Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 3436 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

setting up guest WLAN

AlphaMagus
I'm certain someone else has been in this situation but I just can't seem to find a thread that answers my questions so I'm hoping someone out there can help me. I don't have much experience using Astaro products so please clearly describe the screen you refer to in your responses thanks. 

I'm trying to setup a guest WLAN that only has basic web surfing and email service access (like SMTP, IMAP, POP) No SSH, FTP etc. and I want to restrict access from the guest WLAN to any internal file servers, intranet servers, etc.

I've attached an image of the LAN mapping and a list of the devices that are used in this network is as follows:
-Cable modem
-ASG 110/120 with firmware 7.504 and with only 3 ports (the products section of the Astaro website says that there should be 4 ports but for some reason the one I have only has 3)
-2 x HP Procurve 1800-24G switches
-Linksys WRT54G running Tomato 1.28 firmware

The network spans a couple floors and the HP switches only have one cable connecting them to each other. There are more switches and access points spread throughout the network but the image shows the direct route between the Linksys and the ASG and the network ports that are used.

Right now I can get internet access through the Linksys but I'm also able to see the file servers on the internal network. The WAN IP of the Linksys is 192.168.2.5 with it's gateway being the internal interface of the ASG which is 192.168.2.8. 

If I make the packet filter rules:
source=Linksys
service=web surfing
destination=any
position 1
Action=ALLOW

source=Linksys
service=any
destination=any
position 2
Action=DROP

nothing seems to be restricted. In fact, it seems like most of the packet filter rules do not restrict what they're supposed to. I'm assuming I'm missing some permission that has precedence over packet filtering or I'm not understanding how packet filtering is supposed to work or packet filtering is somehow broken.


Thanks for any help,
Sean


This thread was automatically locked due to age.
Parents
  • 0
    If I make the packet filter rules:
    source=Linksys
    service=web surfing
    destination=any
    position 1

    source=Linksys
    service=any
    destination=any
    position 2

    nothing seems to be restricted. In fact, it seems like most of the packet filter rules do not restrict what they're supposed to. I'm assuming I'm missing some permission that has precedence over packet filtering or I'm not understanding how packet filtering is supposed to work or packet filtering is somehow broken.


    That's working as expected. "Any" means all IP addresses so your rules basically says the Linksys can access any device on any IP.

    What you want to try for a destination is "Internet."
  • 0 in reply to TheDrew
    That's working as expected. "Any" means all IP addresses so your rules basically says the Linksys can access any device on any IP.

    What you want to try for a destination is "Internet."


    Sorry Andrew. I missed putting in the actions for those packet filter rules. I've edited the original post with that info now.

    Sean
  • 0 in reply to AlphaMagus
    Had another look.

    I assume the internal servers & such are on the same LAN/subnet as the Linksys?

    If they are on the same LAN as the linksys, the traffic never reaches the Astaro at all. The Astaro can only filter traffic that passes through it's interfaces.

    If you were to turn around and place the Linksys on the ASG's eth1, all traffic to/from the guest WLAN has to pass through the Astaro and would be subject to filtering.
  • 0 in reply to TheDrew
    The guest computers that are connected to the Linksys will be given an IP address in the range of 192.168.10.x but the internal servers are connected to the HP switches and have an IP address in the range of 192.168.2.x. It's my understanding that the Astaro will treat any traffic from the Linksys just as if it were packets from any particular host on the internal network. 

    I guess the scenario here is the same as if I wanted to take a computer that is in my network and make it so that this computer is only able to get internet access but not be able to communicate with any of the printers on my network.

    I did think about putting the Linksys WAN port into the Astaro's eth1 but since they are on different floors, I would have to run cat5 specifically to connect the two. I was hoping that there was some way to do it through the HP switches.

    I did try adding an additional address (as found in Networking >> Interfaces >> Additional Addresses) and binding it to the internal interface but I was unsuccessful in getting internet traffic to reach the Linksys in this setup.
  • 0 in reply to AlphaMagus
    The guest computers that are connected to the Linksys will be given an IP address in the range of 192.168.10.x but the internal servers are connected to the HP switches and have an IP address in the range of 192.168.2.x. It's my understanding that the Astaro will treat any traffic from the Linksys just as if it were packets from any particular host on the internal network.

    It will. The issue here though is that once traffic hit's the Wifi AP, the External/WAN side of the Linksys realizes that your internal equipment is on the same lan so it communicates directly with the device. This is expected as ethernet lans can and do function just fine without routers, early small office / home lan's before broadband functioned this way.

    I did think about putting the Linksys WAN port into the Astaro's eth1 but since they are on different floors, I would have to run cat5 specifically to connect the two. I was hoping that there was some way to do it through the HP switches.

    Depending on the Model of HP switch it is possible using technology called VLAN (Virtual LAN). I've started working with VLAN's over the last six months / year, our first VLANs being used for just such a scenario. We're running a mix of 2510G & 1700 switches depending on the office and/or requirements.

    VLAN has a few quirks I'd be happy to explain to you if you wanted.
Reply
  • 0 in reply to AlphaMagus
    The guest computers that are connected to the Linksys will be given an IP address in the range of 192.168.10.x but the internal servers are connected to the HP switches and have an IP address in the range of 192.168.2.x. It's my understanding that the Astaro will treat any traffic from the Linksys just as if it were packets from any particular host on the internal network.

    It will. The issue here though is that once traffic hit's the Wifi AP, the External/WAN side of the Linksys realizes that your internal equipment is on the same lan so it communicates directly with the device. This is expected as ethernet lans can and do function just fine without routers, early small office / home lan's before broadband functioned this way.

    I did think about putting the Linksys WAN port into the Astaro's eth1 but since they are on different floors, I would have to run cat5 specifically to connect the two. I was hoping that there was some way to do it through the HP switches.

    Depending on the Model of HP switch it is possible using technology called VLAN (Virtual LAN). I've started working with VLAN's over the last six months / year, our first VLANs being used for just such a scenario. We're running a mix of 2510G & 1700 switches depending on the office and/or requirements.

    VLAN has a few quirks I'd be happy to explain to you if you wanted.
Children
No Data