09.08.2016

1681

W-Lan Router in Domände mit Sophos einbinden

Hallo liebe Mitnutzer,

ich habe da einen Fall bei dem ich etwas Unterstützung benötige.

Ich bin gerade dabei, in meiner Firma einen WLAN Router ( Speedport W503V) als Accesspoint zu implementieren.

Internes Modem ist aus, DHCP ebenfalls und der Router hat eine logische IP Adresse für unser Netz erhalten. Die Nutzung in unserem Netz wird über eine Sophos UTM9 geschützt und verwaltet.

Nun ist meine Frage: Was muss ich in der Sophos einstellen, damit diese erkennt das unter dieser IP Adresse ein Router angeschlossen ist, und dieser aus dem DHCP des Servers IP Adressen erhalten soll um sie zu verteilen. Es ist eh noch die Frage zu klären ob dieser Router dafür überhaupt funktioniert.

Ich Danke allen im Voraus für Ihre Hilfe.

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 312139

Url: https://administrator.de/contentid/312139

Ausgedruckt am: 25.11.2024 um 18:11 Uhr

20 Kommentare

Neuester Kommentar

Hallo,

du definierst einfach auf der Sophos einen Port an dem der Speedport angeschlossen ist und setzt einen DHCP Server für das Interface auf, fertig.

Gruß

in meiner Firma einen WLAN Router ( Speedport W503V) als Accesspoint zu implementieren.

Dieses Forums Tutorial erklärt dir genau wie es geht:
Kopplung von 2 Routern am DSL Port
bzw. für eine saubere WLAN Integration:
Seit WLAN Umstellung von Cisco WAP 200 auf Zyxel NWA3560-N schlechtere Verbindung

Was muss ich in der Sophos einstellen, damit diese erkennt das unter dieser IP Adresse ein Router angeschlossen ist, und dieser aus dem DHCP des Servers IP Adressen erhalten soll um sie zu verteilen.

Das ist sehr schlechte Praxis, denn ein Netzwerk Infrastruktur Gerät wie dein AP sollte wie Server, Switches, Router usw. niemals dynamische IP Adressen fürs Management bekommen sondern immer statische !
Der Grund liegt auf der Hand !
Die IP Adresse des Speedports hat für das Paket Forwarding keinerlei Relevanz mehr. Der AP im Speedport arbeitet wie alle APs im Bridge Modus, er forwardet WLAN Clients also rein im Layer 2 auf Basis der Mac Adressen.
Eine Binsenweisheut die ja nun jeder netzwerker kennt.
Die IP das APs dient dann einzig und allein nur noch für den Management Zugriff für nichts anderes sonst ! Deshalb ist es ja wichtig das man diese IP kennt und sie sich nicht alle naslang durch die Dynmaik von DHCP ändert...logisch !

Willst du dennoch eine dynamische IP musst du auf der Sophos einen DHCP oder UDP Relay / Forwarder einrichten. Auch als sog. IP Helper Adresse bezeichnet, denn UDP DHCP Broadcasts könnten sonst nicht das geroutete IP Segment verlassen.
Die Helper IP ist dann die des zentralen DHCP Servers an den der Forwarder diese DHCP Broadcasts weiterleitet.
Wie gesagt...normal überflüssig, da kontraproduktiv !
Bischen Grundlagenkunde zu dem Thema findest du hier:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router

Moin,

Nun ist meine Frage: Was muss ich in der Sophos einstellen, damit diese erkennt das unter dieser IP Adresse ein Router angeschlossen ist, und dieser aus dem DHCP des Servers IP Adressen erhalten soll um sie zu verteilen.

Ein Accesspoint arbeitet wie eine Bridge, da muss die Sophos garnichts wissen.

Tu dir am besten selbst einen Gefallen und verwende nicht diese Krücke als Accesspoint, sondern z.B. für 72€ einen Unifi AP:
http://varia-store.com/Wireless-Systeme/UBIQUITI-UniFi/UniFi-Enterprise ...

