Gast WLAN mit Sophos UTM 9 & Lancom AP

Share

Gastzugang WLAN über die Wireless Protection mit Firewall und Application Control abgesichert

Erstellung eines Gast-WLAN mit Hotspot / Public Spot (Sophos UTM),
genutzt wird alternativ ein (oder mehrere) APs von Lancom.  45 Minuten

So ist es möglich, eine vorhandene WLAN Infrastruktur mit Lancom Access Points zusammen mit der Wireless Protection der Sophos UTM zu nutzen, mit allen Funktionen wie Hotspot + Voucher .
Das Gast WLAN kann zusätzlich zu einer schon vorhandenen SSID geschaltet werden.

Das Gast WLAN ist durch VLAN-Tagging von allen anderen Netzwerken getrennt, hat einen eigenen IP-Kreis und eine eigene SSID.
Der Internetzugang ist ungefiltert, aber über die Application Control der UTM werden FileSharing Programme gesperrt.

Gast WLAN Sophos UTM 9 Wireless Protection mit Lancom AP
Enlarge Image

 

Durch die Sophos UTM (Astaro) wird ein Voucher ausgeben und beim ersten Zugriff auf das WLAN geprüft, danach macht eine Firewall Regel ungeschützten und ungefilterten Zugang zum Internet frei.

 Folgende Anmerkung sollte Sie vorher lesen:
Sophos AP für Wireless Protection

Folgende Konfiguration vorher durchführen:
Userportal Sophos UTM 9

Übersicht SSIDs
InterfaceSSIDFunktion
WLAN-1InternalFirmenclients
WLAN-1-2LagerScanner/PDA Lager
WLAN-1-3GastGast-WLAN

-

Einrichtung in der Sophos UTM

Für das Gast-WLAN wird ein VLAN getaggtes Interface konfiguriert, um es von den anderen Netzen zu trennen. VLAN Tags kann man "analog" dem IP Kreis vergeben, für IPv4 und IPv6:

Das VLAN Tag und das IPv6 Netzwerk kann “analog” dem IPv4 Netzwerk vergeben werden, um auf einen Blick erkennen zu können,
um welches IPv4/IPv6 Subnet bzw VLAN es sich handelt
Beispiel
IP Netz
VLANBeispiel IPv6 /64 Subnet-
x10.10.x.XXXXXXX10.0.125.0/2401252001:4hh0:fbd5:0125: :/64es geht nur 0 und 4 (bis 4095)
1172.016.XXX1XXX172.16.040.0/2410402001:4hh0:fbd5:1040:: /64eigentlich Class B, hier immer Class C
2192.168.XXX2XXX192.168.140.0/2421402001:4hh0:fbd5:2140:: /64

 

Unter Interfaces & Routing -> Interfaces |Interfaces| "+New interface"
WLAN Gast Interface Sophos UTM Lancom AP

Name: WLAN-Gast
Type= 'Ethernet VLAN'
Hardware = freies eth wählen (oder eines das schon von anderen VLAN-Netzwerke genutzt wird z.B. WLAN-Lager)
VLAN Tag: 1100
IPv4 Adresse: 172.16.100.0
Netmask: /24 (255.255.255.0)
IPv4 Default GW: Nein

Unter
Network Services -> DNS |Global| "Allowed Networks" das WLAN-Gast (Network) hinzufügen, sonst sind DNS Abfragen nicht möglich und der Hotspot funktioniert nicht. Vorher in der Sophos UTM Astaro DNS konfigurieren.

Unter Network Services -> NTP |Global| "Allowed Networks" das WLAN-Gast (Network) hinzufügen, sonst sind NTP Abfragen nicht möglich.

 

In diesem Fall ist der AP schon bei der Erstellung des WLAN-Lager angelegt worden,  eigentlich reicht das,
da man diese Definition nur braucht, um den AP zu konfigurieren und monitoren. Der AP braucht keine IP Adresse im WLAN, er briged WLAN <-> LAN.

Unter Definition & Users -> Network Definitions |Network Definitions| "New network definition" den Lancom AP mit seiner festen IP als Host anlegen: Lancom AP Host Sophos UTM

WLAN Gast Lancom AP Sophos UTM 9 Host

Das für alle verwendeten Lancom APs machen. Um alle APs per Web oder Lanconfig administrieren zu können, eine Network Group anlegen
unter Definition & Users -> Network Definitions |Network Definitions| "New network definition" 'Network group' Name: AP-Lancom

Danach wird noch eine Firewall Rule benötigt um vom internen Netzwerk/Admin PC per Lanconfig die APs verwalten zu können:

Network Protection -> Firewall |Rules| "New rule"
Sources: Host Admin PC Services: HTTPS, SSH, Telnet, SNMP Destinations:
AP-Lancom (Die vorher angelegte Gruppe)

DHCP wird im WLAN-Gast von der Sophos UTM Astaro vergeben:

Network Services -> DHCP |Servers| "New DHCP Server"
DHCP Server Sophos UTM WLAN Gast Lancom AP

Als ersten DNS das Interface der UTM eintragen, sonst geht der Hotspot nicht, als zweiten DNS kann man einen Externen nehmen, z.B. 8.8.8.8. Als Domain auf keinen Fall die Interne des AD nehmen, sondern eine Eigene wie 'gast.local'.
Die UTM leitet alle Web Zugriffe solange auf den Hotspot um, bis ein gültiger Voucher-Code eingegeben wurde., das geht aber nur, wenn die UTM auch der erste DNS Server ist.

Für den Internetzugang muss man für IPv4 das Masquerading aktivieren, da der Internetzugriff nicht über den Webproxy geleitet wird:

Network Protection -> NAT |Masquerading| “New Masquerading rule”

Network Protection NAT Masquerading New Masquerading rule Sophos UTM

 

Einrichtung Lancom AP

am Beispiel L-321agn Wireless, Firmware 8.82

Bei der Konfiguration des Lancom APs sollte man das serielle Kabel benutzten, da man sich beim Anlegen des VLANs und des anderen IP-Kreis selber ausschließt. Ohne das Kabel sollte man den AP in einem Vorgang durchkonfigurieren.

Als erstes die neuste Firmware aufspielen (mindestens 8.8.2) und den AP resetten. Danach nimmt es sich in der Regel die IP .254 im lokalem Netz, Lanconfig findet den AP über die Suche. Den Assistenten abbrechen und den AP manuell konfigurieren. Falls schon eine Config eingespielt ist z.B. WLAN-Lager oder WLAN-Internal, dann diese Schritte zusätzlich durchführen.

Management -> Allgemein "Gerätename" AP-Lancom-01 (analog des Namen in der Sophos UTM)

Management -> Admin "Haupt-Geräte-Password" setzten.

Wireless-LAN -> Allgemein "Physikalische WLAN Einst." |Betrieb| "WLAN-Betriebsart" 'Basisstation'

Wireless-LAN -> Allgemein "Physikalische WLAN Einst." |Radio|

Physikalische WLAN Einstellungen Lancom AP Sophos UTM 9

Hier wird der reine G-Modus verwendet, als Kanäle sollte bei allen APs nur 1,6,11 genutzten werden, alle anderen überlappen sich. Rein theoretisch ginge auch 1,7,13, aber einige Geräte/Smartphones können Kanal 13 nicht.

Wireless-LAN -> Security "Datenverkehr nicht zulassen zwischen Stationen unterschiedlicher SSIDs aller APs" aktivieren

Wireless-LAN -> Allgemein "Logische WLAN Einstellungen" WLAN-Netzwerk 3 |Netzwerk|

Logische WLAN Einstellungen WLAN Netzwerk Gast Sophos UTM

Hier wird das Gast WLAN aktiviert, die SSID kann frei gewählt werden.

Wireless-LAN -> 802.11i/WEP "WPA-/ Einzel-WEP-Einstell..." Wireless Netzwerk 3 (also SSID Gast) WPA-Version auf WPA2 setzten und den Schlüssel eintragen, bei allen APs den Gleichen.

Als nächstes kommt die VLAN Konfiguration:
Unter Schnittstellen -> VLAN
VLAN-Modul aktiviert 'Ja'
VLAN-Tagging-Modus ist 8100
"VLAN-Tabelle":

VLAN-Tabelle-WLAN-Gast-Lancom-AP-Sophos-UTM

Hier wird konfiguriert das auf dem LAN-1 Interface des APs das VLAN 1, 1105 (Gast) [ und je nach Config auch 1101 (Lager) und 1100 (Internal) ]  angenommen werden.

Unter Schnittstellen -> VLAN "Port-Tabelle" nur ändern -
LAN-1: Lokales Netzwerk 1
"Tagging-Modus" 'Gemischt'
"Auf diesem Port Pakete erlauben, die zu anderen VLANs gehören" 'Ja'
Port-VLAN-ID: '1' // Nicht 1.101,  1100, 1105

WLAN-1-3 "Wireless Netzwerk 3:
Port Tabelle Gast WLAN Lancom AP Sophos UTM 9

Hier wird abgeschaltet, das andere VLAN auf dem WLAN ankommen. Auf dem WLAN selber gibt es keinen VLAN Tag, damit ist das VLAN-Tagging abgeschlossen.

 

Unter Schnittstellen -> IGMP-Snooping "IGMP-Snooping-Modul aktivieren" 'Ja'

Unter Datum/Zeit -> Allgemein "Zeitzone" einstellen.

Unter Datum/Zeit -> Synchronisierung "Regelmäßig mit einem Zeitserver (NTP) synchronisieren" wählen
"NTP-Client-Einstellungen" -> "Abfrage Intervall:" '345' "Anzahl Versuche:" '0' //= unendlich
(Siehe auch NTP)

"Zeit Server" "Hinzufügen" Als ersten die IP des Sophos UTM Netzwerk-Interfaces WLAN-Internal (hier 172.16.100.1) als zweiten pool.ntp.org. Die "Absender-Adresse" kann leer bleiben.

Als nächstes die schon im Standard angelegten Netzwerke INTRANET und DMZ löschen:
IPv4 -> Allgemein "IP-Netzwerke"
IP-Router -> Allgemein "RIP-Netzwerke"
NetBIOS -> Allgemein "NetBIOS-Netzwerke"
IPv4 -> DHCP "DHCP-Netzwerke"

Unter IPv4 -> Allgemein "IP-Netzwerke" das Netzwerk GAST anlegen

VLAN-ID ist nur aus praktischen Gründen = Schnittstellen Tag

Unter IP-Router > Routing "IPv4-Routing-Tabelle" einen neuen Eintrag  erstellen:

IP Routing WLAN Gast Lancom AP Sophos UTM

Sämtlicher Traffic des Lancom vom WLAN-Internal wird so in die Sophos UTM (Astaro) geroutet, DNS, NTP, Lanconfig etc.
Bei einem reinem Bridge WLAN -> LAN ist das nicht nötig, für die Verwaltung des AP über die IP 172.16.105.2 schon.

Jetzt den AP am Interface WLAN-Gast der Sophos UTM anschließen oder an den Switch der das VLAN Tag 1105 von dem Interface weiter gibt, dann im Lanconfig die neue IP des AP hinzufügen.

Die Config im AP ist damit abgeschlossen, unter Links ist die Config-File als Zip zu finden.

 

Einrichtung Wireless Protection

In der Sophos UTM wird jetzt die Wireless Protection aktiviert und konfiguriert. Die Abfrage des Vouchers hat nichts dem einem Internetzugang zu tun, der Voucher ist sozusagen die Eintrittskarte. Der Hotspot wird an einem Interface abgefragt, rein theoretisch könnte man so jedes Interface/Netzwerk schützen.

Wireless Protection -> Global Setting |Gobal Settings| "Wireless Protection Status" auf aktiv setzten.
Wireless Protection -> Global Setting |Gobal Settings| "Allowed interfaces" das WLAN-Gast hinzufügen

Jetzt wird der Hotspot erstellt, also die "Startseite" auf der man das Passwort des Vouchers eingeben kann.

Wireless Protection -> Hotspots |Hotspots| "Add Hotspot"
Wireless Protection Hotspot Sophos UTM 9

Dem Hotspot das richtige Interface zuordnen, wichtig ist, dass man nur 1 Device pro Voucher zulässt.

Wireless Protection -> Hotspot |Gobal| "Allword users" die User/Gruppe angeben,  die Vouchers aus dem Userportal heraus erstellen darf. Ein aktiviertes und konfiguriertes Userportal ist also Voraussetzung zur Nutzung der Wireless Protection.

Wenn der Internetzugriff ungefiltert erfolgen soll, wird das Interface WLAN-Gast nicht im Webproxy unter "allowed networks" hinzugefügt, sondern eine Firewall Regel erstellt:

Firewall Regel surfen WLAN Gast Sophos UTM

Als Destination wird immer 'Internet IPv4' und 'Internet IPv6' angegeben, niemals 'Any'.

 

Sperren von Filesharing

Damit Filesharing, P2P  und andere tendenziell illegale Programme nicht genutzt werden können, sollte man diese Zugriffe über die Application Control der Sophos UTM sperren:

Web Protection > Application Control |Network Visibility| einschalten

Web Protection > Application Control |Application Control Rules| "+New rule..."
Name: WLAN-Gast
Action: 'Block'
Control by 'Applications'

Unter "Control these Applications" ist die Übersicht alle Programme zu finden, die man sperren kann. Die Vorauswahl ist hier:
Category: 'File Transfer'
Productivity:<= 3
Risk: >= 4

Gast WLAN Application Control Sophos UTM Auswahl

 

Die Applications werden dann mit 'Apply' übernommen und diese Regel wird hier für das Gast-WLAN (oder bei Bedarf auch für alle LANs) übernommen:

Gast WLAN Application Control Sophos UTM Regel

Danach muss die Regel noch aktiviert werden, im LiveLog kann man die Zugriffe/erkannten Applicationen sehen.

Damit  das Gast-WLAN nicht ihre gesamte Internetbandbreite belegen kann, sollte man unter
Interfaces & Routing -> Quality of Service (QoS) |Status| das Interface WLAN-Gast beschränken, in dem man QoS aktiviert und in Downlink kbit/sec und Uplink kbit/sec jeweils Werte kleiner der Internetbandbreite angibt.

Da die Webprotection/Webproxy der Sophos UTM Astaro nicht benutzt wird, sollte auf gar keinen Fall WPAD oder PAC für das Netzwerk WLAN Gast aktiviert werden.

 

Münster AD 2013

Share

Leave a Reply