Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 3839 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Hotspot with non-Sophos AP issues

GZgidnick
Hi guys,

I hope some one will be able to help me as I already spend few days trying to get working solution for my home using Sophos UTM9.2 Home eddition.

The UTM is running with 3 physical interfaces.
Interface 1: Uplink PPPoE -> Internet
Interface 2: Internal LAN [192.168.0.0]
Interface 3: Hotspot LAN [192.168.1.0]

On the Hotspot Interface I have plugged Linsys running DD-WRT configured as AP. 
The Management IP of the AP is in the Hotspot Interface range. 
The AP is plugged directly to the Sophos Guest Interface

Sophos is running dedicated DHCP on this interface. 
The interface IP address is passed as a default gateway for the clients connecting onto the Hotspot.
When clients can succesfully obtain IP address from the server.


The issue:
Cannot ping the Internal LAN clients from the Guest  LAN.
Cannot ping Guest LAN from the Internal LAN.
Sophos can ping both Guest and Internal LANs.

I have tried with Firewall rules 
ANY - ANY - ANY
ANY - ping - ANY
Guest LAN; Internal LAN - ANY - Internal LAN; Guest LAN
SNAT: Internal LAN - ANY - Guest LAN (Src translation = Guest IPADDR)
SNAT: Internal LAN - HTTP - DDWRT (Src translation = Guest IPADDR)

Nothing works!

Note: the only thing that works between the LANs is the WebAdmin. WebAdmin has been configured to accept connection from ANY interface.
Guest LAN clients can open WebAdmin w/o any issues or additional configuration.

I want to have the DD-WRT admin interface accessible from the Internal LAN
I want the Internal Web Server to be accessible from the Guest LAN
I want FTP server to be accessible from the Guest LAN.

I followed the folowing article(he best I could find online) and few others:
https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/21968 

Spent years in the Voice industry makes me complete Firewall/Security noob. So far I was only deactivating firewalls on my way but now I want to learn.

Any help welcome!


This thread was automatically locked due to age.
Parents
  • 0
    Thank you for the responses gents!

    I've done quite a bit of testing tonight and i think i am narrowing down the issue.

    As per DaMaN841:
    - DD-WRT already had Remote Management turned on for HTTP, HTTPS and SSH for any IP address.
    - The following firewall rules were already in place:
    Internal LAN -> Any -> Guest LAN
    Guest LAN -> Any -> Internal LAN
    - The following masquerading rules were already in place (Internet is reachable from both networks):
    Internal LAN -> WAN
    Guest LAN -> WAN

    As per BarryG
    - ICMP were already switched under the Advanced Tab
    - I followed your advise and deactivated the Hotspot. Effectively I got two Internal LANs. During testing I activated logging for the SNAT rules, and initial packet logging for the Firewall rules. 
    I was able to confirm that the packets are being forwarded from the Internal -> Guest and vice versa. 

    I tried HTTP, HTTPS, SSH from the Internal LAN to Guest LAN (AP). Could not get access from the AP. (Network timeout.)
    No ping response from the Guest LAN either.
    The routing table as follows:
    default via 123.2.2.252 dev ppp0  table 200  proto kernel onlink 
    default via 123.2.2.252 dev ppp0  table default  proto kernel  metric 20 onlink 
    123.2.2.252 dev ppp0  proto kernel  scope link  src 139.216.107.226 
    127.0.0.0/8 dev lo  scope link 
    192.168.0.0/24 dev eth1  proto kernel  scope link  src 192.168.0.1 
    192.168.1.0/24 dev eth2  proto kernel  scope link  src 192.168.1.254 

    This appears to me as a routing issue. 
    Does the Sophos requires OSPF/Static routes switched on in order to route between Interfaces/LANs ?

    I tried with:
    Static gateway routes. 
    Static interface routes.

    Failure after failure...
Reply
  • 0
    Thank you for the responses gents!

    I've done quite a bit of testing tonight and i think i am narrowing down the issue.

    As per DaMaN841:
    - DD-WRT already had Remote Management turned on for HTTP, HTTPS and SSH for any IP address.
    - The following firewall rules were already in place:
    Internal LAN -> Any -> Guest LAN
    Guest LAN -> Any -> Internal LAN
    - The following masquerading rules were already in place (Internet is reachable from both networks):
    Internal LAN -> WAN
    Guest LAN -> WAN

    As per BarryG
    - ICMP were already switched under the Advanced Tab
    - I followed your advise and deactivated the Hotspot. Effectively I got two Internal LANs. During testing I activated logging for the SNAT rules, and initial packet logging for the Firewall rules. 
    I was able to confirm that the packets are being forwarded from the Internal -> Guest and vice versa. 

    I tried HTTP, HTTPS, SSH from the Internal LAN to Guest LAN (AP). Could not get access from the AP. (Network timeout.)
    No ping response from the Guest LAN either.
    The routing table as follows:
    default via 123.2.2.252 dev ppp0  table 200  proto kernel onlink 
    default via 123.2.2.252 dev ppp0  table default  proto kernel  metric 20 onlink 
    123.2.2.252 dev ppp0  proto kernel  scope link  src 139.216.107.226 
    127.0.0.0/8 dev lo  scope link 
    192.168.0.0/24 dev eth1  proto kernel  scope link  src 192.168.0.1 
    192.168.1.0/24 dev eth2  proto kernel  scope link  src 192.168.1.254 

    This appears to me as a routing issue. 
    Does the Sophos requires OSPF/Static routes switched on in order to route between Interfaces/LANs ?

    I tried with:
    Static gateway routes. 
    Static interface routes.

    Failure after failure...
Children
No Data
Unfiltered HTML