VG
Val

Das ist mir schon bewusst. Wir haben nur für zwei Wochen Gäste hier und Chef will das die da oben einen W-Lan Router bekommen damit sie arbeiten können. Ich hab das Teil nun noch hier stehen und muss das noch weiter einrichten. Daher nur die Frage, wie muss ich das der Sophos einprügeln, damit sie merkt das da ein Router mit einer Statischen IP hinter ist und der 3 weitere IP Adressen, die ich vorgebe dort abgeben kann.

Ich hoffe ich drücke mich nicht zu doof aus. Ich bin da doch noch ein wenig grün hinter den Ohren wenn ich ehrlich sein soll...

Das würde ich gerne aber dafür reicht die Zeit leider nicht. Das Teil wäre natürlich ideal...

Daher nur die Frage, wie muss ich das der Sophos einprügeln, damit sie merkt das da ein Router mit einer Statischen IP hinter ist und der 3 weitere IP Adressen, die ich vorgebe dort abgeben kann.

Nimm einen extra Port an der Firewall, konfigurier dort eine IP und einen DHCP Server und dann die dazu gehörigen Regeln für das neue Netzwerk.

Alternativ einfach ins vorhandene LAN bridgen und läuft.

VG
Val

Alles klar.

Vielen Dank an euch alle.

Aber wie setze ich mal eben eins einen DHCP auf? Klingt leicht, fällt aber gerade schwer.

Zitat von @Hendrik2586:

Aber wie setze ich mal eben eins einen DHCP auf? Klingt leicht, fällt aber gerade schwer.

RTFM oder besser noch, gib das dem Admin in eurem Unternehmen, der kennt sich hoffentlich damit aus.

Gutes Gelingen.

Gruß

Jetzt etwas sehr witziges....ich bin der neue Admin. Aber halt noch grün hinter den Ohren. X-/

Zitat von @Hendrik2586:

Jetzt etwas sehr witziges....ich bin der neue Admin. Aber halt noch grün hinter den Ohren. X-/

Na dann, lesen, versehen, umsetzen...

Für die Zukunft baust du dir am besten eine Testumgebung auf wo du solche Dinge dann üben/testen kannst, bevor du das dann im produktiven Umfeld umsetzt.

Gruß

Ja das werde ich auch tun. Hier gibt es eh noch viele Anlaufpunkte die geändert werden müssen....:/

Hallo,

die Einstellungen müssten dann in etwa so aussehen:

Bei uns ist die Sophos hinter einer Fritz!Box (Zwangsrouter des ISP) angeschlossen.
Die FB mach Gast-W-LAN und Gast-LAN und Telefonie mittels DECT und erst hinter der Sophos beginnt unser internes LAN.

Gruß
Holger

[OT]

Zitat von @Dilbert-MD:
Hallo,
Bei uns ist die Sophos hinter einer Fritz!Box (Zwangsrouter des ISP) angeschlossen.

Wie schaut so ein Zwang denn genau aus? Hab ich mich nämlich immer schon gefragt.
Bisher konnte ich noch jeden Router von jedem ISP den ich je hatte gegen ein Modem austauschen.
[/OT]

Ganz einfach, in dem dein Provider dir deine ZGD nicht zur Verfügung stellt. Mit ein paar Tricks kann man diese aber wahrscheinlich auslesen. Für einen normalen Nutzer ist es aber "Zwang".

damit sie merkt das da ein Router mit einer Statischen IP hinter ist und der 3 weitere IP Adressen, die ich vorgebe dort abgeben kann.

Vergiss doch endlich mal den Unsinn mit dem Router bzw. der Router IP !
Wenn du den Speedport als dummen, einfachen WLAN Accesspoint laufen lässt wie oben im Tutorial beschrieben arbeitet er NICHT mehr als Router sondern als simple Bridge !! Sprich IP Adressen spielen keine Rolle ! Klar, denn er routet ja auch nicht mehr !
Die Sophos "sieht" dann nur die IP Adressen der WLAN Endgeräte niemals aber die des zum AP kastrierten Speedport Routers !
Ist dir oben ja auch schon mehrfach gesagt worden !

