Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 20 replies
  • Answers 2 answers
  • Subscribers 28 subscribers
  • Views 30757 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VLANs über einen Tunnel (RED50) korrekt auf eine UTM weiterreichen

Bernd

Liebe Community,

habe jetzt schon ein paar Sachen getestet komme aber nicht zum Ergebnis und da ich im Produktiv-Umfeld arbeite kann mir vielleicht jemand mit Erfahrung in dem Bereich weiterhelfen.

 

Folgendes Szenario:

 

Switch ---Office1(UTM) --- WAN --- (RED50)Office2---Switch

 

Uplink Switchport in Office 2 auf RED50

VID 1 default / tagged

VID 2 tagged

VID 3 tagged

 

ansonsten Untagged im jeweiligen VLAN

 

Ich würde gerne die 3 Vlans über die RED50 tunneln.

 

Wie muss ich das UTM seitig konfigurieren. Also "Switchport Configuration" im RED MGMT und vermutlich unter Interfaces ? Bzw. ist die Config des Switches in Office 2 so korrekt ?

 

Vielen Dank schonmal

Bernd



This thread was automatically locked due to age.
  • 0 in reply to Bernd

    Hi,

     

    das Szenario ist abhängig davon, ob du das selbe Netz (VLAN) auf der RED Seite haben möchtest.

    Dann benötigst du eine Layer 2 Bridge.

    Du musst dir vorstellen, du hast im Prinzip nur ein Kabel an der UTM mit einem weiteren (VLAN) Switch hinter der RED. 

    Wenn du nun hinter der RED VLAN 10 haben möchtest, und du VLAN 10 auch auf der UTM Seite verwendest, brauchst du eine Bridge zwischen ethX und redsX und darauf legst du das VLAN. 

    Dann ein Standard / Unified Mode und die VLAN Tags legst du auch auf die Konfig der RED. 

     

     

    RED Management > Client Management

     

    For RED 50, optionally make the following switch port configuration settings:

    LAN port mode: RED 50 offers four LAN ports that can be configured either as simple switches or for intelligent VLAN usage. When set to Switch, all traffic will basically be sent to all ports. When set to VLAN, traffic can be filtered according to the Ethernet frames' VLAN tag, thus allowing to tunnel more than one network into the RED tunnel.

     

    Dort befinden sich auch Bilder zu der Switch Port Konfiguration von https://community.sophos.com/kb/en-us/120381

  • 0 in reply to LuCar Toni

    Gut ... ich habe auf UTM Seite ein Interface "Ethernet VLAN" mit dem Tag 10 auf eth4

    Den LAN Port der RED50 hab ich auf Tagged VID 10 gesetzt.

    Du sagst ich soll jetzt ein neues Interface erstellen "Bridged Ethernet" und da die RED und eth4 reinwerfen?

     

    Was mach ich denn mit den anderen VID 20 und 30 da ich die RED50 ja nur in eine Bridge legen kann oder ?

  • 0 in reply to Bernd

    What version are you on, Bernd?  On 9.506, I don't see a 'Tagged' option, only a 'Tagged (Trunk Port)' option, so you might want to apply any available Up2Dates.

    I think it's clear now that Thorsten's suggestion that you use routing is the best way to achieve your goals.  The only "Bridge" I see necessary for your Access Points is the selection in the Wireless Network definition of 'Client Traffic: Bridge to VLAN'.  Does that help?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • 0 in reply to BAlfson

    Hallo Bob,

    ich nutze Version 9.505-4.

    Unter Redmanagement finde ich im Switchportmodus "VLAN" die Optionen Untagged, Tagged, Untagged Drop Target und Unused.

    Ich nutze die UTM nicht als WLAN-Controller.

     

    Vielleicht kannst du mir ein Beispiel geben wie ich eine solches Konstrukt bauen muss:

     

    Office 1 VLAN1 eth0 (Netzwerk 10.100.0.0/16) UTM --- RED Office 2 VLAN ? (Netzwerk 10.100.0.0/16)

     

    Hinweis: Auf beiden Seiten wird der gleiche IP Kreis genutzt

     

    Nun brauch ich auf der UTM Seite zunächst ein Interface für die RED ? Wie sollte das aussehen?

    Wie sollte die Routing Regel aussehen ?

     

    Vielen Dank schonmal 

    Bernd

     

     

  • 0 in reply to Bernd

    Hi,

    Hinweis: Auf beiden Seiten wird der gleiche IP Kreis genutzt

     

    Du musst mit einer Bridge arbeiten.

    Bridge einfach ethX mit redsX zusammen, lege darauf deine VLANs (du kannst 4095 VLANs auf ein Interface / Bridge legen) und füge in der RED Config noch diese VLAN IDs hinzu im Trunk mode.

     

    Gruß 

  • 0 in reply to LuCar Toni

    Hallo,

     

    damit ich das richtig verstehe. Ich konfiguriere RED seitig 3 VLANs an den LAN Ports und dann UTM seitig analog dazu 3 VLAN Ethernet Interfaces mit dem RED Device als Hardware. In die Ethernet Bridge kann ich allerdings nur die RED als ganzen tun und in einem Bridge Interface gibt es auch keine möglichkeit VLANs zu konfigurieren. Hab ich einmal die Hardware (RED) in einer Bridge verortet kann ich die aber auch nicht mehr mit einem anderen Port bridgen ... also mit den anderen UTM Ports mit den beiden anderen VLANs. 

    Hier mal ein Screenshot von der Bridge mit dem internen Netz RED und ETH0:

    Will ich jetzt noch ne Bridge machen mit einem anderen VLAN ... auch gleicher IP Kreis in einem anderen WLAN ... zB WLAN MGMT kann ich keine weitere Bridge erstellen. Oder werf ich einfach ALLE Hardware Interfaces und RED Devices in EINE Bridge?

  • 0 in reply to Bernd

    Grundsätzlich baut man nur eine Bridge.

    Auf diese Bridge setzt man alle VLANs.

    Man bridge ja nicht die VLANs an sich. 

    Was du effektiv erreichen möchtest, ist das die VLANs mit dem selben Subnetz auch auf der RED Seite anliegen. Bedeutet du das selbe Konstrukt hast du auch bei zwei Hardware Interface, die das selbe VLAN / IP Kreis haben sollen. 

    Wenn du nun noch mehr Interface in dieser Bridge haben möchtest, kannst du diese zwar hinzufügen, jedoch sollte man aufpassen, nicht X Interface in eine Bridge zusammen zu fügen.

    Sowieso sollte man hinterfragen, warum das selbe VLAN mit selben IP Kreis an der RED sein muss? 

  • 0 in reply to LuCar Toni

    MBP, wie Bernd schon gesagt hat, in einer Bridge gibt es keine möglichkeit VLANs zu konfigurieren.  Es war vorher möglich eine Bridge zu machen und danach VLANs darauf zu setzen, aber nicht mehr.  Oder ???

    MfG - Bob

  • 0 in reply to BAlfson

    Hi Bob,

    VLANs auf eine Bridge setzen ist nachwievor möglich. Siehe Screenshot.

    vg

    mod

  • 0 in reply to mod2402

    Thanks, Mod.  I hadn't had to configure a bridge since they changed the interface (a long time ago, I know [;)]).  Now I know!

    MfG - Bob (Bitte auf Deutsch weiterhin.)