This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Wireless Protection - impact of UTM failure

Hi,

I'm currently planing a WLAN project for a customer. He wants to replace all cabeling with wireless stuff.

We currently plan to use several Sopos APs (6 x AP15 an 12 x AP30 together with a UTM 120). 

The customer now asks if he needs high availability for the UTM appliance. 
So the question is what will happen if the UTM has a hard/software failure ? 
Does the WLAN form the APs still work? (meaning can local workstations still communicate internally?) 
Of course Guest-Access/Vouchers from Sophos will not work. But my guess is that internal LAN communication (in the same Subnet) will still work. Is that correct?

Another question is how many APs can be connected to a UTM120?


This thread was automatically locked due to age.
  • I don't think this will work. Sophos APs pull their config from the UTM, so if there is no UTM they won't get a config...

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • Thanks for your reply. Sure, if UTM is down the device won't recieve a config. But if the device is initially configured it has a config it could be working? (of course if the AP reboots the config is lost). 

    What if the UTM is updated and reboots? Is then the WLAN completely down?
  • The WLAN will not be available if the UTM is not up and running.  This includes reboots, outages, etc.  The best insurance against such a scenario is to run the UTM in HA mode with a backup unit -- the HA license is included for free with any subscription purchase.  Switchover time for HA is under 10 seconds in most cases.  The only additional cost to run an active/passive HA configuration is the purchase of the 2nd appliance; the HA licensing is included as part of the subscription(s) purchased for the primary unit.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Sophos Platinum Partner

    --------------------------------------

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • Hi, Lorenzso, and welcome to the User BB!

    I always agree with Bruce and scorpionking! [;)]

    If the only SSIDs are ones that are bound to LAN/VLAN, then a 120 might have enough power for that number of APs, but that would be risky!  I would recommend two SG 125s in Hot-Standby.  You might get away with 115s, but that also could be risky.  Depending on what else the Sophos Appliance will be doing (VPNs, Web Protection, etc.) and the number of  users, you might want much larger than 125.  If you are a new Sophos Reseller, you should have your distributor (I see that you're in Germany) help you with these recommendations.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Thanks for advice!

    Yes, I'm only planing "Bridge to AP LAN/VLAN" and no seperate zones. I totally agree that tunneling traffic to an UTM120 with about 18 APs is far to much [:)].

    Thanks for the hint to SG Series, also found that there are some interesting trade ins/promos. I will advice the customer to upgrade the hardware.

    I find it annoying that APs don't work when UTM is unavailable (if they bridge to LAN/VLAN). From a technical point of view I can't understand this behavior.
  • The Sophos APs are controlled from the UTM that means security tables, IP address assignments etc, so no UTM, no connectivity.

    You are going to have the same issue with any AP you setup similar to a Sophos AP, eg all the smarts about the network will be handled by another device eg routing tables, dhcp server etc

    Ian

    XG115W - v20.0.2 MR-2 - Home

    XG on VM 8 - v21 GA

    If a post solves your question please use the 'Verify Answer' button.

  • So I was wondering the same thing but in case we have a red in branch office (split mode) and APs behind it, if connection to HO is lost no one on the remote site will be able to connect the APs and access the internet ??
  • if connection to HO is lost no one on the remote site will be able to connect the APs and access the internet ??
    This is correct.  Traffic is sent from the APs to the UTM for processing.  You can test this yourself with a local AP.  Unplug the ethernet cable to the AP and see what happens.  No different than connection between a RED and remote APs being severed.

    If this is problematic for you, you'd be better off getting a lower end SG appliance for the remote office, so it can have its' own UTM install, for local control of APs, then create a S2S connection between the HQ and remote office UTMs.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • Thanks Scott, I got it but that would more expensive than a RED.
  • Traffic is sent from the APs to the UTM for processing.

    Except for the traffic within the LAN if the SSID is bridged to the LAN.  Still, if he's using the RED in Standard mode and running the branch's traffic to the Internet through the UTM, no external traffic would be possible.

    that would more expensive than a RED.

    Remember that the low-end RED can't do 30Mbps, you need the RED 50 for that.  An SG 105 with six years of Network Protection costs a few percent more than a RED 50.  With the SG, you can make a RED tunnel to the UTM at HQ, prefer that connection if it's up and failover to a direct connection to the Internet.  You wouldn't have the protection of Web Filtering, but it sounds like this solution might be the best one for you.

    If you also want Web Filtering at the branch, the cost would more than double because you would want to move up to the SG 115.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA