Guest User!

You are not Sophos Staff.

Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 68 replies
  • Answers 2 answers
  • Subscribers 6 subscribers
  • Views 230658 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

115w - do these actually work?

pesos

Set up our first 115w today and ran into problems when we got to enabling wireless.  A guest network set up in a separate zone worked fine, but trying to set up another network that will share the main LAN appears to be impossible.  Choosing "bridge with AP LAN" results in being unable to check the box to assign the network to the access point.

Called support and their less-than-impressive response was "umm I don't think it should do that but I don't really know and let me escalate this and someone will reach out in a few hours" but of course no one has.

Anyone know if there is a bug that prevents this from working the way it's supposed to on these new integrated boxes?

Thanks!



This thread was automatically locked due to age.
  • 0
    Welcome to the Sophos time. Earlier, when it was still Astaro GmbH, it was good and stable. Now it's just getting worse and worse with every release. I really hope they will be able to put some quality back into the product. Otherwise noone will be ok with buying the "Next-Gen" Project FW. On the other hand, it can only get better. But for real and large deployments, i'll leave my fingers of this now. Large Wifi goes with Aruba, large FW with Checkpoint. This product only fits for small businesses at this time. 

    However, after we found it not working again, we changed all the config and separated the WLAN from the LAN segment. This works and the impact is negligible. We're not happy, because we promised the customer one flat network, not two zones.
  • 0

    Since the internal APs have only a single radio, there will be no fix for dual-band for them.  The fix for adding dual-band capability for other APs on the same SSIDs is promised for 9.315.

    The reason the title still says [SOLVED] is because the original issue is resolved in my post above, Workaround: How to bridge Internal and 1x5w wireless.

    I agree that Sophos has had some challenges.  Part of the problems with wireless has been because of untrained support staff at Sophos.  The person has been replaced that "misunderestimated" (I love that Bushism! [:D]) the difficulty of providing support for the UTM as opposed to Sophos' earlier products.  Beginning in late 2013, Sophos began driving off many of the Astaro-trained support staff, but that was reversed early this year after Mike Anderson was hired.  Support for Solution Partners' SCA-submitted cases will soon be first class, and problems like those experienced here should not re-appear.

    As for the developers of V8 and V9 and the issues with the drivers and firmware for the APs, the discovery in under 7 months last year of Heartbleed, Shellshock and POODLE was an insurmountable obstacle.  Other security vendors handled it better, but many did worse.  Early this year, some of the top developers of V10 were re-deployed to make the current versions more reliable.  We saw things getting better in 9.310, and 9.313 is as good as 9.105 which was before the major disruptions cited above.

    Before learning about the changes earlier this year, I too was ready to throw in the towel on the UTM.  After investing over ten years in the product, that would have been very difficult, so I was slow to make that decision.  I don't think Sophos can expect the same from others though, so I expect them to lose some excellent partners altogether, not just their WiFi business.

    Cheers - Bob

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Thanks for your insights bob. We are Solution Partner, or better were, before the Partner program was redeployed again, so we are silver partner now. I can say, that the support is not first class yet, and the 100 day Plan didn't work out on our side. I'm having a hard time too, to put the product down, but in the actual state, i'm very sure to that i drive away my customers with the quality of the software provided.
  • 0 in reply to BAlfson
    Tested with 9.306, this process adds about 20 minutes to the initial configuration. The only possible issue is that you won't be able to do QoS on eth0 (Internal).  I only recommend doing QoS on the External interface, so this solution should be fine for everyone.

    The problem is that you can't Bridge-to-LAN with built-in wireless.  The solution:
    [LIST=1]After the initial setup, login, rename the Internal interface to "OldInternal" and move it to eth2.  You will then need to move your Ethernet cable to eth2 and login again to WebAdmin.
    • Configure Wireless Protection.  Create "Guest" as a "Separate Zone" and "InternalW" as a "Standalone Interface" and then assign them to the built-in AP.
    • In 'Interfaces & Routing', Edit "WirelessBridgebr101" to change its name to "Internal," select to bridge it to "eth0" and assign the IP and netmask (must not conflict with "OldInternal (Network)").
    • Create a DHCP server for "Guest" and, if you don't already have a separate one for your internal LAN, create one for "Internal."
    • Go to 'Definitions & Users >> Network Definitions' and click on the blue information dot to the right of "OldInternal (Address)." Using the Windows "Snipping Tool," take a picture of the section 'Used in these configurations'.  For each item except those in 'Interfaces & Routing', do the following:
      • Edit the item in question
      • Delete the "OldInternal (Network)" object
      • Drag in the new "Internal (Network)" object
      • Save

