OPNsense Hauptfirewall, Sophos UTM für WLAN

[kosta]

Hallo,

die Frage halte ich erstmal kurz:
Weiß jemand ob es möglich ist, die OPNsense als Hauptfirewall zu haben und eine Sophos UTM nur für WLAN?
Die Access Points sind 4x Sophos AP55 die die Sophos UTM als "Controller" haben (sie funken ohne UTM nicht).

Die Funktionalität sollte so etwa wie ein Unifi Controller + Access Points sein.
Die Sophos macht grundsätzlich nix anderes außer WLAN-Zugang und VLAN Tagging (kein Routing oder NAT) und reicht weiter an die OPNsense. Die Anbindung kann sowohl via Switch wie auch direkt gemacht werden.

Also, geht das?

[aeschma]

Hab keine Sophos und kenn mich auch damit nicht aus ^^^Sehe aber nicht warum es nicht gehen sollte. Du musst nur die Vlan‘s auf der Sense und auf der Sophos einrichten.

[kosta]

Schon darüber nachgedacht. Das würde auf der Sophos fordern die Erstellung aller Interfaces, und hier müssen alle eine IP bekommen, Sophos deklariert das als Gateway. Also hätte quasi jeder VLAN auf der Sophos eine IP. Ich hätte gehofft das auf L2 zu machen…

[aeschma]

Kenne mich wie gesagt mit Sophos nicht aus .... Aber du sagst der Sophos alles im WLAN hat die VLAN ID 47 alles an port 2 hat die VLAN ID 11 ..... und die Sense gibst du als Gateway an. An dem Interface wo die Sense hängt musst du auf All stellen.

P.S. Hab unifi und hatte sowas mal mit Netgear und Fritzbox .... Da ging das dann so ....

[kosta]

In der Sophos habe ich folgende relevanten Punkte:

Access Points: diese haben sich IPs von unserem DHCP gezogen - da wir ursprünglich nur ein Netz hatten, war das DHCP am DC (AD).
AP Grouping: Vergabe welches drahtloses Netzwerk zum welchen AP zugewiesen ist.
Wireless Networks (SSIDs): hier muss ich sagen ob Separate Zone, Bridge to AP LAN oder Bridge to VLAN
Und dann gibt's noch "Allowed Interfaces", hier sagt man welche Interfaces verwendet werden, die AP in das System einzubinden.

Und der zweite Teil ist eben allgemeine Interfaces, wo ich dann entweder Ethernet oder Ethernet VLAN erstelle.
Und hier muss ich eben eine IP eintragen. Das ist eben die Interface-Adresse, das gleiche wie auf der OPNsense.
Ich wüsste nicht dass ich irgendwo "VLAN-Profile" wie bei Unifi erstellen kann und diese dann einem Port bzw. WLAN zuweisen.

Und, es sollte eigentlich nichts mit einer IP oder Gateway zu tun haben.

Sagen wir mal die OPNsense hat 192.168.1.254, dann hat die Sophos 192.168.1.253 als IP "wanseitig".

Irgendwie krieg ich das nicht in meinen Kopf hinein... und noch wichtiger, ob es machbar ist. "Wing it" ist nicht so ganz mein Ding, aber auch wenn die Sophos nicht funkt wie gewünscht, wird auf Unifi (oder Alternative) gewechselt.

[JeGr]

Ich verrstehe immer noch nicht was das überhaupt machen soll. Was bringt die UTM da für nen wahnsinnigen Nutzen dass die vor APs und hinter die Sense soll? Und was für APs überhaupt?

[kosta]

Wohl den wichtigen Punkt nicht erwähnt: die Access Points sind Sophos AP55 die nur mit einer Sophos funktionieren, und waren glaube ich knappe €300/Stk.
Sonst hätte ich die Sophos eh nicht behalten.

[JeGr]

Siehste und schon gibt es 100% mehr Sinn - also gehen die Dinger gar nicht ohne Sophos UTM. Dann ist es ja auch logisch dass man die dahinter irgendwo rankleben will.

[kosta]

Hab schon ganz oben ergänzt, danke.
Genau, gehen nur mit Sophos. Hab schon geschaut ob ich sie irgendwie anders verwenden kann, aber sind halt "zu dumm" ;-)

Ich weiß es ist kein wirkliches OPNsense Thema, so halb halb in etwa. Aber ich habe auch bei Sophos gepostet, mal schauen was da kommt...

[JeGr]

Wenn die Kiste die APs managed, muss sie doch nur mit ihnen im gleichen mgmt LAN sein, oder wie kommunizieren die? Vielleicht einfach zu kompliziert gedacht, eventuell mal in deren Doku nachschlagen, wie die überhaupt miteinander reden müssen und wie nicht.

[kosta]

Damit habe ich mich schon den halben Abend beschäftigt...
Die APs bekommen eine IP, klar. Keine statische, aber per DHCP reservierte geht. Und ich kann die AP VLAN ID bestimmen, damit ist klar, dass sich der AP die IP aus dem richtigen DHCP holt.

Ich erkenne ich kann WLANs zu einzelnen VLANs binden. Einfach mittels VLAN ID.
Es gibt paar Regeln wie man die Einstellungen treffen muss, aber so wahnsinnig komplex ist es nicht.

UTM und AP in mgmt VLAN zu geben ist kein Problem.
Aber die einzelnen WLANs... man kann bei SSID/Auth auch auf ein WLAN bridgen, was auch Sinn macht.
Aber ich frage mich, ob ich einzelne VLANs auf der Sophos erstellen muss.

Ich habe langsam das Gefühl dass ich es einfach probieren werde... :/
Nächste Woche wird die Migration gemacht und WLAN ist natürlich ein Teil davon. Alles mit Backups natürlich auch.

EDIT:
Vielleicht denke ich zu kompliziert weil ich zu Hause auch ein Unifi Switch US-8 habe, und hier die ganze Zeit über VLANs nachdenke.
Aber wenn ich auf die APs schaue, die haben lediglich eine IP im Management Bereich, mehr isses nicht. Die Stecken per POE am Switch, und dort habe ich die entsprechende VLANs getaggt.
Dann wird wohl reichen mit Sophos das gleiche zu machen - ein Intf auf die Sophos, der die Sophos mit OPNsense im Mgmt VLAN verbindet (also Sophos ist "Client" von der OPNsense), dazu die AP55 im gleichen VLAN und dann die Ports am Switch taggen.

[JeGr]

So wie das klingt ist das wie bei den UI APs

Man definiert beim AP die IP und das VLAN für MGMT und nur dafür. Die einzelnen SSIDs/WLANs konfiguriert man dann auf der Sophos und wenn man will, dass bspw. SSID-Blah im VLAN Blah sein soll, dann muss der Netzwerkport, an dem der AP hängt eben noch auf dem Switch das VLAN Blah mit drauf haben. Wenn also 999 das Mgmt VLAN ist und man SSIDs in VLANs 100, 200 und 300 haben will, dann ist der Netzport auf native vlan 999, tagged 100,200,300 konfiguriert. So dass der AP untagged Pakete im 999er Mgmt LAN hat und per VLAN dann seine SSIDs in die VLANs reinbridgen kann.

Cheers

[kosta]

Ich verzichte auf die Sophos. Die UI AP sind schon da, Sophos verkaufe als eine Einheit und aus ist die Maus.
Controller und AP kommen ins Mgmt VLAN, und haben entsprechend getaggte VLANs.