Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 3 subscribers
  • Views 16139 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Hotspot Configuration

jalil1408
Hello,

What is the appropriate configuration that enables UTM 9 to manage hotspot:
  - Install USB wireless card on UTM
  or
  - Connect an AP to the internal network switch
And what are the steps to setup this configuration?


This thread was automatically locked due to age.
  • 0
    Hi,

    The UTM generally doesn't support wireless cards.

    Connect an AP to a new VLAN or a new interface on the UTM, on a new subnet with DHCP, Masq, DNS, and firewall rules.

    Enable the Hotspot on that network.

    Make sure to disable DHCP, etc. on the AP. see https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/21968

    Barry
  • 0
    I choose to plug the AP (DD-WRT) to the local switch:

    AP --- Switch --- UTM --- Internet

    Very confusing : AP VLANs, Switch VLANs, Sophos UTM Ethernet VLANs

    How to bring them together to create 2 SSID (Local-SSID & Guest-SSID) and allow Guest only accessing internet with vouchers!

    Thank you Barry for a detailed instructions.
  • 0
    Hi,
    1th: Make sure your Switch Supports Vlan.

    A.) Configure Your Accesspoint with two SSIDs
     1. Local-SSID mapped to default Vlan (comonly vlan 1)
     2. Guest-SSID mapped to Guest Vlan (eg. vlan 2)

    B.) Configure Your Switch
     1. Create Vlan 2 (Guest-Vlan)
     2. Configure the Switchport which is connected to the AP to be a Trunk Port
    -> Native Vlan 1, Tagged Vlan2

    B1.) Decide if you want to use the same or different ports on your UTM for internal and Guest Network
     3.1 EITHER configure two Switchports as Accessports one Port access Vlan 1 one Port access Vlan 2
     3.2 OR configure one Switchport similar to the Port the AP is connected to
     4.Connect corresponding Switchports to your UTM

    C.) Configure UTM
    1. Create Interfaces (depending on Decision B1) create Physical or Vlan-Interfaces.
    2. Create DHCP Server for Guest Network
    3. Create Firewall Rule for Guest-Network (you can user your new Guest-LAN-Interface Network Object) to allow HTTP/HTTPS on destination Object "Internet IPv4/6"
    4 Create Hotspot:
    4.1 Go To: wireless protection - Hotspot - General Toggle Switch to Enabled
    4.2 Go To: Tab Hotspots, Klick New Hotspot
    -> Create new Hotspot in front of your new Guest-LAN-Interface Object
  • 0 in reply to lnacke@cema.de
    Hi,
    1th: Make sure your Switch Supports Vlan.

    A.) Configure Your Accesspoint with two SSIDs
     1. Local-SSID mapped to default Vlan (comonly vlan 1)
     2. Guest-SSID mapped to Guest Vlan (eg. vlan 2)

    B.) Configure Your Switch
     1. Create Vlan 2 (Guest-Vlan)
     2. Configure the Switchport which is connected to the AP to be a Trunk Port
    -> Native Vlan 1, Tagged Vlan2

    B1.) Decide if you want to use the same or different ports on your UTM for internal and Guest Network
     3.1 EITHER configure two Switchports as Accessports one Port access Vlan 1 one Port access Vlan 2
     3.2 OR configure one Switchport similar to the Port the AP is connected to
     4.Connect corresponding Switchports to your UTM

    C.) Configure UTM
    1. Create Interfaces (depending on Decision B1) create Physical or Vlan-Interfaces.
    2. Create DHCP Server for Guest Network
    3. Create Firewall Rule for Guest-Network (you can user your new Guest-LAN-Interface Network Object) to allow HTTP/HTTPS on destination Object "Internet IPv4/6"
    4 Create Hotspot:
    4.1 Go To: wireless protection - Hotspot - General Toggle Switch to Enabled
    4.2 Go To: Tab Hotspots, Klick New Hotspot
    -> Create new Hotspot in front of your new Guest-LAN-Interface Object


    Thank you very much for these instructions, below some points come to mind:

    * B1. I decided to use the same port on UTM for both internal and guest network, so I have to connect this port to another trunk switch port (vlan1+vlan2)?

    * C1. I am supposed to create two Ethernet VLAN?

    * The VLAN Tag (ID) should be the same on the AP, Switch and the UTM?

    * The AP, the Domain Controller and Ethernet users are connected to the switch, their subnet is 192.168.1.0/24:
       - What should be the subnets of the two SSID so they can both connect to the internet and only the local SSID can connect to the Domain Controller and to the other local resources: 
                -- Local SSID subnet equals to 192.168.1.0/24 or different?
                -- Guest SSID subnet equals to 192.168.1.0/24 or different?
                -- Guest SSID subnet equals to the local SSID subnet or different?
       - Where and how should I configure the DHCP, DNS for these 3 subnets (Internal, Local SSID, Guest SSID)?
       - Where and how should I prevent Guests SSID from accessing local resources?
       - Where and how can I limit the Guest bandwidth?

