Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 3839 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Hotspot with non-Sophos AP issues

GZgidnick
Hi guys,

I hope some one will be able to help me as I already spend few days trying to get working solution for my home using Sophos UTM9.2 Home eddition.

The UTM is running with 3 physical interfaces.
Interface 1: Uplink PPPoE -> Internet
Interface 2: Internal LAN [192.168.0.0]
Interface 3: Hotspot LAN [192.168.1.0]

On the Hotspot Interface I have plugged Linsys running DD-WRT configured as AP. 
The Management IP of the AP is in the Hotspot Interface range. 
The AP is plugged directly to the Sophos Guest Interface

Sophos is running dedicated DHCP on this interface. 
The interface IP address is passed as a default gateway for the clients connecting onto the Hotspot.
When clients can succesfully obtain IP address from the server.


The issue:
Cannot ping the Internal LAN clients from the Guest  LAN.
Cannot ping Guest LAN from the Internal LAN.
Sophos can ping both Guest and Internal LANs.

I have tried with Firewall rules 
ANY - ANY - ANY
ANY - ping - ANY
Guest LAN; Internal LAN - ANY - Internal LAN; Guest LAN
SNAT: Internal LAN - ANY - Guest LAN (Src translation = Guest IPADDR)
SNAT: Internal LAN - HTTP - DDWRT (Src translation = Guest IPADDR)

Nothing works!

Note: the only thing that works between the LANs is the WebAdmin. WebAdmin has been configured to accept connection from ANY interface.
Guest LAN clients can open WebAdmin w/o any issues or additional configuration.

I want to have the DD-WRT admin interface accessible from the Internal LAN
I want the Internal Web Server to be accessible from the Guest LAN
I want FTP server to be accessible from the Guest LAN.

I followed the folowing article(he best I could find online) and few others:
https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/21968 

Spent years in the Voice industry makes me complete Firewall/Security noob. So far I was only deactivating firewalls on my way but now I want to learn.

Any help welcome!


This thread was automatically locked due to age.
Parents
  • 0
    I've had issues in the past with DD-WRT actually being set to work in AP mode. I used a WRT600N that worked well in AP mode and a E4200 that didn't work well at all in AP mode. Maybe it is Firmware Version related, maybe it is the SPI Firewall, etc.

    That being said, you're going to need to do a couple things.
    [LIST=1]
    • You didn't mention a Masquerading Rule. You need a Masquerading Rule so that all Guest LAN traffic can reach the outside. Network Protection --> NAT --> New Masquerading Rule for Guest LAN --> External.
    • DD-WRT Admin Interface: On your DD-WRT Router, go to Administration --> Management and look under Remote Access. You'll need to enable either Allow Any Remote IP or Web GUI Management and maybe even both. By default, DD-WRT seems to only allow subnet connections.
    [/LIST]
    As far as your other concerns, a couple Firewall Rules should be all that you need: 
    [LIST=1]
    • Internal LAN --> Any --> Guest LAN
    • Guest LAN --> Any --> Internal LAN
    [/LIST]
    I certainly hope this helps. Let me know how it works out.
Reply
  • 0
    I've had issues in the past with DD-WRT actually being set to work in AP mode. I used a WRT600N that worked well in AP mode and a E4200 that didn't work well at all in AP mode. Maybe it is Firmware Version related, maybe it is the SPI Firewall, etc.

    That being said, you're going to need to do a couple things.
    [LIST=1]
    • You didn't mention a Masquerading Rule. You need a Masquerading Rule so that all Guest LAN traffic can reach the outside. Network Protection --> NAT --> New Masquerading Rule for Guest LAN --> External.
    • DD-WRT Admin Interface: On your DD-WRT Router, go to Administration --> Management and look under Remote Access. You'll need to enable either Allow Any Remote IP or Web GUI Management and maybe even both. By default, DD-WRT seems to only allow subnet connections.
    [/LIST]
    As far as your other concerns, a couple Firewall Rules should be all that you need: 
    [LIST=1]
    • Internal LAN --> Any --> Guest LAN
    • Guest LAN --> Any --> Internal LAN
    [/LIST]
    I certainly hope this helps. Let me know how it works out.
Children
No Data
Unfiltered HTML