernel onlink 
    default via 123.2.2.252 dev ppp0  table default  proto kernel  metric 20 onlink 
    123.2.2.252 dev ppp0  proto kernel  scope link  src 139.216.107.226 
    127.0.0.0/8 dev lo  scope link 
    192.168.0.0/24 dev eth1  proto kernel  scope link  src 192.168.0.1 
    192.168.1.0/24 dev eth2  proto kernel  scope link  src 192.168.1.254 

    This appears to me as a routing issue. 
    Does the Sophos requires OSPF/Static routes switched on in order to route between Interfaces/LANs ?

    I tried with:
    Static gateway routes. 
    Static interface routes.

    Failure after failure...
  • 0
    First, tape over the WAN port on the Linksys, disable DHCP and plug one of the LAN ports into Interface 3 on your UTM box.  I'm not familiar with the inner workings of DD-WRT, but you may need to disable other things

    Make a UTM DHCP server for Interface 3 and you should be good to go as it appears you already have a Masquerading rule and Firewall rule.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi Bob, 

    The ddwrt has been prep-ed as AP. DHCP is on. Management IP is in the range of Sophos Guest interface/LAN
  • 0 in reply to GZgidnick
    Newer DD-WRT builds should allow you to attach the WAN Port to the LAN VLAN when in AP Mode. I also believe while in AP Mode, DHCP is inadvertently disabled. No harm in disabling the service beforehand, either way.

    Curiously, is the DD-WRT Management IP outside of the DHCP Range for that particular Guest LAN Interface? Wondering if maybe there is a DHCP Conflict.

    Another thing to try is extending the DD-WRT Subnet from 255.255.255.0 to 255.255.0.0, to include both 192.168.0.x and 192.168.1.x (and effectively 192.168.x.x as well).

    Let me know if any of that helps [:)]
  • 0
    Hi guys,

    I finally got the time to perform some excessive testing with the Hotspot setup.

    My conclusions/results are fairly simple:
    Bottom line: Apparently with the latest Sophos release the Hotspot is planned a a completely isolated network from the other(production) networks due to security issues.

    If the Hotspot is turned off, Guest and Internal network can speak just fine.
    If the Hotspot is turned on, Guest and Internal network will not communicate to each other regardless of the different approaches taken to trick the Firewall (SNAT, DNAT, Masquerading, Static Routing etc.)

    If someone menages to perform successful testing to prove the opposite I'll be happy to hear.
  • 0
    A hotspot is defined on an entire interface.  The Guest interface is the one on which you've defined a Hotspot - correct?  Making a Hotspot on a working Guest interface should not require any tricks.  I don't recall anyone else having the problem you describe.  Please click on [Go Advanced] and attach a picture of the Hotspot definition open in Edit mode.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML