Auf der Seite Wireless Protection > WLAN-Netzwerke können Sie Ihre WLAN-Netzwerke definieren, z.B. ihre SSID und Verschlüsselungsmethode. Darüber hinaus können Sie festlegen, ob das WLAN-Netzwerk einen eigenständigen IP-Adressbereich oder eine Bridge in das LAN des Access Points haben soll.
Um ein neues WLAN-Netzwerk anzulegen, gehen Sie folgendermaßen vor:
Klicken Sie auf der Seite WLAN-Netzwerke auf WLAN-Netzwerk hinzufügen.
Das Dialogfeld WLAN-Netzwerk hinzufügen wird geöffnet.
Nehmen Sie die folgenden Einstellungen vor:
Netzwerkname: Geben Sie einen aussagekräftigen Namen für das Netzwerk ein.
Netzwerk-SSID: Geben Sie den Service Set Identifier (SSID) für das Netzwerk ein, der von den Clients registriert wird und zur Identifizierung des WLAN-Netzwerks dient. Die SSID darf aus 1-32 ASCII-Zeichen bestehen.1 Sie darf kein Komma enthalten und nicht mit einem Leerzeichen beginnen oder enden.
Verschlüsselungsmethode: Wählen Sie eine Verschlüsselungsmethode aus der Auswahlliste. Der Standardwert ist WPA 2 Personal. Wir empfehlen WPA2 statt WPA, wenn möglich. Aus Sicherheitsgründen wird davon abgeraten, WEP zu verwenden, es sei denn, Ihr WLAN-Netzwerk wird von Clients genutzt, die keine andere Methode unterstützen. Wenn Sie eine Enterprise-Authentifizierungsmethode verwenden, müssen Sie auch einen RADIUS-Server auf der Registerkarte Allgemeine Einstellungen > Erweitert konfigurieren. Geben Sie als NAS-ID des RADIUS-Servers den Namen des WLAN-Netzwerks ein.
Hinweis – Sophos UTM unterstützt den IEEE 802.11r Standard in WPA2 (PSK/Enterprise)-Netzwerken um Roamingzeiten zu reduzieren. Clients müssen ebenfalls den Standard IEEE 802.11r unterstützen.
Kennwort/PSK: Nur verfügbar bei der Verschlüsselungsmethode WPA/WPA2 Personal. Geben Sie das Kennwort ein, das das WLAN-Netzwerk vor unautorisiertem Zugriff schützen soll und wiederholen Sie es im nächsten Feld. Das Kennwort darf aus 8-63 ASCII-Zeichen bestehen.
128-bit WEP-Schlüssel: Nur bei der Verschlüsselungsmethode WEP verfügbar. Sie müssen ein OTP-Token manuell erzeugen und dem Benutzer zukommen lassen.
Client-Verkehr: Wählen Sie eine Methode, wie Ihr kabelloses Netzwerk in Ihr lokales Netzwerk integriert werden soll.
Hinweis – Wenn Sie RED 15w als Access Point verwenden, finden Sie ausführliche Informationen zur Konfiguration im Kapitel Wireless Protection > Access Points > RED 15w.
Getrennte Zone (Standard): Das WLAN-Netzwerk wird als eigenständige Zone behandelt und hat einen eigenen IP-Adressbereich. Wenn Sie diese Option nutzen, müssen Sie, nachdem Sie das WLAN-Netzwerk hinzugefügt haben, mit der Einrichtung wie im Abschnitt unten (Nächste Schritte für Netzwerke in getrennter Zone) beschrieben fortfahren.
Hinweis – Wenn Sie ein Netzwerk der Art Getrennte Zone zu einem Netzwerk der Art Bridge ins AP-LAN oder Bridge ins VLAN ändern, werden bereits konfigurierte WLAN-Schnittstellen auf Sophos UTM deaktiviert und das Schnittstellenobjekt erhält den Status nicht zugewiesen. Sie können dem Schnittstellenobjekt jedoch eine neue Hardware-Schnittstelle zuweisen, indem Sie es bearbeiten und dadurch wieder aktivieren.
In AP-LAN bridgen: Sie können das WLAN-Netzwerk auch in das Netzwerk des Access Points bridgen. Das heißt, dass die WLAN-Clients einen gemeinsamen IP-Adressbereich besitzen.
Für Onboard-WLAN-Gerät: Um In AP-LAN bridgen zu erstellen, müssen Sie das Onboard-WLAN-Gerät auf der Registerkarte Wireless Protection > Access Points > Übersicht bearbeiten und In AP-LAN bridgen aktivieren. Zusätzlich müssen Sie auf der Registerkarte Schnittstellen & Routing > Schnittstellen > Schnittstellen eine neue Schnittstelle anlegen und die Bridge auswählen. Damit der Client eine IP erhalten kann müssen Sie ebenfalls einen DHCP-Server unter Netzwerkdienste > DHCP > Server haben.
Hinweis – Wenn VLAN aktiviert ist, werden die WLAN-Clients in das VLAN-Netzwerk des Access Points gebridged.
In VLAN bridgen (nicht für Onboard-WLAN-Gerät): Sie können den Verkehr dieses WLAN-Netzwerks in ein VLAN Ihrer Wahl bridgen. Das ist nützlich, wenn Sie wollen, dass die Access Points in einem gemeinsamen Netzwerk getrennt von den WLAN-Clients sind.
In VLAN-ID bridgen: Geben Sie die VLAN-ID des Netzwerks ein, zu dem die WLAN-Clients gehören sollen.
