Internes WLAN mit Sophos UTM 9 & Lancom AP

Share

Wifi Netzwerk durch Sophos UTM Wireless Protection & Firewall abgesichert

Einrichtung eines WLAN für den internen Gebrauch,
genutzt wird ein (oder mehrere) AP(s)  von Lancom

und als Firewall die Sophos UTM V9 mit aktivierter Wireless Protection. so ist es möglich eine vorhandene WLAN Infrastruktur weiter zu nutzen.
Das Interne WLAN ist durch VLAN-Tagging von allen anderen Netzwerken getrennt, hat einen eigenen IP-Kreis und eine eigene SSID.

.
.
Ein WLAN-Key /Preshared Key ist oft nach wenigen Wochen bekannt und User loggen sich unberechtigt in das Netzwerk ein, meistens mit einem Smartphone. In diesem Szenario stellt das kein Sicherheitsrisiko da, weil jedes Gerät zum Zugriff einen Voucher benötigt und selbst dann nur einen sehr eingeschränkten Zugriff auf das interne LAN hat. Jeder weitergehende Zugriff wird userabhängig vergeben und ist an  Active Directory Gruppen gebunden.

Enlarge Image

.
.
Windows Notebooks werden durch den SSA (Sophos Authtentication Agent) auf Userbasis an der UTM durch das AD authentifiziert und erhalten dadurch die gewollten Zugriffsrechte. Ohne SAA/Authentifizierung (iPad, Smartphones) ist nur das OWA des internen Mailservers (z.B. Exchange 2013) und ein eingeschränkter Internetzugang nutzbar.  Beide Gruppen müssen sich erst über einen Voucher anmelden, der durch die Wireless Protection der Sophos UTM Astaro ausgegeben und überprüft wird. Eine MAC Filterliste wird nicht benutzt.
.
.

balken-oben Folgende Anmerkung sollte Sie vorher lesen:
Sophos AP für Wireless Protection

Folgende Konfiguration vorher durchführen:
DNS Sophos UTM 9
Authentication Servers Active Directory SSO
WPAD für Web Protection
Userportal Sophos UTM 9
balken-unten

.
.

Übersicht SSIDs
InterfaceSSIDFunktion
WLAN-1InternalFirmenclients
WLAN-1-2LagerScanner/PDA Lager
WLAN-1-3GastGast-WLAN

.
.

Konfiguration des Sophos UTM:
Für das interne WLAN wird ein eigenes Interfaces verwendet, dieses wird VLAN getagt, um es von den anderen Netzen trennen zu können.
.

Das VLAN Tag und das IPv6 Netzwerk kann “analog” dem IPv4 Netzwerk vergeben werden, um auf einen Blick erkennen zu können,
um welches IPv4/IPv6 Subnet bzw VLAN es sich handelt
Beispiel
IP Netz
VLANBeispiel IPv6 /64 Subnet-
x10.10.x.XXXXXXX10.0.125.0/2401252001:4hh0:fbd5:0125: :/64es geht nur 0 und 4 (bis 4095)
1172.016.XXX1XXX172.16.040.0/2410402001:4hh0:fbd5:1040:: /64eigentlich Class B, hier immer Class C
2192.168.XXX2XXX192.168.140.0/2421402001:4hh0:fbd5:2140:: /64

.

Unter Interfaces & Routing -> Interfaces |Interfaces| "+New interface"

Name: WLAN-Internal
Type= 'Ethernet VLAN'
Hardware = freies eth wählen (oder eines das schon von anderen VLAN-Netzwerke genutzt wird z.B. WLAN-Lager
TAG VLAN Tag: 1100
IPv4 Adresse: 172.16.100.0 Netmask: /24 (255.255.255.0)
IPv4 Default GW: Nein

Interface-WLAN-Internal

.
.
Unter
Network Services -> DNS |Global| "Allowed Networks" das WLAN-Internal (Network) hinzufügen, sonst sind DNS Abfragen nicht möglich und der Hotspot funktioniert nicht. Vorher in der UTM DNS konfigurieren.
.
.

Unter Network Services -> NTP |Global| "Allowed Networks" das WLAN-Internal (Network) hinzufügen, sonst sind NTP Abfragen nicht möglich.
.
.

 

balken-oben
In diesem Fall ist der AP schon bei der Erstellung des WLAN-Lager angelegt worden,
eigentlich reicht das, das man diese Definition nur braucht, um den AP zu konfigurieren und monitoren.


