Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 3 subscribers
  • Views 1242 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM WLAN Tagging für Access Points, kein Internetzugang

Vore

Hallo Zusammen!

Ich möchte meine Sophos Access Points in ein eigenes VLAN packen. Hat soweit auch funktioniert. Die Access Points sind in der UTM sichtbar und ich kann mit dem Wifi-Geräten mit den Access Points verbinden. Mit den Geräte über Wifi kann ich auch auf Dienste innerhalb meines LANs zugreifen (Nas etc.). Allerdings bekomme ich mit dem Wifi-Geräten keinen Zugriff auf das Internet. Ich kann auch keine Pings auf die IP-Adresse der UTM senden (kommt kein Ping zurück). 

Ich habe zwei VLANS (1 für das "normale Netz" und 3 für die Access Points) beide VLANS liegen auf einem Ethernet-Port der UTM (ETH1). Auf den Switch habe ich den Port zur UTM und zum Access-Point als "tagged" in VLAN 1 und 3 gesetzt.

Die Acess-Points haben alle die VLAN-ID 3. In den Einstellungen vom Wfi habe ich "in VLAN taggen" und dann auf VLAN1 (Hausnetz) eingestellt. 

Mit den Geräten im LAN (hängen alle am gleiche Switch mit alle Ports auf VLAN1 untagged) klappt alles wie es soll (Internet und internes Netz).

Damit es vielleicht besser nachvollziehbar ist, habe ich mal einen Soll-Zustand gezeichnet. Ist vermutlich nicht ganz einfach. Das ganze läuft schon länger so, aber ohne das getrennte WLAN (WLAN läuft derzeit noch im Modus "bridge to AP-Lan" auf ETH1).

Jemand eine Idee?

Danke!

Gruß



This thread was automatically locked due to age.
  • 0

    Hallo,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Frowning2)

    I don't see what advantage you get by having the Access Points in their own separate VLAN - why not solve this problem by putting them in VLAN1?  Otherwise, there are just too many potential issues: 'ICMP' settings, masquerading, firewall rules, Web Filtering setup, etc.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Hello!

    Thanks for you feedback. Basically I tried some stuff with your help a few years ago https://community.sophos.com/utm-firewall/f/german-forum/112798/sophos-ap15-in-zwei-netzen-und-ap15 and finally I got the hint from another user to use VLANs ( I wanted to try this more early but shutting down the network at home is as critcal as the company network :-) ).  I exptected that I have to do this with a sperate VLAN for the access points. So you think it should be fine to use a VLAN1 for the access points only and other data on the "Hausnetzwerk" will be just without VLAN? This would make things easier to handle for sure.

    Vielen Dank für das Feedback. Vor einigen Jahren haben wir zusammen ein paar Sachen ausprobiert: community.sophos.com/.../sophos-ap15-in-zwei-netzen-und-ap15 und am Ende habe ich den Tip von einem anderen Benutzer erhalten, VLANs zu nutzen (ich wollte das eigentlich schon viel früher versuchen, aber das Herunterfahren des Netzwerks zu Hause ist genauso kritisch wie das Unternehmensnetzwerk :-)). Ich habe gedacht, dass ich dies mit einem speraten VLAN für die Access Points lösen muss.
    Es sollte also passen, wenn ich VLAN1 nur für die Access Points zu verwenden, und andere Daten im "Hausnetzwerk" ohne VLAN nutze? Das würde natürlich alles einfacher machen.  

    I would try something like this but I need help with step 4 (I don't translate this to German):

    1. Disconnect "Hausnetwerk" Wifi from the bridge BR0 (and remove the bridge).
    2. Create a new VLAN on interface ETH1 with ID1.
    3. Change the "Hausnetwerk" Wifi to "brige to VLAN1".
    4. Change the "Smart" Wifi to ... basically I don't know how I can set this in order to have this Wifi sperated from the "Hausnetwerk Wifi" and "Hausnetzwerk LAN".
    5. Activate VLAN tagging on the Accesspoints and set the AP VLAN to 1.
    6. Change the switch port where the UTM "Hausnetzwerk" Lan is connected to "tagged VLAN ID 1".
    7. Change the switch port where the Accesspoint Lan is connected to "tagged VLAN ID 1".
    8. Change the 2nd switch port where the Accesspoint 2 is connected to "tagged VLAN ID 1".

  • 0 in reply to Vore

    I just remembered that VLAN1 is reserved for Wireless Protection when using Sophos access points.  Replacing VLAN1 with another VLAN# may be all you need to do.  Glück damit gehabt ?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML