Übersicht
In diesem Artikel werden die Schritte zum Bereitstellen eines Access Points (AP) und zum Registrieren und Verwalten des Access Points in einer Head-Office-Appliance, die über einen IPSec-Tunnel verbunden ist.
Dieses Kapitel umfasst die folgenden Themen:
- Voraussetzungen
- Einstellung und Verwaltung eines Access Points über einen IPSec-Tunnel
- Konfiguration der Zweigstelle
- Konfiguration am Hauptsitzes
Diese Anleitung gilt für alle Firewall-Modelle der XG-Serie:
XG 85, XG 105, XG 115, XG 125, XG 135, XG 210, XG 230, XG 310, XG 330, XG 430, XG 450, XG 550, XG 650, XG 750
Voraussetzungen
Bevor Sie diese Anleitung durchlaufen, müssen Sie einen IPSec-Tunnel zwischen zwei XG-Firewalls erstellen.
Einstellung und Verwaltung eines Access Points über einen IPSec-Tunnel
Konfiguration der Zweigstelle
1. Deaktivieren Sie den WLAN-Schutz der Zweigstellen-Appliance, da Sie den Zugriffspunkt in der Zentrale verwalten.
2. Erstellen Sie einen DHCP-Server auf der Zweigstellen-Appliance. Gehen Sie zu Configure (Network) > DHCP und fügen Sie dann einen DHCP-Server hinzu, so dass er IP-Adressen für Access Points und andere Clients vergeben kann.
3. Erstellen Sie die DHCP-Option und verbinden Sie sie. Sophos AP arbeitet mit Magic IP (1.2.3.4). Konfigurieren Sie daher den DHCP-Server so, dass alle AP-Registrierungsanforderungen an die IP der LAN-Schnittstelle der Zentrale auf der Appliance anstelle an die Magic IP weitergeleitet werden.
Dazu konfigurieren Sie den DHCP server option code [magic IP] für die Schnittstelle, mit der der AP verbunden ist.
Stellen Sie über SSH eine Verbindung zur Zweigstellenanwendung her und wählen Sie Option 4. So rufen Sie die Gerätekonsole auf.
Sobald Sie in der Konsole sind, führen Sie den folgenden Befehl aus:
system dhcp dhcp-options add optioncode 234 optionname dhcp_magic_ip optiontype ipaddress
Wenden Sie die erstellte DHCP-Option auf dem DHCP-Server an (erstellt in Schritt 2).
Führen Sie den folgenden Befehl aus:
system dhcp dhcp-options binding add dhcpname LAN[IncludesAP] optionname dhcp_magic_ip(234) value 172.16.16.16
4. Verbinden Sie den Access Point mit der XG Firewall. Verbinden Sie den Sophos Access Point, um die IP-Adresse zu erhalten, die vom DHCP-Server auf der Backoffice-Appliance geleast wurde, und Sie erhalten die DHCP-Option (konfiguriert in Schritt 3).
5. Da der Datenverkehr zu und von der VPN- und LAN-Zone fließt, müssen Sie zwei Netzwerk-Firewall-Regeln erstellen. Stellen Sie sicher, dass Ihre Firewallregeln für den LAN-zu-WAN-Datenverkehr für den Client gelten, der eine Verbindung zum Access Point in der Zweigstelle herstellt.
Konfiguration des Hauptsitzes
1. Stellen Sie sicher, dass der IPSec-Tunnel aktiv ist.
2. Fügen Sie auf der Appliance im Head Office die IPSec-Route hinzu, um das Remote-Subnetz des Back-Office (192.168.1.0) zu erreichen.
Stellen Sie eine Verbindung zur CLI-Konsole der Appliance im Head Office her und führen Sie den folgenden Befehl aus:
system ipsec_route add net 192.168.1.0/255.255.255.0 tunnelname HO_to_BO
Überprüfen Sie die Route, indem Sie den folgenden Befehl ausführen:
system ipsec_route show
3. Erstellen Sie eine Quell-NAT-Richtlinie, um das Remote-Ziel mit der Quell-NAT-IP der LAN-Schnittstellen-IP des Hauptsitzes zu erreichen.
Führen Sie folgenden Befehl aus:
set advanced-firewall sys-traffic-nat add destination 192.168.1.0 netmask 255.255.255.0 snatip 172.16.16.16
Führen Sie den folgenden Befehl aus, um es zu überprüfen:
show advanced-firewall
4. Aktivieren Sie den WLAN-Schutz und fügen Sie eine VPN-Zone hinzu. Wenn diese Option bereits aktiviert ist, fügen Sie die VPN-Zone nur zur zugelassenen Zone hinzu, da der AP-Registrierungsdatenverkehr über das VPN erfolgt.
5. Da der Datenverkehr zu und von der VPN- und LAN-Zone fließt, müssen Sie zwei Netzwerk-Firewall-Regeln erstellen.
6. Gehen Sie zu Protect > Wireless > Access und stellen Sie sicher, dass der Back-Office-AP in der Liste Pending Access Point blinkt.
7. Richten Sie Ihr Wireless Network ein. – Siehe Sophos XG-Firewall: Konfiguration eines Wireless Network