Gastnetz über VLAN mit Sophos UTM als DHCP-Server

Es gibt 25 Antworten in diesem Thema, welches 3.436 mal aufgerufen wurde. Der letzte Beitrag () ist von jkasten.

    Einen wunderschönen guten Abend in die Runde,


    ich stehe vor einem kleinen Problem. Kurz zur Beschreibung: Ich habe mir aufgrund von vielen Empfehlungen einen UniFI AP geholt und würde gerne im Gebäude 2 ein Gast-WLAN anbieten, da bisher immer nur das interne WLAN vorhanden war. Jetzt kann man ja über den UniFI AP ein Gastnetz abbilden, aus diesem erhalte ich aber immer wieder eine IP aus meinem internen Netz 192.168.2.x. Daher habe ich zwei Netzwerke erstellt. Eines für Gäste und das interne. Das interne funktioniert ohne Probleme und ich kann auf meine Geräte zugreifen, Gäste sollen jedoch getrennt von meinem Netz ins Internet kommen (Gebäude 2, Captive Portal mit Vouchern). Dafür habe ich nach einer Anleitung bei youtube auch alles auf meiner Firewall (Sophos) eingerichtet. Jedoch bekomme ich keine IP im Gastnetz von der Sophos zugewiesen. Zur besseren Übersicht habe ich mal ein kleines VISO-Diagramm erstellt. Vielleicht hat einer von euch eine zündende Idee wie ich im Gebäude 2 das getrennte Gastnetz mit eigenem IP-BEreich realisieren kann. Leider bin ich mit der Realisierung von VLANs noch sehr unerfahren und ich vermute das der Knackpunkt darin liegt. Ich hoffe ich konnte mein Anliegen gut beschreiben und ihr habt einen Ansatz für mich. Vielen Dank :smiling_face:

    Zitat von The-Umbrella-Corp

    Ich hoffe ich konnte mein Anliegen gut beschreiben und ihr habt einen Ansatz für mich. Vielen Dank :smiling_face:

    Hier isser:



    Ab der Sophos musst Du Deinem "normalen" LAN (hier mal das Netz 192.168.0.0) ein Vlan aufoktroyieren (hier mal das Netz 192.168.1.0). Beides führst Du quasi als Vlan-Trunk über Deinen Switch im Keller zu dem im EG (?). An diesem legst Du dann fest, welcher Port welches Netz weiterreicht, wobei i.d.R. vorhandene Vlan-Taggs entfernt werden. So kannst Du Dir nicht nur aussuchen, in welches Netzt die Clients im EG kommen, sondern auch festlegen, dass der Port, an welchem das Kabel zum Gastbereich klemmt, lediglich das Gästenetzt (192.168.1.0) ausgibt. Hier muss der Port aber auf jeden Fall den Vlan-Tagg entfernens, dann mit einem solchen kann Dein unmanaged Switch nichts anfangen.


    So hast Du dann auf jeden Fall im Gästebereich auch Dein Gästenetz, aber eben nur dieses. Willst du aber auch Dein "normalen" LAN hier haben, wird ein dritter managed Switch fällig (oder ein zweites Kabel + zweiten unmanaged Switch)


    Den Internetzugang und solche Sachen, wie DHCP und DNS regelst Du dann in der Sophos, ebenso eine etwaige Interoperabilität zwischen den Netzen.

    Hallo Swag,


    vielen Dank für deinen Ansatz. Dann werde ich mir erstmal für das Gebäude 2 noch einen Managed Switch zulegen. Im Gebäude 2 soll sowohl das interne LAN (in dem Beispiel 192.168.0.x) als WLAN zur Verfügung stehen sowie das Gastnetz 192.168.1.x als WLAN.


    Auf der Sophos läuft die SG Software.

    Hallo bic,


    vielen Dank für deine Nachricht. Ja es soll im Gebäude 2 auch das interne LAN zur Verfügung stehen. Deshalb werde ich mir erstmal noch einen Managed Switch organisieren. Ich hoffe ich komme dann mit der Portkonfiguration noch klar damit das alles so läuft wie ich es mir vorstelle 😬

    Hallo swag,


    im Keller von Gebäude 1 ein D-Link DGS-1224T, im EG von welchem eine Leitung ins Gebäude 2 geht ist ein TP-Link TL-SG3424.


    Hier vielleicht noch die Verkabelung:

    Router an WAN-Port Sophos, Sophos LAN-Port an Port 24 D-Link, Port 23 D-Link über Kabel ins EG an Port 20 TP-Link, Port 19 TP-Link ins Gebäude 2 an aktuell unmanaged Switch

    Hallo the-umbrella-cop,

    Irgendwie hab ich Deinen Post übersehen.


    Dein Plan sieht prima aus.

    Bei den 108e musst Du eigentlich nur das Vlan aktivieren.



    Default kannst Du für Dein unstagged Netzwerk verwenden. Dann musst Du diesen alle Ports untagged hinzufügen. Und die Port vid auf 1 default setzen. Dann noch Dein guest vlan hinzufügen. Vlan 10 und die ports tagged hinzufügen.

    Hey swag,


    vielen Dank. Das VLAN-Problem konnte ich soweit schon lösen. Die Devices im "GUEST-SPOT" bekommen nun eine IP von der Sophos im eingestellten DHCP-Bereich. Das Problem ist nun das diese das Captive-Portal welches im Netz auf dem Server 192.168.2.200 läuft nicht angezeigt bekommen. Ich habe dazu nochmal folgenden Beitrag inkl. Zeichnung erstellt: Captive Portal und Internetverbindung nicht erreichbar aus VLAN


    Was auch seltsam ist, dass seit meiner Umstellung bzw. Ergänzung des VLAN10 meine SIP-Telefone im 192.168.2.x Bereich nicht mehr mit der Fritte (Registrar) auf 192.168.178.1 "telefonieren" können.


    Vielleicht hast du dazu auch noch einen Ansatz für mich :smiling_face:


    LG und schöne Pfingsten

    Ncoh als Hinweis zum Thema Sophos. Die UTM ist EOL und wird nicht weiter vertrieben. Du solltest dich bei Zeiten um einen Umstieg auf die XG oder ein ganz andere Alternative kümmern.

    Zitat von jkasten

    Ncoh als Hinweis zum Thema Sophos. Die UTM ist EOL und wird nicht weiter vertrieben. Du solltest dich bei Zeiten um einen Umstieg auf die XG oder ein ganz andere Alternative kümmern.

    Bei Odin keine Sophosprodukte mehr einsetzen. Seit der XG ist der ganze Kram ... ein Abfallprodukt.

    Abgesehen davon, dass mehr und mehr Features wegfallen, wird es steil Richtung Cloud betrieben.

    Es wird wie die Unifi enden, nur ohne lokalen im eigenen Netz erreichbaren Controller.

    Die ganzen fanzy Netzwerkspielereien wie LE, PXE, DHCP Einstellungen usw fallen weg. Der Zugriff auf die Console wird mehr und mehr eingeschränkt.


    Eine echte Alternative wäre OPNsense. Je nach Einsatzzweck kann man sich auch auf Unifi alleine einlassen, die holen mit den letzten Updates einiges auf.

    Es kommt halt darauf an wo die Firewall eingesetzt wird. Privat ist es erstmal egal, im Firmenumfeld hat eine Opensense eher weniger zu suchen.