Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 22 replies
  • Subscribers 3 subscribers
  • Views 13928 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

EAP600, Cisco SG200-8P, VLAN, UTM9 connectivity

Mike_Cunningham
Hi,

This is a new thread based on previous posts to - https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/21968

To summarize:

I implemented a VMware hosted software appliance UTM9 at a client, to replace a Netgear WNDR3800 router/WAP. The 3800 had 4 wireless zones, 2 production and 2 guest.

Once moved inside/behind the UTM9, the WNDR3800 Guest zones were no longer operational. This was unaccepable to the client, so I started a support ticket with Netgear.

The short answer (after 6 weeks of back and forth with Netgear) is the WNDR3800 does not provide this functionality, in any capacity, when it isn't directly connected to the ISPs modem.

At the same time, I posted to this forum and used recommenations here to purchase an Engenius EAP600 WAP and a Cisco SG200-8P VLAN capable switch.

Not wanting to arrive at the clients' with an untested solution, I have tried to setup the WAP and Cisco switch on my home UTM system, which is similar in topology to the clients' infrastructure. So far, I have been unable to get this 'system' working, and have reached out to this forum for guidance and assistance.

Current Home setup:

UTM9 software appliance with Home license running on a white box PC with 3 NICs.
- NIC1 - Local network - LAN - feeds a dumb GigE switch
- NIC2 - directly connected to a WNDR3800 for home wireless
- NIC3 - directly connected to ISP cablemodem - WAN

The local network has two VMware hosts, plugged into the dumb switch.

Provisional test changes/setup:

Configurethe EAP600 and the Cisco switch using a directly connected laptop.
Replace the dumb switch with the Cisco SG200-8P.
Plug the EAP600 into the Cisco switch.
Plug the VMware hosts into the Cisco switch. 
Change the UTM9 LAN interface from Ethernet static to Ethernet VLAN.

This is where the wheels fall off - nothing works as I expected.

I don't know if it's the WAP, switch, UTM9 or a combination of wrong configs.

Mike


This thread was automatically locked due to age.
  • 0
    Thanks for the warning - I did this before I read your post...

    I had to factory reset the EAP600 and I'm still trying to connect to the Cisco switch, no luck so far.

    Mike
  • 0
    Hi - URGENT - Is anyone available today (now) ???

    I had this working on my test network at home.
    I'm onsite at the customers' premises.
    I duplicated the configuration, and no VLANS appear to be working.

    Any help would be appreciated please...
  • 0
    Further to this thread, I have an issue I don't understand and would appreciate any ideas or comments...

    To review, the EAP600 is setup with 4 zones and 2 VLANs. Work1@2.4Ghz and Work2@5.0Ghz are VLAN10. Guest1@2.4Ghz and Guest2@5.0Ghz are VLAN20. The management interface is not mapped to a VLAN (i.e. it's VLAN1).

    The EAP600 is connected to port 1 of the Cisco SG200-08P, which is setup as a Trunk with 1U, 10T and 20T.

    Port 5 is setup as an Access port with 1U for configuring the EAP600 and the SG200.

    Port 8 is setup as a Trunk with 10T and 20T. This port connects to the UTM9.

    The UTM9 eth1 NIC is setup with Ethernet VLANs 10 and 20. Both interfaces are set to provide DHCP address ranges.

    I can connect to any of the 4 BSSIDs(Work 1&2, Guest 1&2), get an IP address, browse the local network, access the internet etc. with no issues.

    Everything works as expected. The UTM 9 is installed on a dedicated Wintel box.

    OK, so now I connect the EAP600 and SG200-08P to a VMware ESXi 5.1 host, where the UTM is running in a VM.

    The configuration is exactly the same as the UTM running on the Wintel box, except for adding the 2 VLANs to vswitch1 (vmnic1/eth1) after creating them on the host (Vsphere).

    I'm allowing any service from any source access to the 2 interface VLANs, and any service from the 2 interface VLANs to any destination.  

    I get nothing. The firewall log shows no activity. The workstation I'm using to access the 4 wireless zones never gets an IP address. There is no traffic.

    I'm stumped. Anything obvious I've missed? 

    Thanks.

    Mike
  • 0
    Just a WAG, Mike - did you NOT configure the VM with VXNET3 NICs?

    Cheers - Bob
  • 0
    Hi Bob - I tried VXNET3 and E1000 Nics - same result with either (no traffic).

    Mike
  • 0
    One thing of note on VMware ESX(i), if you use VLAN tagging on the UTM, you must change the vSwitch properties to accept all tags.

    (For reference for anyone not familiar with ESXi)
    To do so, pull up the vSwitch properties, select the vSwitch name from the list (typically just below 'vSwitch') and hit the edit button. Then under the General tab change the VLAN ID (normally set to "None (0)") to ""All (4095)". I've attached images of the screens for future reference
  • 0
    Thanks Andrew - 

    So I don't need to create 2 new Virtual Machine Port Groups(VLAN10 & VLAN20) on vswitch1 - I just edit the existing one to make it 4095?

    Mike
  • 0
    It's working now!

    Thanks Andrew - much appreciated.

    Mike
  • 0
    Your welcome Mike.

    Bit of a busy weekend so couldn't get online to reply till this morning. I ran into this exact problem with an EAP350 and a dedicated vSwitch for my WiFi back when I was setting up my original home network.

    I had experimented with port groups but from my readings, the idea of assigning a VLAN to a port group was primarily a way of removing VLAN config from the guest to the host. Example use was for silo'ing guests where the 'owner' of the vm wasn't trusted, such as in a public cloud.
  • 0
    OK - almost everything is working as I expected.

    I can attach to any of the 4 WIFI zones, I get a DHCP assigned IP appropriate to the subnet assigned in the UTM, and the UTM rules work on the connection.

    One (hopefully last) issue - I cannot connect to any of the VMs in the VMware host. Doing some searching, it appears I either need to have a DOT1q driver in each VM, or I need to setup a bridge using Openswitch.

    Is this correct, or am I missing some config in the existing setup?

    I have 2 Linux VMs and 1 Windows VM that need to be accessible from wireless clients on VLAN 10.

    Thanks,

    Mike