Wir verwalten unsere Accesspoints von Sophos mit der Sophos UTM. Sobald ein Sophos Accesspoint am Netzwerk angeschlossen wird, versucht er Kontakt mit der Sophos UTM aufzunehmen. Dazu schickt er eine Anfrage an die Adresse 1.2.3.4 über den TCP Port 2712. Da die Adresse 1.2.3.4 im internen Netzwerk nicht existiert, wird sie durch die VLAN’s weiter nach “draussen” geroutet, bis beim Übergang zum Internet die Sophos UTM als Firewall und Gateway die Abfrage selber bearbeitet, statt weiter ins Internet zu leiten.

Quelle: http://www.sophos.com/de-de/support/knowledgebase/119131.aspx

Wenn nun ein Accesspoint in einem VLAN eingesteckt wird, bekommt er vom DHCP Server eine IP Adresse aus dem entsprechenden Subnet und das entsprechende Gateway. Dieses Gateway ist aber nicht die Sophos UTM, sondern der Switch, der den Verkehr aus diesem Subnet in das nächste routet. Da die Anfrage vom Accesspoint dann aber wie oben beschrieben doch an der Sophos UTM vorbei kommt, sollte das Ganze kein Problem machen.

Sophos bietet zwei Workarounds für Verbindungsprobleme der Accesspoints mit der UTM an.

Variante 1: Eine Route für 1.2.3.4 auf dem Router eintragen.
Wenn auf dem Switch schon eine Route für 0.0.0.0/0 auf die Sophos UTM eingetragen ist, müsste auch 1.2.3.4 auf die Sophos geroutet werden.

Variante 2: Über DHCP die Option 234 mit der IP der Sophos UTM verteilen
So erhalten die Accesspoints direkt über DHCP die Adresse der UTM und die Anfrage auf 1.2.3.4 wird nicht benötigt.

Die Option 234 ist normalerweise auf einem Windowsserver nicht verfügbar. Man muss sie zuerst hinzufügen.

Nun kann man entweder unter Serveroptionen oder bei den einzelnen Bereichen unter Bereichsoptionen den Eintrag vornehmen. Dazu muss man “Optionen konfigurieren…”

Und dann die IP der Sophos UTM eintragen.