11
Sophos UTM + Unifi Ap Ac Pro
Hallo Zusammen,
ich hab folgendes "Problemchen"
Ich hab ne Sophos UTM laufen, auf der ein DHCP läuft. Da dran hängt ein Unifi AP.
Ich würde gerne zwei WLANs einrichten - hab ich. Hab das eine als Gästewlan eingerichtet. Klappt.
Jetzt ist aber das Problem, dass das Haupt-WLAN kein anderes Passwort bekommen kann, da aber Nutzer drin sind, die da nicht rein sollen, sondern ins Gäste WLAN.
Blacklisten in dem WLAN funzt ja nicht, weil die IP von der Sophos kommt. Wenn ich das Gerät da blocke gibt es natürlich keine IP mehr - egal in welchem WLAN.
Gibt es da nen Weg? Außer Passwort vom Haupt-WLAN ändern?
Grüße
ich hab folgendes "Problemchen"
Ich hab ne Sophos UTM laufen, auf der ein DHCP läuft. Da dran hängt ein Unifi AP.
Ich würde gerne zwei WLANs einrichten - hab ich. Hab das eine als Gästewlan eingerichtet. Klappt.
Jetzt ist aber das Problem, dass das Haupt-WLAN kein anderes Passwort bekommen kann, da aber Nutzer drin sind, die da nicht rein sollen, sondern ins Gäste WLAN.
Blacklisten in dem WLAN funzt ja nicht, weil die IP von der Sophos kommt. Wenn ich das Gerät da blocke gibt es natürlich keine IP mehr - egal in welchem WLAN.
Gibt es da nen Weg? Außer Passwort vom Haupt-WLAN ändern?
Grüße
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 391800
Url: https://administrator.de/contentid/391800
Ausgedruckt am: 26.11.2024 um 01:11 Uhr
11 Kommentare
Neuester Kommentar
Bei MSSID APs hast du ja pro MSSID jeweils ein untereinander völlig getrenntes WLAN Profil.
Jede SSID hat also IHRE separate Einstellung. Andernfalls wären MSSIDs ja auch ziemlich sinnfrei.
Das bedeutet also explizit auch völlig unterschiedliche WPA2 Passwörter usw. in den einzelnen SSIDs.
Obwohl WPA Verschlüsselung auf Gäste WLANs eh ziemlicher Blödsinn ist, denn das Passwort kennt nach 2 Tagen eh die ganze Stadt und das Internet.
Dort lässt man immer ein offenes WLAN laufen und fackelt die Gäste mit einem Captive Portal und Einmalpasswörtern ab wie es bei Firewalls generell üblich ist. Siehe HIER.
Vor dem Hintergrund ist dein Problem irgendwie völlig unverständlich...?!
Wie man sowas richtig mit MSSIDs einrichtet ist hier beschrieben:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Das Beispiel mit der pfSense kannst du 1:1 auf deine Sophos Gurke übertragen, ist ja das gleiche Design.
Jede SSID hat also IHRE separate Einstellung. Andernfalls wären MSSIDs ja auch ziemlich sinnfrei.
Das bedeutet also explizit auch völlig unterschiedliche WPA2 Passwörter usw. in den einzelnen SSIDs.
Obwohl WPA Verschlüsselung auf Gäste WLANs eh ziemlicher Blödsinn ist, denn das Passwort kennt nach 2 Tagen eh die ganze Stadt und das Internet.
Dort lässt man immer ein offenes WLAN laufen und fackelt die Gäste mit einem Captive Portal und Einmalpasswörtern ab wie es bei Firewalls generell üblich ist. Siehe HIER.
Vor dem Hintergrund ist dein Problem irgendwie völlig unverständlich...?!
Wie man sowas richtig mit MSSIDs einrichtet ist hier beschrieben:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Das Beispiel mit der pfSense kannst du 1:1 auf deine Sophos Gurke übertragen, ist ja das gleiche Design.
Hallo,
liegt am geflickschustern. Wenn Sophos, warum keine Sophos APs? Damit hast du das Problem dann nicht. Ansonsten vermutlich einfach schlechtes (netz-)Design.
Viele Grüße,
Christian
liegt am geflickschustern. Wenn Sophos, warum keine Sophos APs? Damit hast du das Problem dann nicht. Ansonsten vermutlich einfach schlechtes (netz-)Design.
Viele Grüße,
Christian
Es geht mir nicht um ein Gästewlan als solches. In dem Büro welches auch an das Privathaus angebunden ist gibt es leider den Fall das bestimmte Leute sich in der Vergangenheit im Büro-Wlan eingeloggt haben, aber das will ich nun unterbinden ohne das Büro Wlan mit einem neuen Passwort zu versehen.
Dementsprechend geht es mir nur darum diese Geräte die im Büro Wlan sind rauszuwerfen und nicht mehr zuzulassen und damit in das „GästeWlan“ zu „stecken“.
Aber vermutlich komm ich nicht umher das Passwort zu ändern.
Nette Idee certified, aber darum ging es nicht. Sonst würde ich auch ne SG 115w benutzen... aber es ist da was da ist und die Sophos APs kosten nicht nur 25€.
Dementsprechend geht es mir nur darum diese Geräte die im Büro Wlan sind rauszuwerfen und nicht mehr zuzulassen und damit in das „GästeWlan“ zu „stecken“.
Aber vermutlich komm ich nicht umher das Passwort zu ändern.
Nette Idee certified, aber darum ging es nicht. Sonst würde ich auch ne SG 115w benutzen... aber es ist da was da ist und die Sophos APs kosten nicht nur 25€.
