Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 2 subscribers
  • Views 4346 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Hotspot breaks security

Remuflon
UTM  9.100-16.
I have multiple interfaces, and a "guest network" on it's own NIC.
The guest network has no access to the internal network.

Yesterday, we added a "hotspot" agreement page to the guest network.
All hell broke loose.  VPN clients on the guest network no longer worked.  While I was troubleshooting that, I noticed that guests now had FULL ACCESS to the internal network, all ports wide open.  I frantically tried to find out why, there was nothing in the firewall log.  There were no rules allowing this.  I even created a rule for guest/any/any REJECT.  They STILL had full access, with no log entries.  Finally I figured out what had changed, we had added the hotspot page with "click to agree" button.  I deleted that and everything was back to normal.

Has anyone else seen this or is it just me?  The worst part is the firewall log is clean, so you have no idea who has been on the guest wifi network with access to your LAN.


This thread was automatically locked due to age.
  • 0
    Do you see the same behavior after Up2Dating to 9.101?

    Cheers - Bob
  • 0
    This was only last night, and I have not had time to do the upgrade as we are slammed.  I will attempt the upgrade tonight, maybe...
  • 0
    OK, I found some time to play with this.  I am on 9.101-12.

    If I enable a hotspot on my wifi guest network now, I find the same old problem that iOS VPN's do not work at all.  This was the problem I had before that got me investigating when I discovered that the network was open.

    I do not see that the network is open now.  That is good.  But VPN's still do not work.
    Remove the hotspot and they instantly work again, so it is definitely the hotspot causing all the problems.

    Not a show stopper at all, I can live without hotspots.  But it would be nice...
  • 0
    I should add this about the VPN problem because I think my last post was confusing.

    The VPN's do connect, and status shows a good VPN ip address, but NO traffic goes over the VPN at all.
    That is the problem.

    Remove the hotspot and VPN's work as expected.
  • 0
    Hi,
    1. the clients are authenticating to the hotspot before trying the VPN, right?

    2. does anything show up in the firewall or IPS logs?

    3. what type of VPN server are they connecting to, and is it local or remote?

    Barry
  • 0
    Don't route the vpn's through the hotspot,  Barry has this dead on..the clients have to authenticate with the hotspot FIRST then their vpn's should work.
  • 0 in reply to William Warren
    Don't route the vpn's through the hotspot,  Barry has this dead on..the clients have to authenticate with the hotspot FIRST then their vpn's should work.


    1. the clients are authenticating to the hotspot before trying the VPN, right?

    2. does anything show up in the firewall or IPS logs?

    3. what type of VPN server are they connecting to, and is it local or remote?


    We are connecting to the hotspot first, then later, user selects VPN.
    VPN connects successfully, then... nothing.  

    The user connects to the hotspot as a guest with no vpn to begin with.

    I do not see anything in the logs, I'll keep checking.

    The type of VPN server is Cisco.  And that works flawlessly as long as hotspot is disabled.
  • 0
    If after logging into the hotspot, the user has access to the same networks in the VPN, the routing in the client will be broken.  After you connect to Hotspot and VPN, try a route print on the client - does that show the problem?

    Cheers - Bob
  • 0
    Hi,

    Is the Cisco VPN server local or remote (across an internet connection)?

    Barry
  • 0 in reply to BarryG
    If after logging into the hotspot, the user has access to the same networks in the VPN, the routing in the client will be broken.  After you connect to Hotspot and VPN, try a route print on the client - does that show the problem?

    Cheers - Bob


    Interesting, I not sure I understand that, or why.

    Hi,

    Is the Cisco VPN server local or remote (across an internet connection)?

    Barry


    It's the Sophos UTM VPN server.  Remote access using the "cisco vpn" method.

    I haven't had time to test further, hoping this weekend...  Right now, my evenings are tied up with a deer invasion.  If only UTM had a way to block them.