Lager WLAN mit Sophos UTM 9 & Lancom AP

Share

Wifi Netzwerk durch Sophos UTM Firewall und MAC Filter abgesichert

Einrichtung eines WLAN für ein Lager, genutzt wird alternativ ein
(oder mehrere) AP von Lancom und als Firewall die Sophos 60 Minuten

UMT (Astaro),  so ist es möglich, eine vorhandene WLAN Infrastruktur mit Lancom Access Points weiter zu nutzen.
Das Lager WLAN ist durch VLAN-Tagging von allen anderen Netzwerken getrennt, hat einen eigenen IP-Kreis und eine eigene SSID.

Ein WLAN-Key /Preshared Key ist oft nach wenigen Wochen in Umlauf und User loggen sich unberechtigt in das Netzwerk ein, meistens mit einem Smartphone. In diesem Szenario stellt das kein Sicherheitsrisiko da, weil nur bekannte Geräte mit sehr eingeschränktem Zugriff durch die Firewall gelassen werden.

WLAN Lager Sophos UTM Firewall Lancom APEnlarge Image

Der Zugriff des Lager WLAN wir durch die Sophos UTM (Astaro) auf den ERP-Server beschränkt, zusätzlich werden nur bestimmte Ports freigegeben und ein Macadressen Filter genutzt.
Selbstverständlich prüft die Sophos UTM auch sämtlich Traffic mit ihrem IPS.
Das Modul "Wireless Protection" wird in diesem Szenario nicht genutzt, aber in den beiden anderen "Sophos UTM + Lancom APs".

balken-oben Folgende Anmerkung sollte Sie vorher lesen:
Sophos AP für Wireless Protection

Folgende Konfiguration vorher durchführen:
DNS Sophos UTM 
balken-unten

-

Übersicht SSIDs
InterfaceSSIDFunktion
WLAN-1InternalFirmenclients
WLAN-1-2LagerScanner/PDA Lager
WLAN-1-3GastGast-WLAN

-

Konfiguration der Sophos UTM

Für das WLAN wird ein eigenes Interfaces verwendet, dieses wird VLAN getagt, um es von den anderen Netzen trennen zu können.

-

Das VLAN Tag und das IPv6 Netzwerk kann “analog” dem IPv4 Netzwerk vergeben werden, um auf einen Blick erkennen zu können,
um welches IPv4/IPv6 Subnet bzw VLAN es sich handelt
Beispiel
IP Netz
VLANBeispiel IPv6 /64 Subnet-
x10.10.x.XXXXXXX10.0.125.0/2401252001:4hh0:fbd5:0125: :/64es geht nur 0 und 4 (bis 4095)
1172.016.XXX1XXX172.16.040.0/2410402001:4hh0:fbd5:1040:: /64eigentlich Class B, hier immer Class C
2192.168.XXX2XXX192.168.140.0/2421402001:4hh0:fbd5:2140:: /64

Name: WLAN-Lager
Type= 'Ethernet VLAN'
Hardware = freies eth wählen
VLAN Tag: 1101
IPv4 Adresse: 172.16.101.0
Netmask: /24 (255.255.255.0)
IPv4 Default GW: Nein

Interface WLAN Lager Sophos UTM Firewall Lancom AP

Unter Network Services -> DNS |Global| "Allowed Networks" das WLAN-Lager (Network) hinzufügen, sonst sind DNS Abfragen nicht möglich. Vorher in der UTM DNS konfigurieren.

Unter Network Services -> NTP |Global| "Allowed Networks" das WLAN-Lager (Network) hinzufügen, sonst sind NTP Abfragen nicht möglich.

Als nächstes die Macadressen Gruppe anlegen
Definitions & Users -> Network Definitions |MAC Address Definitions| 'New MAC Address List'

Mac Address Liste WLAN Lager Sophos UTM Firewall Lancom AP

Hier werden alle Mac Adressen der WLAN Devices im Lager eingetragen (PDA's, Terminals, WLAN-Scanner), also alle die nachher durch die Firewall auf den ERP-Server dürfen.

Wenn das WLAN Device eine feste IP-Adresse hat, sollte man einen neuen Host anlegen, auch mit Mac Adresse

Network definition Host WLAN Lager Sophos UTM Firewall Lancom AP

Man kann verschiedene Typen in einer MAC Address List mischen, also nur reine MAC Adressen von Devices die per DHCP eine IP-Adresse bekommen, mit Hosts, die eine statische IP-Adresse haben.