Moin...
wenn du deinen AP verwalten möchtest, warum nutzt du nicht den unifi wlan controller?
Jetzt ist aber das Problem, dass das Haupt-WLAN kein anderes Passwort bekommen kann, da aber Nutzer drin sind, die da nicht rein sollen, sondern ins Gäste WLAN.
warum kannst du das passort nicht ändern? Faulheit?
Gibt es da nen Weg? Außer Passwort vom Haupt-WLAN ändern?
nö...
mach es gleich richtig...
Grüße
von mir auch
Frank
Zitat von @Xaero1982:
Hallo Zusammen,
ich hab folgendes "Problemchen"
Ich hab ne Sophos UTM laufen, auf der ein DHCP läuft. Da dran hängt ein Unifi AP.
ok... aber was hat die Sophos damit zu tun?Hallo Zusammen,
ich hab folgendes "Problemchen"
Ich hab ne Sophos UTM laufen, auf der ein DHCP läuft. Da dran hängt ein Unifi AP.
wenn du deinen AP verwalten möchtest, warum nutzt du nicht den unifi wlan controller?
Ich würde gerne zwei WLANs einrichten - hab ich. Hab das eine als Gästewlan eingerichtet. Klappt.
gut...Jetzt ist aber das Problem, dass das Haupt-WLAN kein anderes Passwort bekommen kann, da aber Nutzer drin sind, die da nicht rein sollen, sondern ins Gäste WLAN.
Blacklisten in dem WLAN geht ja nicht, weil die IP von der Sophos kommt. Wenn ich das Gerät da blocke gibt es natürlich keine IP mehr - egal in welchem WLAN.
Gibt es da nen Weg? Außer Passwort vom Haupt-WLAN ändern?
mach es gleich richtig...
Grüße
Frank
Du hast es erfasst "Faulheit" oder sagen wir anders. Sehr spezielle Kundschaft. Aber muss ich wohl durch in der Hoffnung, dass sie das nicht weiter geben.
aber das will ich nun unterbinden ohne das Büro Wlan mit einem neuen Passwort zu versehen.
OK mit einer Mac Accessliste auf dem AP ist das in ein paar Minuten erledigt. Das sperrt dann alle aus die da nicht reingehören.Sinnvoll ist eine Whitelist die nur Macs listen die dürfen.
Das Klientel was da arbeitet wird vermutlich nicht die Kenntnisse haben zu wissen wie man eine Mac Adresse faked in sofern hast du das damit elegant und einfach erledigt !
Aber vermutlich komm ich nicht umher das Passwort zu ändern.
Doch ! Eben mit dieser Mac Adress ACL auf der Büro MSSID.
Genau das habe ich versucht, allerdings habe ich die drei die nicht sein sollen geblacklisted habe und zum Spaß mein Ipad und dennoch konnte ich mich anmelden, weil mein Verdacht eher da lag, dass die Sophos ja der DHCP ist.
und zum Spaß mein Ipad und dennoch konnte ich mich anmelden
Dann hast du die falsche Mac oder ein falsches Format eingegeben ! Oder...Der AP hat einen Firmware Bug oder die Mac ACL ist nicht aktiviert worden. In jedem Falle hast du einen Konfig Fehler auf dem AP gemacht. Das ein solches Sicherheitsfeature einen Bug hat ist eher selten.
Besser wäre auch immer eine Whitelist !!
Nur die eintragen die dürfen !! Dann wäre dein iPad so oder so immer raus.
Blacklist ist sinnfrei, denn da müsstest du ja alle Macs auf der Welt eintragen was ja unsinnig ist.
weil mein Verdacht eher da lag, dass die Sophos ja der DHCP ist.
Eine DHCP IP von wo auch immer kannst du ja nur bekommen wenn du schon am WLAN angemeldet bist.Blockt das eine Mac ACL oder ein falsche Passwort kommst du physisch erst gar nicht ins WLAN und kannst dann logischerweise auch niemals eine DHCP bekommen...
DHCP kommt immer erst nach der Anmldung im WLAN ! Logisch....
Okay ...
Whitelist ist dort nicht möglich, weil dort immer wieder neue Geräte angemeldet werden, die ich nicht kenne und somit nicht whitelisten kann. Es geht auch explizit nur um ein paar MAC Adressen die gesperrt werden müssen.
Okay, danke. Dann muss ich mir das nochmal ansehen.
Whitelist ist dort nicht möglich, weil dort immer wieder neue Geräte angemeldet werden, die ich nicht kenne und somit nicht whitelisten kann. Es geht auch explizit nur um ein paar MAC Adressen die gesperrt werden müssen.
Okay, danke. Dann muss ich mir das nochmal ansehen.
Das musst du dann wohl. Alle deine möglichen Optionen stehen oben bzw. beschreibt das Praxisbeispiel im Tutorial.
Hallo Xaero,
wenn du dein WLAN getrennt von deinem Haupt-(W)LAN haben möchtest - was ja auch sinnvoll ist,
würde ich zur einfachen Umsetzung des V-LANs das Security-Gateway von Unfi nutzen.
Mit der Controllersoftware kannst du alles sauber und schnell einrichten.
Die DHCP-Problematik ist damit natürlich auch gelöst... nur mal als Anregung
Grüße
wenn du dein WLAN getrennt von deinem Haupt-(W)LAN haben möchtest - was ja auch sinnvoll ist,
würde ich zur einfachen Umsetzung des V-LANs das Security-Gateway von Unfi nutzen.
Mit der Controllersoftware kannst du alles sauber und schnell einrichten.
Die DHCP-Problematik ist damit natürlich auch gelöst... nur mal als Anregung
Grüße