Also...die Einrichtung ist damit kinderleicht.

Neues Gast IP Segment in der Sophos einrichten,
DHCP Server dafür auf der Sophos starten,
Firewall Regeln konfigurieren das die 3 Endgeräte passieren können und keine bösen Dinge im Internet machen,
zum AP gemachten Speedport anschliessen (Tutorial !)
und fertig ist der Lack.

Der Azubi macht sowas in 15 Minuten fertig....wo ist denn nun dein wirkliches Problem ?

Bei uns ist die Sophos hinter einer Fritz!Box (Zwangsrouter des ISP) angeschlossen.

Auch Unsinn, Zwangsrouter sind seit 1. Aug. gesetzlich nicht mehr erlaubt !
Mal ganz abgesehen von der Tatsache das ein Speedport ja ein T-Com Router ist und die T-Com hat seit ihrem Bestehen noch nie Zwangsrouter gehabt ! Du hast als Kunde da immer die freie Wahl. Also informier dich besser erstmal richtig bevor du hier in einem Admin Forum sowas behauptest.

Danke für die Antwort aber das nächste mal bitte mit etwas mehr Respekt und Verständnis. So kannst du gerne mit deinem Azubi umgehen ( armer Mensch) aber definitiv nicht mit mir. Entschuldigung das ich dieses Detail des "dummen AP" übersehen habe.

Man mag hier zwar Hilfe bekommen aber die Art ist nicht wirlich freundliche.

Danke für diese Erfahrung.

Nach der Art und Weise der o.a. Fragenformulierung bist du aber ein Azubi oder auf gleichem Wissenslevel. Das ist ja auch nicht böse gemeint und in einem Administrator Forum sollte man keine weinerliche Mimose sein wenn man als Anfänger mal ein klein wenig härter angefasst wird mit der Wahrheit. Wir waren alle mal Azubis...
Es ist immer schwer wenn man mal den Spiegel vorgehalten bekommt, gerade in einem anonymen Forum aber wir sind in Wahrheit alle ganz lieb hier....
Sonst bist du vermutlich bei http://www.gutefrage.net etwas besser aufgehoben als hier.
Fazit also: Nicht rumheulen sondern das Problem lösen !

Masquerading nicht vergessen, sonst funktioniert es nicht.
Bei Firewall Regel Gruppe Internet und nicht any als Ziel nehmen.
Reihenfolge der Firewallregeln beachten. Es wird nur die erste zutreffende Regel verwendet.
Alle Regeln anzeigen, da standardmässig nur die ersten 10 angezeigt werden.
Kontrollieren ob die neuen Firewallregeln aktiviert sind.
aktuelle Konfiguration sichern bevor Änderungen gemacht werden.
Bei Unklarheiten am besten den Support des Firewall Lieferanten anfragen. Bei aktiver Subscription hat dieser bei mir auch geholfen.
Die Laufzeit der Subscription am besten auch gleich kontrollieren und im Kalender vermerken.

Eigentlich bin ich nicht weinerlich und hab genug durch aber diese Ausdrucksweise hat mir wirklich nicht gefallen. ;) Aber nun gut, ich glaube dir einfach mal das ihr sonst alle ganz lieb seit.

Mittlerweile hab ich das Ganze übrigens erfolgreich installiert und noch ein wenig erweiter. ;)

gelöst Frage Hardware Serverhardware

Mehr von Hendrik2586

KeepassXC - Schlüsselaustausch war nicht erfolgreichHendrik2586 - 7 Kommentare

WebEx Verbindungsprobleme nach Update v44.4.0.29298Hendrik2586 - 1 Kommentar

Language Tool AddOn BrowserHendrik2586 - 12 Kommentare

OpenVAS Community Edition (Greenbone)Hendrik2586 - 2 Kommentare

Heiß diskutiert