Unter Definition & Users -> Network Definitions |Network Definitions| "New network definition" den Lancom AP mit seiner festen IP als Host anlegen:
Lancom AP Host Sophos UTM

 

.
Das natürlich für alle verwendeten Lancom Aps machen. Um alle APs noch per Web oder Lanconfig administrieren zu können, eine Network Group anlegen unter
Definition & Users -> Network Definitions |Network Definitions| "New network definition" 'Network group' Name: AP-Lancom

AP-Lancom-Group

.
.

Danach wird noch eine Firewall Rule benötigt um vom internen Netzwerk/Admin PC per Lanconfig die APs verwalten zu können:

Network Protection -> Firewall |Rules| "New rule" Sources: Host Admin PC Services: HTTPS, SSH, Telnet, SNMP Destinations: AP-Lancom (Die vorher angelegte Gruppe)


.
.

Da wir im Internen WLAN Adressen per DHCP vergeben, ist es praktisch, wenn der interne Windows DC/DHCP Server diese vergibt.

Im DC/DHCP Server einen neuen IPv4 Bereich anlegen:
Name: WLAN-Internal
Start-IP-Adresse: 172.16.100.50 (so kann man die ersten 50 IPs fest vergeben zB für Lancom APs)
Ende-IP-Adresse: 172.16.100.199 (so kann man die letzten  50 IPs fest vergeben)

Achtung: Länge auf 24 (255.255.255.0) ändern, vorgeschlagen wird 18.

Folgende Optionen konfigurieren:
003 Router = interne IP Adresse des Sophos UTM Interface WLAN-Internal // 172.16.100.1
004 Time Server = 1. DNS Server (DC) | 2. interne IP Adresse Sophos UTM Interface WLAN-Internal
006 DNS Server = 1. interne IP Adresse Sophos UTM Interface WLAN-Internal  | 2.  DNS Server (DC) Die Umleitung des Browser auf den Hotspot erfolgt durch den DNS Server der UTM. Wenn man den DC als ersten DNS angibt, funktioniert der Hotspot also nicht.
015 DNS Domain Name = meineDomain.local
044 WINS/NBNS Server = DNS Server (DC)
046 WINS/NBT Node Type = 0×8

.
.
In der Sophos UTM unter
Network Services -> DHCP |Relay| "Interfaces" das WLAN-Internal Interface einfügen. Das Interface, in dem sich der DHCP Server befindet, muss natürlich auch eingetragen werden:

DHCP Relay DC WLAN Sophos UTM Astaro

 

.
.
Um gegebenenfalls noch am Webproxy vorbei auf Dienste im Internet zugreifen zu können, muss man für IPv4 das Masquerading aktivieren:

Network Protection -> NAT |Masquerading| "New Masquerading rule"

Network Protection NAT Masquerading New Masquerading rule Sophos UTM

 

 

Einrichtung Lancom AP

Am Beispiel L-321agn Wireless, Firmware 8.82

.
Bei der Konfiguration des Lancom APs sollte man das serielle Kabel benutzten, da man sich beim Anlegen des VLANs und des anderen IP-Kreis selber ausschließt. Ohne das Kabel sollte man den AP in einem Vorgang durchkonfigurieren.

.
.

Als erstes spielen wir die neuste Firmware auf (mindestens 8.8.2) und resetten das Gerät, danach nimmt es sich in der Regel die IP .254 im lokalem Netz, Lanconfig findet den AP über die Suche. Den Assistenten abbrechen und den Lancom AP manuell konfigurieren. Falls schon eine Config eingespielt ist z.B. WLAN-Lager, dann diese Schritte zusätzlich einführen.

.
Management -> Allgemein "Gerätename" AP-Lancom-01 (analog des Namen in der Sophos UTM)

.
Management -> Admin "Haupt-Geräte-Password" setzten.

Wireless-LAN -> Allgemein "Physikalische WLAN Einst." |Betrieb| "WLAN-Betriebsart" 'Basisstation'

.

Wireless-LAN -> Allgemein "Physikalische WLAN Einst." |Radio|

Physikalische-WLAN-Einst-Lancom-AP

Hier wird der reine G-Modus verwendet, als Kanäle sollte bei allen APs nur 1,6,11 genutzten werden, alle anderen überlappen sich. Rein theoretisch ginge auch 1,7,13, aber einige Geräte/Smartphones können Kanale 13 nicht.

