WLAN mit ext. AP an RC200

Tarzan · Beitrag von **Tarzan** » Mo 23.02.2015, 11:18

Ich stehe auf dem Schlauch.

Was möchte ich erreichen:

Einen AccessPoint mit Multi SSID an eine RC200 hängen so das es möglich ist, das hinter jeder SSID eine andere Berechtigung bzw. Dienste bereitstellen.

z.B
- Gäste sollen die SSID Guset benutzen und damit nur über den Proxy ins Internet dürfen
- Mitarbeiter sollen die SSID Mitarbeiter benutzen und damit über den Proxy ins Internet dürfen und auch auf div. Rechner im LAN ( 192.168.0.0 )
- GL sollen die SSID GL benutzen und damit alles dürfen

Ich bin mir nicht sicher wie man so eine Konfiguration am besten einrichtet. Leider habe ich ihr im Forum kein Beitrag gefunden wo so eine Anwendung mal dargestellt wird.

ETH1 = 192.168.0.0 = Büro LAN
ETH2 = 192.168.200.0 = DMZ1 zur zeit nicht genutzt

Der AccessPoint hat die IP 192.168.0.180

Ich habe dort die möglichkeit Multi SSID einzustellen. Ich kann jeder SSID ein VLAN einstellen.

Der AccessPoint hängt an einem Cisco Switch. Ich könnte an AP aber auch direkt über ein Kabel an die RC200 anschließen.

Warscheinlich ist es eine total easy Sache. Aber ich hab da eine blockade im Kopf

Petasch · Beitrag von **Petasch** » Mo 23.02.2015, 11:24

ja ist eine total easy Sache und hat mit der Firewall ja eigentlich überhaupt nichts zu tun?
Letztendlich musst du doch nur den Cisco Switch entsprechend programmieren, für die Gäste machst du ein VLAN wo auch ein Interface der Firewall hängt. So kannst du für die Gäste eigene Regeln erstellen, ohne das die Zugriff auf das interne Netz haben usw.

Tarzan · Beitrag von **Tarzan** » Mo 23.02.2015, 11:53

Guten Morgen,
danke für die schnelle Info.

Ich lege also auf der Firewall folgendes an

VLAN hinzufügen

Name: VALN-Guest
Schnittstelle : ETH1
VLAN ID : z.B 10
IP Adresse : 192.168.10.220/24
DHCP client : aus

Zoneneinstellung
Zone hinzufügen
Name : firewall-vlan10
Schnittstelle eth1.10
Interface ein hacken

nochmal Zone hinzufügen

Name : vlan10
Schnittstelle eth1.10
Interface KEIN hacken

nun die Zonen im VLan10 Interface hinzufügen.

und wie geht es weiter ?

Petasch · Beitrag von **Petasch** » Mo 23.02.2015, 12:08

also auf eth1 würde ich persönlich keine VLANs legen.
Ganz einfach aus dem Grund:
Wenn dein Switch mal defekt sein sollte oder was auch immer, kommst du ja gar nicht mehr aurf die Firewall selber drauf. Zumindest so lang du keinen Ersatz Switch schnell hervor zauberst und die VLANs programmierst.
Ebenso wenn du einen Fehler machst bei der Switch oder FW konfiguration schießt du dich damit relativ schnell selber ab ...
Deswegen mache ich bei unseren Firewalls das immer so, das ich eth1 für das interne Netz "normal", also ohne VLANs belasse, und auf den Switch klemme.
eth2 dagegen, darauf erstelle ich mehrere Vlans (bei uns gibt es eins für Gäste, VOIP, DMZ, usw),, welches ich wiederrum an einen getaggten Port hänge am Switch.

So wenn du nun die Schnittstelle angelegt, Zonen zugewiesen hast musst du noch Objekte anlegen.
Beispiel:
vlan-gaeste-network 192.168.220.0/24
vlan-gaeste-interface 192.168.220.254 (wenn das die ip deiner FW ist)

und dann musst du natürlich noch Regeln anlegen.
z.b. VLAN-Gaeste-Network -> VLAN-Gaeste-Interface -> Proxy (wenn die über den Proxy surfen sollen die Gäste, ansonsten halt als Ziel Internet und dort dann http)
und dann halt noch alle anderen Regeln Richtung Internet was die Gäste alles so dürfen ... https, emai, usw...

Tarzan · Beitrag von **Tarzan** » Mo 23.02.2015, 12:51

ok Danke für die Info

Habe ich das richtig verstanden.

Der AccessPoint behält die IP vom ETH1 192.168.0.180
Das Gäste Wlan mit der SSID Gaest gebe ich die VLAN z.B 10

Auf der Firewall benutze ich EHT2 und lege da ein VLAN10 an mit der IP 192.168.10.220

Ist das so weit richtig??

Petasch · Beitrag von **Petasch** » Mo 23.02.2015, 13:05

da du das eth2 noch gar nicht verwendest, musst du auf der Firewall nicht zwangsläufig vlans verwenden.
Da kannst du dem Interface auch direkt diese ip geben und das Interface dann halt mit dem cisco Switch mit einen pvlan id 10 Interface verbinden.

Der Access Point kann die ip behalten, solang du den Switch richtig konfigurierst. Das heißt Pakete mit Vlan 10 müssen getagged werden, Pakete mit deinen internen Vlan ungetagged und die pvlan id muss dann passen.

Tarzan · Beitrag von **Tarzan** » Mo 23.02.2015, 18:37

So Ich bekomme nun mit dem VLAN10 ( SSID Guest) eine Verbindung zum Internet

Aber leider nicht über den Proxy

Ich habe folgende Netzwerkobjekte angelegt:

Name : VLAN10-Netz
Zone : VLAN10
Schnittstelle : ETH 2.10

und

Name : VLAN10-Interface
Zone : firewall-VLAN10
IP-Adresse : 192.168.10.220/24

Regel : VLAN10-Netz -> VLAN10-Interface -> proxy erlauben = KEIN INTERNET
Regel : VLAN10-Netz -> INTERNET -> any erlauben = INTERNET geht

kann mit jemand noch ein Tip geben?

Tarzan · Beitrag von **Tarzan** » Di 24.02.2015, 10:53

Ich schon wieder

guten Morgen,

ich hab mir mal die Log Datei angesehen.

ich bekomme immer diese Meldung:

DROP: (DEFAULT DROP) IN=eth2.10 OUT=ppp0 MAC=00:30:18:4a:ec:8d:e0:b5:2d:ef:be:84:08:00 SRC=192.168.10.100 DST=17.154.66.111 LEN=64 TOS=0x00 PREC=0x00 TTL=63 ID=65215 DF PROTO=TCP SPT=54696 DPT=443 WINDOW=65535 RES=0x00 SYN URGP=0

Ich denke das es an einer falschen Regel hängt.

Wenn ich den Proxy Transparent mache läuft auch alles über den Proxy. Aber dann halt alle. Mir wäre ei liebe wenn ich das mit Regeln machen kann.

Petasch · Beitrag von **Petasch** » Mi 25.02.2015, 13:34

das was da geblockt wird ist https, diese Regel hast du vermutlich nicht drin (eth2.10 Network > Internet > https)