Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 3138 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Separating all traffice between Networks

sfamily
I have utm setup as the default gateway for two networks. One is the primary production network and the other is a guest network. Both networks work just fine but what I need to do is keep all traffic separate. 

I am not sure how to do this in Sophos UTM.


This thread was automatically locked due to age.
  • 0
    Hi, and welcome to the User BB!

    WebAdmin configures routing between all subnets defined on its interfaces, but it does not let anything through unless you make a rule to allow the traffic.

    Cheers - Bob
  • 0
    You can use the "Internet IPv4" definition in your Outbound rules instead of "ANY".

    And/Or you can put a DENY rule from/to each LAN/DMZ above other outbound-to-internet rules.

    Barry
  • 0
    An old thread, but I'm having a similar issue. 

    Even when I put a DENY rule "Guest > ANY > Internal NETWORKS" at the top of my rules, users on my guest network can still reach my internal network (Web, PC's, etc) via IP.

    Any thoughts?  

    My guest config is as follows:


    • Interface: GUEST (TYPE: Ethernet on WLAN2) with 192.168.1.1/24
    • DHCP: GUEST w/ DNS 1: 8.8.8.8, DNS 2: 8.8.4.4, DG: 192.168.1.1
    • MASQ Rule: GUEST > WAN
    • Web Filter: GUEST added to allowed
    • FIREWALL: GUEST > WEB & DNS > INTERNET IPv4 & Google DNS
    • WIRELESS: GUESTWIFI is set with SEPARATE ZONE and CLIENT ISO ENABLED
    • WIRELESS AP*: GUESTWIFI added to AP, showing GUEST on WLAN2


    *The AP's are connected to a Cisco switch on their own VLAN, and of course, an interface for that VLAN.  The AP's also have our CORP WIFI bridged to AP LAN.  The CORP WIFI is fine.


    Any insight would be appreciated!
  • 0
    Hi, 

    1. what test are you using to determine that Guest can access Internal? 
    Ping? pings are regulated on the ICMP tab.

    2. are you running the HTTP Proxy (Web Protection)?

    Barry
  • 0
    Hi Barry,
    Thanks for continuing to answer my questions on this board!  I really appreciate it! 

    I have a device connected to GUESTWIFI, and I'm able to browse to internal server web portals.

    We aren't using the ACTUAL web proxy, but I am using web protection with web filters.
  • 0
    Hi,

    Web Protection is a http proxy... and it has it's own rulesets which come before manual firewall rules.

    You'll need to block the LAN from the Guest network in the Web Protection profiles, or disable Web Protection for the Guest network.

    Barry
  • 0
    OK, ty.  I will give this a try tomorrow!
  • 0
    Hmmm... I can't seem to figure out how to create a separate policy to block guest traffic from internal, without breaking the other networks.

    Can you recommend any good articles for web filtering?
  • 0
    Email Balfson.  He has a setup guide for Guest networks he can send you.
  • 0
    Thanks, Scott!  "Configure HTTP Proxy for a Network of Guests" is available to User BB members in English and German.

    Cheers - Bob