Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 3068 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Separate Network

Angeli
Dear all,

I have a trouble wth my configuration and asking for support.
I have 2x network :
- 172.20.X.X : dedicated for LAN acess 
- 192.168.2.X : dedicated for Guest access with wifi in "separate zone" + "isolation" enabled.

But from Guest network,I can ping my LAN network and also access to Web configuration of some printers, PBX,...
I would like to understand why and wherer can I fix this mistake ?

FYI for my Guest access, I configured DNS, NTP, Webfiletring, IPS, FTP

Thanks in advance for your help !
Thomas.


This thread was automatically locked due to age.
  • 0
    Thomas, these are two different issues.  Ping is regulated on the 'ICMP' tab of 'Firewall'.  Guests are accessing the devices of your LAN via the HTTP Proxy.

    Over the years, several of us here collaborated on "Configure HTTP Proxy for a Network of Guests" - if you would like a copy, send an email fo my username here @ the domain in my signature.  Say if you want it in English, German or both.

    Cheers - Bob
  • 0 in reply to BAlfson
    Thanks Bob, I will send you email from my business address.
    Thanks a lot for your help !
    I hope I will find in your doc how to separate access from LAN and Guest.
  • 0
    Hello

    I have the same problem at a foundation I work for.

    Is it the proxy?

    Barry
  • 0 in reply to Hi-Soft
    I'm waiting on Bob documentation and I will try to see if It'sinside HTTP proxy or away [;)]
  • 0
    Can you let me know.

    Thanks in advance.

    Barry
  • 0
    Ok I hae started to read and understand doc from Bob. And a thanks a lot about this !
    That's crazy to see all these step to isolate guest from LAN ? 
    If I would be simple :

    1 : I have created Wifi guest with isolate mode enable and separate network.
    2 : I have create rules to autorize guest > DNS, HTTP, HTTPS, FTP, HTTP Proxy > Internet WAN

    but impossible to go outside ? The only way is to add Guest inside DNS and Webfiltering menu but Why It's not enought with Firewall rules ? It's non sense ?

    Thanks in advance for understanding.
    Have a nice day !
  • 0
    Do you have a rule for Guest Network -> DNS -> Internet Allow?
    Also do your provide your guests with a public DNS-server (not the UTM itself)?
    Finally did you make sure your Guest network is not on the DNS proxy allowed networks list?

    I think important is the web filtering profile where you prohibit access to your LAN('s) from your Guest network. (Step X in the document)

    Does your guest resolve an IP-address when you do a nslookup www.google.nl ?
  • 0 in reply to apijnappels
    I try to answer :
    - yes i have a rules to do it
    - I placed public DNS on DCHP configuration of Guest
    - I removed Guest from DNS proxy allowed
    - Step X not configured until now because of misunderstanding of logic

    >>> Something I don't understand To navigate on Internet, It's require to use Webfiltering or not ?
    In my logic, If I create a rules to open 80, 443, 8080 must be enought no ? And in Webfiltering i will only keep my LAN. Why It's not working on this way ? Do you know the reason maybe ?
  • 0
    Yes, the other option, instead of using the steps in the document, is to not let Guests access the proxy at all.  In that case, rather than limit the outbound ports, I prefer to use a masquerading rule with a different public IP with 'ALLOW : Guest (Network) -> Any -> Internet'.  That way, if a Guest has an infection that causes a problem, the normal business traffic won't be interrupted.

    Cheers - Bob
  • 0 in reply to BAlfson
    Sorry for delay, I used this method and It's ok now !
    Thanks bob !