    Can I email you to the address that figures on your profile name?
  • 0
    * The VLAN Tag (ID) should be the same on the AP, Switch and the UTM?


    Yes it has to be the same.

    * B1. I decided to use the same port on UTM for both internal and guest network, so I have to connect this port to another trunk switch port (vlan1+vlan2)?


    -> you can use a "new" switchport or reconfigure the currently used.
    your Switchport should have the following configuration (cisco wording)
    mode: trunk
    Native vlan: 1 ( or whatever is your default / client vlan)
    allowed vlan: 2 (or whatever you define as Guest vlan)

    it could look like this:
    interface GigabitEthernet4/24
     switchport trunk encapsulation dot1q
     switchport trunk allowed vlan 2
     switchport mode trunk


    native vlan isn't shown because vlan 1 is default native:

    * C1. I am supposed to create two Ethernet VLAN?


    leave your internal interface as it is
    it could look like 
    Internal [Up] on eth0

    now add an Interface
    name: Guest
    Type: Ethernet VLAN
    Hardware: eth0 (SAME as Internal Interface!)
    Vlan Tag: Your Guest Vlan ID
    IP-Adress: define an IP for this Interface --- wait til next questions [[;)]]

    -- Local SSID subnet equals to 192.168.1.0/24 or different?

    in an easy setup the internal wireless network can be the same as your internal cabled network. Turn off the DCHP-Server funktionality of your AP, use your existing.

    -- Guest SSID subnet equals to 192.168.1.0/24 or different?

    feel free to define a new network (you don't want your Guests in your internal network)
    if you choose vlan 1 (default) and 2 (guest) you could go with 192.168.2.0/24 for beter readability [[;)]]
    This Range is important for the Interface-Definition in your UTM-Guest-Vlan-Interface.
    The UTM the Default Gateway of your Guest Network you should assign an adress in that range to it's interface (e.g. 192.168.2.1 or 192.168.2.254).
    Turn off dhcp server funktionality on your AP.
    you can create a dhcp server or dhcp relay on the UTM for your Guest-Network.

    -- Guest SSID subnet equals to the local SSID subnet or different?


    nope - see above

    - Where and how should I configure the DHCP, DNS for these 3 subnets (Internal, Local SSID, Guest SSID)?


    Internal & Local SSID (if you use the same subnet):
    - use your existing DHCP & DNS (your Domain Controller?)
    - for external DNS lookup you can point your domaincontroller to the internal interface of your UTM and configure DNS proxy on the UTM

    Guest SSID:
    Create both on UTM

    - Where and how should I prevent Guests SSID from accessing local resources?


    you can create a Firewall Rule like:
    "Guest Network --> Websurfing --> Internet IPv4"
    the default drop drops everything else.

    - Where and how can I limit the Guest bandwidth?

    Go to: Interfaces & Routing - QoS

    Can I email you to the address that figures on your profile name? 

    ok.
  • 0 in reply to lnacke@cema.de
    The internal interface is on eth0 and the extrnal is on eth1.
    I cannot create the guest interface (ethernet vlan) because there is no more hardware interfaces!
  • 0
    What version are you running?  You need to be on 9.3x to add a VLAN to an existing interface.
  • 0
    What Hardware and wich UTM Version do You use?
    On 9.2 you'll Need to delete your internal Network Interface and recreate it as taged vlan Interface.
    Then you can create the Second vlan Interface.

    If you have One Free physical NIC you can create both vlans on this free NIC.

    If you don't have another NIC you should make sure to do this configuration from your external Interface or temporary reconfigure your external Interface as Management Port with Local IP


    (iPhone Astaro App)
  • 0 in reply to lnacke@cema.de
    I'm using UTM 9.211-3 software version.
    lnacke@cema.de : thank you that would work.

    Currently I'm having troubles to setup VLANs on my Access Point, as an alternative solution I'm planning to connect two Access Points to the switch (one for my Private network and the second for the Guest network). How to make this configuration working?
  • 0 in reply to jalil1408

    Currently I'm having troubles to setup VLANs on my Access Point, as an alternative solution I'm planning to connect two Access Points to the switch (one for my Private network and the second for the Guest network). How to make this configuration working?


    assuming that your Internal Client-Lan is Vlan 1 and Your Guest Lan will be vlan 2 you neet to configure the following:

    as already told configure your physical internal Interface on the UTM to have vlan-tagged interfaces in vlan 1 and 2.
    the Switchport connected to your UTM needs to be configured as "Trunk" with vlan 1 & 2 allowed.
    The Switchport connected to your Guest AP needs to be configured as "Access" and to access vlan 2
    The Switchport connected to your Internal AP needs to be configured as "Access" and to access vlan 1