Client-VLAN-ID (nur verfügbar mit einer Enterprise-Verschlüsselungsmethode): Wählen Sie, wie die VLAN-ID definiert ist:
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
Optional können Sie folgende erweiterte Einstellungen vornehmen:
Algorithmus (nur verfügbar bei der Verschlüsselungsmethode WPA/WPA2): Wählen Sie einen Verschlüsselungsalgorithmus: entweder AES oder TKIP. Aus Sicherheitsgründen empfehlen wir, AES zu verwenden.
Frequenzband: Die Access Points, die diesem WLAN-Netzwerk zugewiesen sind, werden auf dem ausgewählten Frequenzband übertragen. Das 5-GHz-Band weist im Allgemeinen eine höhere Leistung, eine geringere Latenz und weniger Störungen auf. Deshalb ist es z.B. für die VoIP-Kommunikation vorzuziehen. Weitere Informationen darüber, welche AP-Typen die 5 GHz-Bandbreite unterstützen, finden Sie unter Wireless Protection > Access Points.
Zeitbasierter Zugriff: Wählen Sie diese Option, wenn Sie das WLAN-Netzwerk automatisch gemäß eines Zeitplans aktivieren und deaktivieren möchten.
Aktive Zeiten auswählen: Wählen Sie die Zeitraumdefinitionen, die festlegen, wann das WLAN-Netzwerk aktiv ist. Sie können eine neue Zeitraumdefinition hinzufügen, indem Sie auf das Plussymbol klicken.
Client-Isolation: Clients innerhalb eines Netzwerks können üblicherweise miteinander kommunizieren. Diese Einstellung wird üblicherweise in Gastnetzwerken verwendet.
SSID verstecken: Wenn Sie Ihre SSID verstecken möchten, wählen Sie Ja aus der Auswahlliste. Bitte beachten Sie, dass es sich hierbei nicht um eine Sicherheitsfunktion handelt.
Fast Transition (nur verfügbar mit WPA2 Personal/Enterprise-Verschlüsselungsmodus): Zwingt drahtlose Netzwerke, die Norm IEEE 802.11r zu verwenden.
Hinweis – Diese Funktion funktioniert nicht zwischen Sophos Legacy Access Points und Sophos Access Points der APX-Serie.
MAC-Filter-Typ: Um die MAC-Adressen einzuschränken, die sich mit diesem WLAN-Netzwerk verbinden dürfen, wählen Sie Blacklist oder Whitelist. Mit Blacklist sind alle MAC-Adressen erlaubt, außer denen, die auf der unten ausgewählten MAC-Adressliste stehen. Mit Whitelist sind alle MAC-Adressen verboten, außer denen, die auf der unten ausgewählten MAC-Adressliste stehen.
MAC-Adressen: Liste der MAC-Adressen, die dazu verwendet wird, den Zugang zur RED-Appliance einzuschränken. MAC-Adresslisten können auf der Seite Definitionen & Benutzer > Netzwerkdefinitionen > MAC-Adressdefinitionen erstellt werden. Beachten Sie, dass es nicht empfohlen ist, mehr als 5000 MAC-Adressen zu haben.
Klicken Sie auf Speichern.
Ihre Einstellungen werden gespeichert. Das WLAN-Netzwerk wird in der Liste WLAN-Netzwerke angezeigt.
Wenn Sie ein WLAN-Netzwerk mit der Option Getrennte Zone erstellen, wird automatisch eine entsprechende neue virtuelle Hardwareschnittstelle erstellt, z.B. wlan0. Damit das WLAN-Netzwerk genutzt werden kann, müssen einige weitere manuelle Konfigurationsschritte durchgeführt werden. Gehen Sie folgendermaßen vor:
Konfigurieren Sie eine neue Netzwerkschnittstelle.
Erstellen Sie auf der Registerkarte Schnittstellen & Routing > Schnittstellen > Schnittstellen eine neue Schnittstelle und wählen Sie Ihre WLAN-Schnittstelle (z.B. wlan0) als Hardware. Stellen Sie sicher, dass Sie „Ethernet“ als Art gewählt haben und geben Sie die IP-Adresse und Netzmaske Ihres WLAN-Netzwerks an.
Aktivieren Sie DHCP für die WLAN-Clients.
Damit Ihre Clients eine Verbindung zu Sophos UTM herstellen können, müssen Sie ihnen eine IP-Adresse und ein Standardgateway zuweisen. Richten Sie hierzu auf der Registerkarte Netzwerkdienste > DHCP > Server einen DHCP-Server für die Schnittstelle ein.
Aktivieren Sie DNS für die WLAN-Clients.
Damit Ihre Clients DNS-Namen auflösen können, benötigen Sie Zugriff auf DNS-Server. Fügen Sie auf der Registerkarte Netzwerkdienste > DNS > Allgemein die Schnittstelle zur Liste der zugelassenen Netzwerke hinzu.
Erstellen Sie eine NAT-Regel, um das WLAN-Netzwerk zu maskieren.
Wie bei jedem anderen Netzwerk müssen Sie auch hier die Adressen des WLAN-Netzwerks in die Adresse der Uplink-Schnittstelle übersetzen. Erstellen Sie eine NAT-Regel auf der Registerkarte Network Protection > NAT > Maskierung.
Erstellen Sie eine oder mehrere Paketfilterregeln, um Verkehr vom WLAN-Netzwerk bzw. dorthin zuzulassen.
Wie bei jedem anderen Netzwerk müssen Sie auch hier eine oder mehrere Paketfilterregeln erstellen, damit der Verkehr Sophos UTM passieren kann, z.B. Web-Surfing-Verkehr. Paketfilterregeln erstellen Sie auf der Registerkarte Network Protection > Firewall > Regeln.
Verwandte Themen