Unter Definition & Users -> Network Definitions |Network Definitions| "New network definition" den Lancom AP mit seiner festen IP als Host anlegen:

network definition Host WLAN Lager Sophos UTM Firewall AP Lancom

Das natürlich für alle verwendeten Lancom Aps machen.

Um alle APs noch per Web oder Lanconfig administrieren zu können, eine Network Group anlegen
unter Definition & Users -> Network Definitions |Network Definitions| "New network definition" 'Network group'
Name: AP-Lancom

network definition group WLAN Lager Sophos UTM Firewall Lancom AP

Danach wird noch eine Firewall Rule benötigt um vom internen Netzwerk/Admin PC per Lanconfig die APs verwalten zu können:

Network Protection -> Firewall |Rules| "New rule"
Sources: Host Admin PC
Services: HTTPS, SSH, Telnet, SNMP
Destinations: AP-Lancom (Die vorher angelegte Gruppe)

Diese Firewall Rule ist exemplarisch für den Zugriff Lager -> ERP-Server:

Firewall rule WLAN Lager Sophos UTM  Lancom AP

Wichtig: Unter "Advanced" nicht die 'Source MAC Addresses' Lager vergessen!

Da wir im Lager Adressen per DHCP vergeben, ist es praktisch, wenn der  DC/DHCP Server diese vergibt. In der Spalte "Eindeutige ID" in der Ansicht "Adressleases" kann man bequem die MAC Adresse ablesen und diese dann in die MAC Addresses List der Sophos eintragen oder  eben auch nicht. Eine WLAN Passphrase ist schnell bekannt, es wird sich aber niemand in das WLAN Lager einloggen, wenn man nicht surfen kann.

Im DC/DHCP Server einen neuen IPv4 Bereich anlegen:

Name: WLAN-Lager
Start-IP-Adresse: 172.16.101.50 (so kann man die ersten 50 IPs fest vergeben zB für Lancom APs)
Ende-IP-Adresse: 172.16.101.199 (so kann man die letzten  50 IPs fest vergeben zB für PDs/Scanner)

DHCP Relay Server WLAN Lager Sophos UTM Firewall Lancom AP

Achtung: Länge auf 24 (255.255.255.0) ändern, vorgeschlagen wird 18.

Folgende Optionen konfigurieren:
003 Router = interne IP Adresse des Sophos UTM Interface WLAN-Lager
004 Time Server = DNS Server (DC) + interne IP Adresse Sophos UTM Interface WLAN-Lager
006 DNS Server = DNS Server (DC) + interne IP Adresse Sophos UTM Interface WLAN-Lager
015 DNS Domain Name = meineDomain.local
044 WINS/NBNS Server = DNS Server (DC)
046 WINS/NBT Node Type = 0×8

In der Sophos UTM
unter Network Services -> DHCP |Relay| "Interfaces" das WLAN-Lager Interface und das Interface, in dem der DHCP Server ist, einfügen.

 

Einrichtung Lancom AP

am Beispiel L-321agn Wireless, Firmware 8.82

Bei der Konfiguration des Lancom APs sollte man das serielle Kabel benutzten, da man sich beim Anlegen des VLANs und des anderen IP-Kreis selber ausschließt. Ohne das Kabel sollte man den AP ein einem Vorgang durchkonfigurieren.

Als erstes spielen wir die neuste Firmware auf (mindestens 8.8.2) und resetten das Gerät, danach nimmt es sich in der Regel die IP .254 im lokalem Netz, Lanconfig findet den AP über die Suche. Den Assistenten abbrechen und den AP manuell konfigurieren.

Management -> Allgemein "Gerätename" AP-Lancom-01 (analog des Namen in der Sophos UTM)

Management -> Admin "Haupt-Geräte-Password" setzten.

Wireless-LAN -> Allgemein "Physikalische WLAN Einst." |Betrieb| "WLAN-Betriebsart" 'Basisstation'

 

Wireless-LAN -> Allgemein "Physikalische WLAN Einst." |Radio|

Physikalische-WLAN-Einst-Lancom-AP

Hier wird der reine G-Modus verwendet, als Kanäle sollte bei allen APs nur 1,6,11 genutzten werden, alle anderen überlappen sich. Rein theoretisch ginge auch 1,7,13, aber einige Geräte können Kanale 13 nicht.

