In diesem Artikel soll es darum gehen, wie man Watchguard Wifi’s in das Interne Netzwerk Brdigen kann. Dies ist erstmal nicht zwangsläufig notwendig, ist aber von vielen Kunden so gewollt.

Ziel ist, dass Clients die sich mit einer bestimmten SSID verbinden im gleichen Internen Netz landen wie Kabelgebundene Clients. Das erfordert weniger Firewallregeln und erleichtert die Konfigurationen auf den Servern.

Hierzu sollten wir uns kurz nochmal die Wichtigsten Merkmale eine Bridge ins Gedächtnis rufen:

• Eine Bridge verbindet auf Layer 2 mehrere Netzwerksegmente
• Eine Bridge muss mindestens zwei Member haben

Normalerweise möchte man einen aktiven DHCP Server für jede SSID haben. Wenn wir allerdings den Traffic aus dem Wifi in ein Netz bridgen, dass bereits einen aktiven DHCP Server hat, bekommen wir Probleme.

Das fertige Setup wird etwa so aussehen:

Umsetzung

Als erstes starten wir den Policy Manager und wählen Network > Configuration. Hier legen wir als Erstes eine neue Bridge an.

Wichtig ist, dass Ihr der Bridge eine IP Adresse gebt, die in keinem Eurer bestehenden Netzwerke liegt. Ich gebe gerne noch die Option DHCP Relay mit der IP Adresse des DHCP Servers aus dem anderen Netz mit an. So wird DHCP Traffic ab der Brdige von Broad- in Unicast umgewandelt und verringert die Menge des Broadcast Traffics der in dem Zielnetz ankommt.

 

Als Nächstes wechseln wir in den Reiter Interfaces. Jetzt ändern wir die Konfiguration eines ungenutzten physisches Interfaces an der Firewall auf Typ Bridge und legen fest, dass das Interface Member in der grade angelegten Bridge wird.

VERBINDET DIESEN PORT NOCH NICHT MIT DEM SWITCH! Die Konfiguration ist noch nicht geschrieben und ihr könnt im worst Case euer Netzwerk abschießen, falls ihr kein unkonfiguriertes Interface verwendet habt!

Jetzt wählen wir im Policy Manager Network > Wireless. Hier konfigurieren wir einen der Access Points, aktivieren “Enable wireless bridge” und wählen das von uns erzeugte Bridge Interface aus.

Anschließend speichern wir die Konfiguration und verbinden das Bridgeinterface mit dem Switch. Jetzt sollten Clients die sich zu dieser SSID verbinden eine IP aus dem LAN Segment bekommen.

Cheers, Ori