Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 5 subscribers
  • Views 2144 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VLAN Netzwerk zu einzelnen Servern verbinden

SnakeOverlord

Hallo zusammen,

ich habe einen neuen Job angefangen und arbeite erstmals mit der UTM 9. Ich habe ein neues VLAN angelegt. Die Clients in dem VLAN sollen sich nur mit einzelnen Servern verbinden dürfen, welche sich hinter der UTM 9 in einem anderen VLAN befinden.

Ich habe dazu eine Ethernet-VLAN-Schnittstelle erstellt und habe der Schnittstelle (Network) erlaubt auf die entsprechenden Server zuzugreifen und umgekehrt.

Ich kann mit einem Client in dem VLAN alle Switche und die Schnittstelle (Gateway) erreichen. Bis zur Firewall ist also alles richtig getagged. Weiter komme ich aber nicht. Die Server kann ich nicht erreichen.

Was könnte ich vergessen oder falsch gemacht haben?

Danke und Viele Grüße
SnakeOverlord



This thread was automatically locked due to age.
  • 0 in reply to jprusch

    Vlan 1 ist default. Es ist dafür keine VLAN Schnittstelle angelegt.

    Auf der Sophos ist die Schnittstellefür 168 so angelegt:

    Auf dem Switch ist es so konfiguriert (ge.1.11 ist mit Eth1 verbunden. ge1.12 ist mit dem Windows-Client verbunden):

  • 0 in reply to BAlfson

    No problem at all.

    I am new to this product and I lack of the knowledge why the UTM was configured as it is now. The most of the legacy network is configured VLAN1 by default (except VoIP). I have to support my co-worker to separate the legacy network into VLANs. We want them separated for obvious security reasons.

    Wireless protection is in usage. Does this mean the legacy network with VLAN1 is interfered by wireless protection?

  • 0 in reply to SnakeOverlord

    Yes, if you're using one or more Sophos Wireless access points,VLAN1 soll weg.

    MfG - Bob

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Even if it is on the switches as default and not tagged and not used explicit on the Sophos?

  • 0 in reply to SnakeOverlord

    Hallo,

    sind das Enterasys-Switche?

    Ich habe mir die Port-Settings für VLAN nochmal angeschaut:

    Fehlt da nicht ein: set port vlan  ge.1.12  168

    Damit werden die Pakete, die von der Windows Station kommen, in das VLAN 168 gesteckt.

    Bei diesen Switchen braucht man immer zwei Befehle set vlan egress ... (ausgehend) und set port vlan ... (eingehend)

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to jprusch

    Ja, das ist korrekt. Der Port ist wie beschrieben gesetzt. In der Config steht dann zusätzlich noch "clear vlan egress 1 ge.1.11-12" drin.

  • 0 in reply to SnakeOverlord
    SnakeOverlord said:
    Mach ich einen tracert auf eines der beiden Gateways aus jeweils beiden Netzen gibt es scheinbar einen Loop, jedenfalls bekomme ich so viele Hops mit der Gateway-IP wie maximal in Tracert zugelassen sind. Normalerweise sollte das ein Hop sein.

    Da hast Du recht, und da das die Sophos selber beantwortet scheint der Fehler wo anders zu sein.

    Bitte beachten das "PING" ICMP ist und es dafür einen extra Flipchart giebt wie dein Gateway auf was antwortet 

    und ob es "PING" über Subnetze hinweg überhaupt zulässt!

    Regel "any" beinhaltet kein ICMP !

    Netz1 > any > Netz2

    Netz2 > any > Netz1

    ..sollte http zu einer NAS oder RDP zum server ermöglichen, ansonsten musst Du "ping" der Regel beifügen

  • 0 in reply to jprusch
    jprusch said:

    Fehlt da nicht ein: set port vlan  ge.1.12  168

    Damit werden die Pakete, die von der Windows Station kommen, in das VLAN 168 gesteckt.

    ..Ein und Ausgehend muss dann ja immer gesetzt sein, auch am Port der Firewall

Unfiltered HTML