 

Wireless-LAN -> Allgemein "Logische WLAN Einstellungen" WLAN-Netzwerk 1 |Netzwerk| 'WLAN-Netzwerk aktiviert auf 'aus'.

Wenn hier auch das Internal WLAN konfiguriert ist, natürlich nicht.

Wireless-LAN -> Allgemein "Logische WLAN Einstellungen" WLAN-Netzwerk 2 |Netzwerk|

WLAN Lager SSID Sophos UTM 9 Lancom AP

 

Der MAC-Filter wird nachher in der Sophos gesetzt, nicht hier.

Wireless-LAN -> Security "Datenverkehr nicht zulassen zwischen Stationen unterschiedlicher SSIDs aller APs" aktivieren

Wireless-LAN -> 802.11i/WEP "WPA-/ Einzel-WEP-Einstell..." Wireless Netzwerk 2 (also SSID Lager) WPA-Version auf WPA2 setzten und den Schlüssel eintragen, bei allen APs den gleichen.

 

Als nächstes kommt die VLAN Konfiguration:
Unter Schnittstellen -> VLAN

VLAN-Modul aktiviert 'Ja'

VLAN-Tagging-Modus ist 8100

 

"VLAN-Tabelle":
SSID-Lager-VLAN-Tabelle

Hier wird konfiguriert das auf dem LAN-1 Interface des APs das VLAN 1 und 1101 angenommen werden.

 

Unter Schnittstellen -> VLAN "Port-Tabelle" nur ändern
- LAN-1: Lokales Netzwerk 1 "Tagging-Modus" 'Gemischt'  "Auf diesem Port Pakete erlauben, die zu anderen VLANs gehören" 'Ja'  Port-VLAN-ID: '1' // Nicht 1.101

- WLAN-1-2 Wireless Netzwerk 2
Lager-Port-Tabelle-WLAN-1-2

Hier wird abgeschaltet, das andere VLAN auf dem WLAN ankommen. Auf dem WLAN selber gibt es keinen VLAN Tag.

Mehr ist für das VLAN-Tagging nicht zu tun.

 

Unter Schnittstellen -> IGMP-Snooping "IGMP-Snooping-Modul aktivieren" 'Ja'

 

Unter Datum/Zeit -> Allgemein "Zeitzone" einstellen.

Unter Datum/Zeit -> Synchronisierung "Regelmäßig mit einem Zeitserver (NTP) synchronisieren" wählen
"NTP-Client-Einstellungen" "Abfrage Intervall:" '345'
"Anzahl Versuche:" '0' //= unendlich

"Zeit Server" "Hinzufügen"
Als ersten die IP des Sophos UTM Netzwerk-Interfaces WLAN-Lager (hier 172.16.101.1)
als zweiten pool.ntp.org. Die "Absender-Adresse" kann leer bleiben.

Als nächstes die schon im Standard angelegten Netzwerke INTRANET und DMZ löschen:
Unter:
IPv4 -> Allgemein "IP-Netzwerke"
IP-Router -> Allgemein "RIP-Netzwerke"
NetBIOS -> Allgemein "NetBIOS-Netzwerke"
IPv4 -> DHCP "DHCP-Netzwerke"

Unter IPv4 -> Allgemein "IP-Netzwerke" das Netzwerk LAGER anlegen:
WLAN-Lager-NetzwerkBei einem reinem Bridge WLAN -> ist das nicht nötig, für die Verwaltung des AP über die IP 172.16.101.2 schon.
VLAN-ID ist nur aus praktischen Gründen = Schnittstellen Tag

 

Unter IP-Router > Routing "IPv4-Routing-Tabelle" einen neuen Eintrag "Default-Route" erstellen (einfach drauf klicken).

WLAN-Lager-IPv4-Route

 

Jetzt den AP an Interface WLAN-Lager der Sophos UTM anschließen oder an einem Switch der das VLAN Tag 1101 weiter gibt.

Dann im Lanconfig die neue IP des AP hinzufügen.

 

Münster AD 2013

Share

Leave a Reply