Guest User!

You are not Sophos Staff.

Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 2 replies
  • Answers 1 answer
  • Subscribers 3 subscribers
  • Views 1337 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WLAN-LAN Bridge

Martin Mosch

Hallo,

ich habe ein kleines Verständnisproblem was den Modus WLAN to LAN Bridge betrifft, wenn man 2 seperate LANs betreibt.

Ich habe folgende LAN

A = Verwaltung

B= Produktion

In beiden LAN sollen jeweils auch beide WLAN funktionieren.

Wenn ich nun ein AP in der Produktion installiere und dem Accespoint das WLAN Verwaltung zuweise(welches zum AP-LAN gebridget ist), dann bekommt doch das WLAN Verwaltung eine IP aus dem Produktionsnetz, richtig?

Ich denke der AP-Bridge Mode fällt ganz weg bei diesem Szenario. Da ja im Produktionsbereich das WLAN Verwaltung auch an verschiedenen APs zur Verfügung stehen soll, kann ich es ja nicht in das LAN "bridgen" da es ja dann eine andere IP hat.

Ich denke ich muss extra WLAN Netze anlegen und den Traffic mit Firewallregeln regeln, oder habe ich ein Denkfehler?

Gruß Martin



This thread was automatically locked due to age.
  • FormerMember
    0 FormerMember

    Hi

    Thank you for reaching out to the Community! 

    When you create a bridge to AP LAN wireless network, wireless clients will share the same IP address range configured on the physical LAN interface that AP is connected to. If you connect the new AP in the production network port/interface, all the wireless clients will share the same network address range configured on that production interface. 

    If you are trying to allow traffic between administration and production networks, you need to configure a firewall rule. Suppose you have the wireless network bridge to AP LAN. The AP is connected to the production LAN; you would need a firewall rule to allow traffic from the WLAN(Production) to your administration network. 

    Thanks,

  • 0

    Hallo Martin,

    das hatten wir doch neulich schon einmal, oder? Den Nachteil des "Bridge-to-AP" Modus hast du ja jetzt klar erkannt.

    Ich würde es daher mit "Separate Zone" realisieren. indem du zum Beispiel eine Zone "WLAN_Produktion" und eine Zone "WLAN_Verwaltung" anlegst.

    Du erhälst dann virtuelle Schnittstellen für diese WLANs in der Form wlan0, wlan1 usw. Diese WLAN-Schnittstellen sind dann dem jeweiligen logischen Netzwerk zugeordnet.

    Mit den physischen Netzwerken, an die die Access Points angeschlossen sind, hat das nicht mehr direkt zu tun. Eigentlich ist das ein tolles Prinzip, da dadurch die Netzwerkadressen der WLANs von den physischen (Transport-) Netzwerken entkoppelt werden.

    Also nochmal zusammengefasst:

    Physisch schliesst du die APs an ein LAN an, das dort vorhanden ist, wo die APs angebracht werden. Das können auch beide LANs sein, vollkommen egal. Du musst die Schnittstelle zu diesem Netzwerk (oder Schnittstellen zu diesen Netzwerken) dann unter "Wireless Protection/Global Settings/Allowed Interfaces" zulassen. Die APs holen sich per DHCP eine IP aus dem "Transport-Netzwerk". Damit ist die Physik erledigt, keine Firewallregeln notwendig bis hierher.

    Logisch erhälst du jetzt pro WLAN-Definition eine logische Schnittstelle wlan0", "wlan1" usw. An diese Schnittstelle bindest du einen DHCP-Service, der an die WLAN Clients IP- Adressen vergibt. Diesen Netzen gibt du per Firewallregeln Zugriff auf die Ressourcen, wie es bei euch notwendig ist.

    Abschliessend ordnest du den AP die WLANs zu, die sie "über die Antenne" verteilen sollen, den Rest erledigen die APs und die SG schon selbst.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

Unfiltered HTML