.
.
Folgende WLAN/SSID werden auf dieser Webseite in 3 How to's eingerichtet:
.

Übersicht SSIDs
InterfaceSSIDFunktion
WLAN-1InternalFirmenclients
WLAN-1-2LagerScanner/PDA Lager
WLAN-1-3GastGast-WLAN

.
Wireless-LAN -> Allgemein "Logische WLAN Einstellungen" WLAN-Netzwerk 1 |Netzwerk|

WLAN Internal Logische WLAN Einstellungen Lancom Sophos UTM

 

Wireless-LAN -> Security "Datenverkehr nicht zulassen zwischen Stationen unterschiedlicher SSIDs aller APs" aktivieren

Wireless-LAN -> 802.11i/WEP "WPA-/ Einzel-WEP-Einstell..." Wireless Netzwerk 1 (also SSID Internal) WPA-Version auf WPA2 setzten und den Schlüssel eintragen, bei allen APs den Gleichen.

.
.

Als nächstes kommt die VLAN Konfiguration: Unter Schnittstellen -> VLAN

VLAN-Modul aktiviert 'Ja'

VLAN-Tagging-Modus ist 8100

"VLAN-Tabelle":
VLAN Tabelle Lancom AP WLAN Internal Sophos UTM

Hier wird konfiguriert das auf dem LAN-1 Interface des APs das VLAN 1, 1101 (Lager) und 1100 (Internal)  angenommen werden.

Unter Schnittstellen -> VLAN "Port-Tabelle" nur ändern - LAN-1: Lokales Netzwerk 1 "Tagging-Modus" 'Gemischt'
"Auf diesem Port Pakete erlauben, die zu anderen VLANs gehören" 'Ja'  Port-VLAN-ID: '1' // Nicht 1.101 oder 1100

.
.

- WLAN-1 Wireless Netzwerk

Lancom AP Port Tabelle WLAN Sophos UTM

Hier wird abgeschaltet, das andere VLAN auf dem WLAN ankommen. Auf dem WLAN selber gibt es keinen VLAN Tag.

Unter Schnittstellen -> IGMP-Snooping "IGMP-Snooping-Modul aktivieren" 'Ja'

.
.

Unter Datum/Zeit -> Allgemein "Zeitzone" einstellen.

Unter
Datum/Zeit -> Synchronisierung "Regelmäßig mit einem Zeitserver (NTP) synchronisieren" wählen
"NTP-Client-Einstellungen" "Abfrage Intervall:" '345' "Anzahl Versuche:" '0' //= unendlich

"Zeit Server" "Hinzufügen"
Als ersten die IP des Sophos UTM Netzwerk-Interfaces WLAN-Internal (hier 172.16.100.1) als zweiten pool.ntp.org. Die "Absender-Adresse" kann leer bleiben.

.
.

Als nächstes die schon im Standard angelegten Netzwerke INTRANET und DMZ löschen:
IPv4 -> Allgemein "IP-Netzwerke"
IP-Router -> Allgemein "RIP-Netzwerke"
NetBIOS -> Allgemein "NetBIOS-Netzwerke"
IPv4 -> DHCP "DHCP-Netzwerke"

.
.

Unter IPv4 -> Allgemein "IP-Netzwerke" das Netzwerk INTERNAL anlegen

Lancom-AP-WLAN-Internal-Sophos-UTM

VLAN-ID ist nur aus praktischen Gründen = Schnittstellen Tag

.
.

Unter IP-Router > Routing "IPv4-Routing-Tabelle" einen neuen Eintrag  erstellen:

Lancom AP Routing Sophos UTM 9

Sämtlicher Traffic des Lancom vom WLAN-Internal wird so in die Sophos UTM Astaro geroutet, DNS, NTP, Lanconfig etc.
Bei einem reinem Bridge WLAN -> ist das nicht nötig, für die Verwaltung des AP über die IP 172.16.100.2 schon.

.
Jetzt den AP an Interface WLAN-Internal der Sophos UTM anschließen oder an den Switch, der das VLAN Tag 1100 von dem Interaface weiter gibt.

Dann im Lanconfig die neue IP des AP hinzufügen.

