Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 5428 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WLAN with LAN-IPs

NetworkingNewbie
Good morning everybody,

I got the task to configure a Sophos UTM 110 (Firmware 9.206-35) and an AP-10 to have 2 SSIDs (Guest Hotspot in Voucher configuration and one for e.g. internal laptops).

I have no problems whatsoever setting up the Guest WLAN and the Hotspot.
My problem is that our customer wants all his APs in one IP-range (e.g. 192.168.1.x) and the internal WLAN in the LAN IP-Range so the clients log into the internal WLAN but still get an IP (from the UTM DHCP Server) from the same range as a LAN-connected device would get.

I've tried multiple setups with Vlans and bridging but nothing seems to work out.

Summary:
Internal LAN
Internal WLAN (Getting IPs from the same range as LAN)
Guest WLAN with Hotspot (not a problem)
AP-Network (For the APs obviously)

How can I get the internal WLAN to take IPs from the internal LAN?

Cheers in advance for any help


This thread was automatically locked due to age.
  • 0
    Simply set the Internal WLAN to Type "Bridged to AP LAN".

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0

    My problem is that our customer wants all his APs in one IP-range (e.g. 192.168.1.x) and the internal WLAN in the LAN IP-Range so the clients log into the internal WLAN but still get an IP (from the UTM DHCP Server) from the same range as a LAN-connected device would get.


    The APs are supposed to be in a seperate network.
    e.g. 192.168.1.x = AP-Network
    192.168.0.x = LAN
  • 0
    OK, then it's not possible (unless you make use of VLANs and configure the AP for the appropriate VLANs).
    Why don't you put them into the internal network?

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0
    The customer doesn't want anybody at all to have access to the aps except for the admins themselves.
    I have tried using VLANs but it didnt work for me. I might have done something wrong though..
    VLAN 20 is for the internal network, tagged on eth2 and eth3 (eth3 for the LAN).
    VLAN 30 is for the access point network tagged on eth2.
    Internal WLAN is bridged into VLAN 20.
    DHCP Server is running on VLAN 20
    I can connect to the internal wlan and get an IP as well as access in internet and so on but when I try to connect via cable on eth3 I cannot access the network. Not even with a static IP that I know is in the internal IP range
  • 0
    Without knowing your environment better it is difficult to help you.
    Can you draw a picture how things are connected?

    For the security approach your customer thinks he has: The Sophos APs do not have a Web interface or other possibilities to be accessed directly, they can only be configured with a UTM. So he doesn't gain any advantage by putting them into a separate network, instead making things much more complicated.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0
    I know its complicated but the customer wants it that way.
    After all laptops infected with dos-bots can still take attack the access point. A study showed that most dos/ddos attacks come from the inside the LAN from infected devices.
    Picture is in the attachments. Thanks a lot, appreciate it
  • 0
    I don't think this can work.
    The UTM does not bridge the two interfaces so it does not transparantly handle the VLAN traffic.
    You will have to put the APs on a VLAN capable switch where you configure both VLANs on the ports where the APs are plugged in.

    But again: In my opinion absolutely no security advantage. What can happen if an attacker does a DoS attack on an AP? Worst case: the WLAN in this APs area won't work for some time.
    And if an internal WLAN device gets an IP from the internal LAN (and thereby also has access to the internal LAN!) he can DoS attack the whole internal LAN, even your customer's preferred solution!

    But if you couldn't convince your customer, perhaps he should work out the solution... [;)]

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0
    Thanks a lot for the help.
    We'll talk to the customer and talk him out of it. [:P]

    Have a nice day [:)]
  • 0
    Good luck! [:)]

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0
    I think this CAN work!
    See the config of one of my AP's in the attached picture.

    I do have the UTM interface (with multiple VLAN's on it) connected to a simple Netgear GS108PEv2 VLAN-aware switch. Make sure to only use Tagged ports otherwise it won't work.

    Managing several Sophos firewalls both at work and at some home locations, dedicated to continuously improve IT-security and feeling well helping others with their IT-security challenges.

Unfiltered HTML