SG115W - Built In WiFi Problem

I haven't played with one yet. From your description, it sounds like the solution is to bridge the Internal interface to localwifi0 in 'Interfaces & Routing'. 

Then again, rereading your post, try deleting the SSID TestWiFi first - problem solved?

Cheers - Bob  

Sorry for any short responses.  Posted from my iPhone.

When creating a SSID, it only give me four option.

a. Separate Zone
b. Bridge to AP LAN
c. Bridge to VLAN
d. Standalone Interface

Separate Zone:
The wireless network is handled as a separate network, having an IP address range of its own.

Standalone Interface:
(only for Local Wifi Device): For the SG "w" appliances with on-board wifi, you can configure the wireless network directly on the UTM. You can set an IP address range and configure DHCP like a standard Ethernet device. The interface will enslaved into a bridge named 'WirelessBridgebr10X' and is listed on the Interfaces & Routing > Interfaces > Interfaces tab.


After creating the SSID, I can only assign the SSID to the BuiltIn Local AP if the SSID is created by either Separate Zone or Standalone Interface. If I use the Bridge to AP LAN, it will give me the error message:
"The access point 'LocalWifi0' can't use the client traffic option: 'Bridge to AP LAN', which is used by the SSID 'TestWiFi'." Same for Bridge to VLAN.

So I really not sure on the built-in Local AP, it really cannot be used on the same interface IP range as the firewall ? If this is true, I find it not useful when you have a WiFi but cannot use on the same internal network.

Are you not able to bridge to AP LAN if you delete the TestWi-Fi SSID?

Cheers - Bob

Sorry for any short responses.  Posted from my iPhone.

The way Sophos implemented that local AP stuff is very unintuitive (and I'm being gentle here!) and it doesn't play well together with other APs, especially because grouping is not really possible.

Due to a bug it's possible to do as of now, not sure if it will work in the future (I hope so):

You need to create a separate SSID (you can use the same value though if using other APs as well!) to be used dedicated by the builtin (local) AP, using the standalone interface type for client traffic. That auto-creates an half-empty bridge interface. That bridge doesn't have a delete option but its still possible to delete it by using the 'mass action' tool (thats the bug). Then, edit your internal LAN interface and change its interface type to 'bridge' and also select the now unused wifiX interface as another port. Remember to allow ARP broadcasts and possibly other (non-IP) ethertypes you're using (STP, Loop-detection etc.) to cross the bridge. Check packetfilter log for any unexpected dropped packets in your LAN, maybe you need to adjust your ruleset.

EDIT: doesn't work, see below.

Hi,

Thanks for the tip, that's something I'm probably going to have to do when setting up our 135W appliance next week when I get back in the office!

Thanks and good holidays,
Andrew.

Hm. As I found out during the holidays, my solution doesn't seem to work [:(]. Hostapd doesn't authenticate WPA because it uses the wrong (previously deleted) bridge in that case.

Sophos must come up with sth. useful and that standalone-interface/auto-create-bridge approach is not, period.

My proposal to Sophos: Remove that weird standalone-interface/auto-create-bridge stuff alltogether. Allow the existing bridge-to-AP-LAN mode for local AP as well by simply creating wifiX which then can be used as a port within the standard ethernet bridge interface type. And also support separate-zone for local AP, there is no good reason why that should not be possible (add the wifiX port to the corresponding hidden wlanX bridge). Also it would be great to see that the hostapd.conf only has settings actually supported by the wifi card ("ht_capab" is hardcoded for example) as that'd be useful for Software-UTMs with an Atheros card.

Agreed, Mario, Wireless Protection is still more an add-on than an integrated part of the offering.

Cheers - Bob

Hi,

I ordered an SG135W appliance but they sent me an SG135 without wifi.  I believe this to be the case since the appliance says SG135 on the front and there is no wireless card that I can see from looking at the unit, and when I go into the options for the WIFI I can't see any access point listed.  Not sure if there is any other way to tell the model.

If they can't swap the appliance it may be better to get them to send me an access point instead which means I can bridge to the LAN without issues.

Let's see what they suggest on Monday.
Thanks.
Andrew.

If they can't swap the appliance it may be better to get them to send me an access point instead which means I can bridge to the LAN without issues.

I recommend to go that way if possible.

I have the same problem here.
Sophos SG105w Appliance.
I want to bridge the WLAN to the LAN, but can't attach the configured WLAN to the integrated accesspoint. I get the error "The access point 'LocalWifi0' can't use the client traffic option: 'Bridge to AP LAN', which is used by the SSID 'TestWiFi'."
If I use "separate zone" I can't configure a DHCP-Server for the wireless network.

Are there any solutions/recommendation jet?

Dome

Edit: In the following thread was mentioned, that this error is a known bug:
https://community.sophos.com/products/unified-threat-management/astaroorg/f/60/t/56535