Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 3434 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

setting up guest WLAN

AlphaMagus
I'm certain someone else has been in this situation but I just can't seem to find a thread that answers my questions so I'm hoping someone out there can help me. I don't have much experience using Astaro products so please clearly describe the screen you refer to in your responses thanks. 

I'm trying to setup a guest WLAN that only has basic web surfing and email service access (like SMTP, IMAP, POP) No SSH, FTP etc. and I want to restrict access from the guest WLAN to any internal file servers, intranet servers, etc.

I've attached an image of the LAN mapping and a list of the devices that are used in this network is as follows:
-Cable modem
-ASG 110/120 with firmware 7.504 and with only 3 ports (the products section of the Astaro website says that there should be 4 ports but for some reason the one I have only has 3)
-2 x HP Procurve 1800-24G switches
-Linksys WRT54G running Tomato 1.28 firmware

The network spans a couple floors and the HP switches only have one cable connecting them to each other. There are more switches and access points spread throughout the network but the image shows the direct route between the Linksys and the ASG and the network ports that are used.

Right now I can get internet access through the Linksys but I'm also able to see the file servers on the internal network. The WAN IP of the Linksys is 192.168.2.5 with it's gateway being the internal interface of the ASG which is 192.168.2.8. 

If I make the packet filter rules:
source=Linksys
service=web surfing
destination=any
position 1
Action=ALLOW

source=Linksys
service=any
destination=any
position 2
Action=DROP

nothing seems to be restricted. In fact, it seems like most of the packet filter rules do not restrict what they're supposed to. I'm assuming I'm missing some permission that has precedence over packet filtering or I'm not understanding how packet filtering is supposed to work or packet filtering is somehow broken.


Thanks for any help,
Sean


This thread was automatically locked due to age.
  • 0
    If I make the packet filter rules:
    source=Linksys
    service=web surfing
    destination=any
    position 1

    source=Linksys
    service=any
    destination=any
    position 2

    nothing seems to be restricted. In fact, it seems like most of the packet filter rules do not restrict what they're supposed to. I'm assuming I'm missing some permission that has precedence over packet filtering or I'm not understanding how packet filtering is supposed to work or packet filtering is somehow broken.


    That's working as expected. "Any" means all IP addresses so your rules basically says the Linksys can access any device on any IP.

    What you want to try for a destination is "Internet."
  • 0 in reply to TheDrew
    That's working as expected. "Any" means all IP addresses so your rules basically says the Linksys can access any device on any IP.

    What you want to try for a destination is "Internet."


    Sorry Andrew. I missed putting in the actions for those packet filter rules. I've edited the original post with that info now.

    Sean
  • 0 in reply to AlphaMagus
    Had another look.

    I assume the internal servers & such are on the same LAN/subnet as the Linksys?

    If they are on the same LAN as the linksys, the traffic never reaches the Astaro at all. The Astaro can only filter traffic that passes through it's interfaces.

    If you were to turn around and place the Linksys on the ASG's eth1, all traffic to/from the guest WLAN has to pass through the Astaro and would be subject to filtering.
  • 0 in reply to TheDrew
    The guest computers that are connected to the Linksys will be given an IP address in the range of 192.168.10.x but the internal servers are connected to the HP switches and have an IP address in the range of 192.168.2.x. It's my understanding that the Astaro will treat any traffic from the Linksys just as if it were packets from any particular host on the internal network. 

    I guess the scenario here is the same as if I wanted to take a computer that is in my network and make it so that this computer is only able to get internet access but not be able to communicate with any of the printers on my network.

    I did think about putting the Linksys WAN port into the Astaro's eth1 but since they are on different floors, I would have to run cat5 specifically to connect the two. I was hoping that there was some way to do it through the HP switches.

    I did try adding an additional address (as found in Networking >> Interfaces >> Additional Addresses) and binding it to the internal interface but I was unsuccessful in getting internet traffic to reach the Linksys in this setup.
  • 0
    Hi, the 'right' way to do this is to create a DMZ / second LAN for the WiFi network; you can do this one of two ways:

    1. use eth1, as Drew suggested.

    2. use VLANs on your HP switches.

    Your idea for different IP addressing could be made to work, but would be much less secure.

    Also, you will not be able to use DHCP in that environment.


    Either way, you should not be using the WAN port on the Linksys; only the LAN ports.
    Make sure the gateway for all the WiFi devices is the IP of the Additional Address on the firewall.

    Barry
  • 0
    You can count on Barry and TheDrew to give you the right advice!  Beginning in 2009, several of us here worked up a document that I maintain that also addresses this subject: "Configure HTTP Proxy for a Network of Guests"

    Anyone is welcome to click on my name above and email me to ask for a copy.

    Cheers - Bob
  • 0 in reply to AlphaMagus
    The guest computers that are connected to the Linksys will be given an IP address in the range of 192.168.10.x but the internal servers are connected to the HP switches and have an IP address in the range of 192.168.2.x. It's my understanding that the Astaro will treat any traffic from the Linksys just as if it were packets from any particular host on the internal network.

    It will. The issue here though is that once traffic hit's the Wifi AP, the External/WAN side of the Linksys realizes that your internal equipment is on the same lan so it communicates directly with the device. This is expected as ethernet lans can and do function just fine without routers, early small office / home lan's before broadband functioned this way.

    I did think about putting the Linksys WAN port into the Astaro's eth1 but since they are on different floors, I would have to run cat5 specifically to connect the two. I was hoping that there was some way to do it through the HP switches.

    Depending on the Model of HP switch it is possible using technology called VLAN (Virtual LAN). I've started working with VLAN's over the last six months / year, our first VLANs being used for just such a scenario. We're running a mix of 2510G & 1700 switches depending on the office and/or requirements.

    VLAN has a few quirks I'd be happy to explain to you if you wanted.
  • 0
    If your Tomato 1.28 firmware doesn't support VLANs, then maybe your best solution is to replace the Linksys with an Astaro AP.  That would give you up to 8 SSIDs/networks for more granular control over wireless use in your home.  Depending on your situation, you might be better off with two AP 10s than a single AP 30.

    Cheers - Bob
  • 0
    Thanks for all the help guys.
    @Andrew
    I've started looking at the VLAN settings on the HP Procurve 1800-24G. I would appreciate any help you can offer. That being said, I'm also entertaining the idea of getting the Astaro AP10 or AP30 as Bob suggested. It sounds like if I were to get the AP10 or 30 I wouldn't need to use VLANs on the switches.

    @Bob
    I took a quick peek at the AP10 and 30 and have a question. Why is there a limit to the amount of connections offered on the each of the units? Is the internal hardware on the AP10 not able to handle 30 connections?