 

 

Wireless Protection

In der Sophos UTM wird jetzt die Wireless Protection aktiviert und konfiguriert. Die Abfrage des Vouchers hat nichts dem einem Internetzugang zu tun, der Voucher ist sozusagen die Eintrittskarte. Der Hotspot wird an einem Interface abgefragt, rein theoretisch könnte man so jedes Interface/Netzwerk schützen. Auch bei Firewall Regeln, die z.B. den Zugriff von WLAN-Internal ins interne LAN erlauben, muss man sich vorher durch einen Voucher authentifizieren.

.
.
Wireless Protection -> Global Setting |Gobal Settings| "Wireless Protection Status" auf aktiv setzten.

Wireless Protection -> Global Setting |Gobal Settings| "Allowed interfaces" das WLAN-Internal hinzufügen:

Wireless Protection Interfaces Sophos UTM

 

.
.
Jetzt wird der Hotspot erstellt, also die "Startseite" auf der man das Passwort des Vouchers eingeben kann.

Wireless Protection -> Hotspots |Hotspots| "Add Hotspot"

Dem Hotspot das richtige Interface zuordnen. Wichtig ist, das man nur 1 Device pro Voucher zulässt.

Wireless Protection Hotspot Voucher Sophos UTM

.
.
Wireless Protection -> Hotspot |Gobal| "Allword users" die User/Gruppe angeben,
die Vouchers aus dem Userportal heraus erstellen darf. Ein aktiviertes und konfiguriertes Userportal ist also Voraussetzung zur Nutzung der Wireless Protection.
Es ist sinnvoll für interne User Jahres-Voucher zu anzulegen, damit der administrative Aufwand überschaubar bleibt.

 

 Wenn Vouchers ausgestellt werden, dann unbedingt im Feld Kommentar den Namen des Nutzers eintragen.
Mit dem Löschen des Vouchers zu einem beliebigen späteren Zeitpunkt kann man dem User den Zugriff zum WLAN entziehen.

 

.
Das WLAN-Internal wird jetzt in der Web Protection zum Surfen im Internet freigegeben.

Web Protection -> Web Filtering |Global| "Allowed networks" das Interface Network WLAN-Internal hinzufügen, somit wird einfache Profil des Webproxys zum Surfen genutzt.

.
.

Danach wird -als Beispiel- eine Firewall Regel erstellt, die den Benutzern des Netzwerkes die Nutzung des Mail Server Exchange 2013 über HTTPS ermöglicht.

Network Protection -> Firewall |Rules| "New rule"

Firewall Rule Sophos UTM WLAN Internal Lancom AP

Es sind so beliebig viele weitere Regeln möglich.

.
.

Als Nächstes werden im AD Gruppen erstellt, diese mit Gruppen in der UTM verknüpft und zur Erstellung von Firewall Regel herangezogen, die Anleitung ist unter Authtentication Server zu finden.

.
.

Wichtig: Das Interface 'WLAN-Internal' unter
Definition & Users -> Client Authentication "Allowed Networks" hinzufügen.

.
.

Unter Network Protection -> Firewall |Rules| "New rule"
AD User Anmeldung DC Sophos UTM

.
Diese Regel erlaubt es Usern, mach dem Sie sich durch einen Vouchern und den SAA Agenten an der Sophos UTM angemeldet haben, den Zugriff auf den Server DC, um sich am AD zu authentifizieren und das für alle Netzwerke, auch für das WLAN Intern. Nach diesem Muster kann man beliebig viele Regeln erstellen. z.B. könnte man Terminal Usern  durch eine weitere UTM-Gruppe und Firewall Regel den Port 3389 für den Zugriff auf den Terminalserver freigeben. Auch Windows-Clienten, die nicht in der Domäne sind, können so über den User im AD verifiziert werden (SAA notwendig)  und so (beschränkten) Zugriff auf Server und Dienste im internen LAN bekommen. Der Internetzugang, der jetzt dem Standard Profil entspricht, kann durch ein Web Filtering Profile ergänzt werden (SAA notwendig).
.

Die Gruppe "Windows Networking (NETBIOS)" habe ich noch um 2 Services ergänzt:
Win-AD-1
Destination Port: 1025:5000
Source Port: 1025:5000

Win-AD-2
Destination Port: 49152:65535
Source Port: 49152:65535

Das sind zwar eine Menge freier Port, aber Windows 7/8 benutzen diese bei der Kommunikation mit dem AD.

.
.

Damit alle Clienten den Webproxy atomatsch finden, empfiehlt sich WPAD einzurichten.

 

Münster AD 2013

Share

Leave a Reply