How to block internal website from guest users

I got a response from stephang after he read through the guide: "Thank you, Bob.  However, your solution requires a separate Guest network - that's what I am trying to get away from.  Any other ideas? Let me ask a different question.  I assume that the Authenticated Domain Users group fetches credentials in real time.  Thus, I could block users who do NOT have credentials.  However, it doesn't seem to be doing that.  Is my understanding incorrect?"

In every case, my customers have either Astaro Wireless Security, or they have their wireless on a separate interface and their wireless router is configured as a switch with the WAN port unused and the Astaro plugged into a LAN port.  DHCP is turned off in the wireless router.

If the wireless network can't be given its own interface on the Astaro, then the most-secure thing is to use the wireless router in the "regular" way (Astaro plugged into the WAN port) so that those using it get addresses in the 192.168.x.0/24 range from its DHCP server, their traffic is NATted and they are assigned only public DNS servers.  You then can null-route any traffic to internal IPs in the wireless router.  The only downside for the Guests is that their IPsec-based VPN clients won't work because of the double NATting.

If Web Security is in a Transparent mode, you'll want to set a static IP (like 172.20.30.254) on the WAN port of the wireless router and be sure that that's excluded from access to the web proxy.  I like the static IP, too, so that you can '{static IP of router} -> Internet : SNAT from External [Guest] (Address)'.  That is, all traffic from the wireless network uses a different public IP (an Additional Address on the External interface) from your primary IP for web, mail, etc.

Did that work?

Cheers - Bob

I got a response from stephang after he read through the guide: "Thank you, Bob.  However, your solution requires a separate Guest network - that's what I am trying to get away from.  Any other ideas? Let me ask a different question.  I assume that the Authenticated Domain Users group fetches credentials in real time.  Thus, I could block users who do NOT have credentials.  However, it doesn't seem to be doing that.  Is my understanding incorrect?"

In every case, my customers have either Astaro Wireless Security, or they have their wireless on a separate interface and their wireless router is configured as a switch with the WAN port unused and the Astaro plugged into a LAN port.  DHCP is turned off in the wireless router.

If the wireless network can't be given its own interface on the Astaro, then the most-secure thing is to use the wireless router in the "regular" way (Astaro plugged into the WAN port) so that those using it get addresses in the 192.168.x.0/24 range from its DHCP server, their traffic is NATted and they are assigned only public DNS servers.  You then can null-route any traffic to internal IPs in the wireless router.  The only downside for the Guests is that their IPsec-based VPN clients won't work because of the double NATting.

If Web Security is in a Transparent mode, you'll want to set a static IP (like 172.20.30.254) on the WAN port of the wireless router and be sure that that's excluded from access to the web proxy.  I like the static IP, too, so that you can '{static IP of router} -> Internet : SNAT from External [Guest] (Address)'.  That is, all traffic from the wireless network uses a different public IP (an Additional Address on the External interface) from your primary IP for web, mail, etc.

Did that work?

Cheers - Bob