    • Return to 'Definitions & Users >> Network Definitions' and check that the only entries left for "OldInternal (Network)" are those for 'Interfaces & Routing'. 
    • Move the internal LAN cable back to eth0, and login to WebAdmin at the new IP - don't forget to change the properties of your Windows adapter to access the new IP.
    • If you're satisfied that you've made all of the necessary changes, you can now delete the "OldInternal" interface in 'Interfaces'.
    [/LIST]
    This should leave you with an "InternalW" WiFi network bridged to your internal LAN and a separate network for your guests.  You will still need to add firewall and masquerading rules.

    Please post suggested changes to this list.

    Cheers - Bob


    If I can't do this because it will mean re-configuring the firewall at the clients site, is there another method yet? Maybe I just need to search more.

    I'm running firmware version 9.308-16 on a SG115W. Is it possible to connect eth2 which is currently unused to the LAN and bridge that to the WiFi?
  • 0
    Hi, and welcome to the User BB!

    Actually, it's easier when you're not in their office.  Just do it remotely when there's no one at the office and you don't need to remove the cable in step 1 or put it back in step 7.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi, and welcome to the User BB!

    Actually, it's easier when you're not in their office.  Just do it remotely when there's no one at the office and you don't need to remove the cable in step 1 or put it back in step 7.

    Cheers - Bob


    Is that because I'll be coming in via the WAN port remotely?

    And will this mess up the current configuration - I've just got everything working and don't want to have to go through it all again or will all the rules and setup continue working afterwards without re-configuring them? Sorry, this is the most 'firewalling' I've done in 7+ years. Last time I really touched a firewall was 3 jobs ago in 2009 and it was Astaro v6 or v7.
  • 0
    You shouldn't have to re-create any rules, but as step 5 shows, you will need to modify some rules that you already have in place.     

    Cheers - Bob   

    Sorry for any short responses.   
    Posted from my iPhone.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    We actually just finished deploying an SG105W with 9.3 loaded;

    The functional solution that allowed us to deploy the internal wireless on the lan was a bit different, and I think easier.

    After initial configuration of the internal lan (from start-up wizard); we proceeded to create the Sophos guest wireless (we needed an isolated guest from the internal. 2 ssid's) on a separate segment. After testing we created a link aggregation of ETH0 and ETH2, thus creating a LAG0.

    Next we created the second (internal) ssid in the wireless networks. in the network interfaces we created the bridged network combining the internal wireless to the LAG0 interface. This allowed that wireless network to serve lan ip's.
  • 0 in reply to BAlfson
    You shouldn't have to re-create any rules, but as step 5 shows, you will need to modify some rules that you already have in place.     

    Cheers - Bob   

    Sorry for any short responses.   
    Posted from my iPhone.


    Hi Bob,

    I've followed your instructions on two separate occasions now and both times I've failed to properly configure the internal WiFi. Once was on outdated firmware a month ago and the next attempt was last week on the very latest firmware.

    I can carry out all the instructions and had created a Bridge AP to LAN and the new interface etc. LAN traffic is fine but WiFi clients connecting to the new internal SSID do not receive DHCP and when I set a static IP address, they still can't talk to the LAN.

    I've been on the phone to support and the first tech I've spoken said it looks properly configured and his next suggestion was to move DHCP (and DNS?) from our Windows server to the Sophos Unit but seeing that a static IP didn't correct the problem, I'm a little hesitant.

    I feel like I'm now just missing one little check-box that will allow the bridge to function correctly.
  • 0 in reply to TNT
    Hey Guys, hi TNT.

    we got the same probleme here with 105w 9.352 Firmware. Still get no ip from internal dhcp. In addition we doesnt can handshake the wifi if WPA/WPA2 is active. It only works with "no Security" but the dhcp probleme is still present :(.

    i will try tommorow workaround
    community.sophos.com/.../208720

    :( crap onboard wifi!

    Sophos Platinum Partner 
    Sophos Certified Architect
    (Ceritfied UTM Architect / Certified XG Architect)

Unfiltered HTML