Guest User!

You are not Sophos Staff.

Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 8 replies
  • Subscribers 4 subscribers
  • Views 1198 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VLAN Trunking mit RED50

Pete Martell

Hallo zusammen,

Vielleicht kann mir hier ja jemand einen cleveren Tipp oder Denkanstoß geben. Ich sehe mittlerweile nur noch Fragezeichen.

wir haben eine SG230 in unserem Hauptsitz in Betrieb. Hier gibt es einen Haufen VLANs; das interessante ist unser Voice VLAN mit der ID 140. Um meine Telefone in einem Standort, der mit einem RED50 angeschlossen ist, betreiben zu können, habe ich versucht, dieses VLAN über das RED zu trunken. Ich habe mich hierbei an diese Anleitung gehalten: https://support.sophos.com/support/s/article/KB-000038272?language=en_US

Das Testlabor ist ganz simpel: Ein Cisco SG300 Switch auf dem zu Testzwecken erstmal nur das VLAN 8 eingerichtet ist. Das standardmäßige 1er VLAN habe ich dahin ausgetauscht, da dieses ja scheinbar bei Sophos für Web Protection genutzt wird(Edit: Wireless Protection - Kommunikation mit Access Points). Um Fehler zu umschiffen gibt es also erstmal nur VLAN 8. Der Switch hat die IP 192.168.8.236. Den Switch habe ich beim ersten Versuch als Layer 2 mit Standardgateway eingerichtet, beim zweiten Versuch als Layer 3 mit der Route 0.0.0.0/0 zu 192.168.8.254. Die .254 ist die Schnittstelle meines RED50. Wenn ich mein RED50 auf Switch Modus stehen lasse, erreiche ich mein RED und das Szenario funktioniert. Stelle ich nun auf VLAN um, fangen die Probleme an. Ab dem Moment erreiche ich vom Netz am Switch das RED nicht mehr.

Ich habe schon das RED und den Trunk an meinem Switch auf getaggte Pakete und ungetaggte Pakete konfiguriert, andere VLANs erstellt um es mit denen zu versuchen, aber ich bin niemals in der Lage, mein RED zu erreichen. Die VLAN ID 8 habe ich natürlich korrekt eingetragen. Die VLANs habe ich auf der UTM auch auf der Ethernet Bridge eingerichtet. Ob die Pakete getagged bei der UTM ankommen ist mir auch erstmal zweitrangig. Wenn ich mein RED im VLAN Modus pingen kann, wäre ich schon mal sehr zufrieden.

Hat jemand so ein Szenario schon mal aufgebaut und kann mir vielleicht helfen? Oder mir sagen, wie ich noch helfen kann mir zu helfen? Die config von meinem Switch ist ja eigentlich uninteressant, da außer der statischen IP, der einzelnen Route und dem einzelnen VLAN und, Access und Trunk Port nichts konfiguriert ist und alles geht, bis ich das RED auf VLAN umschalte. Beim RED widerum auf VLAN zu klicken und LAN Port 1 die VLAN ID 8 untagged oder tagged zuzuweisen lässt auch wenig Raum für Fehler. Ich bin ratlos... 



This thread was automatically locked due to age.
Parents
  • 0

    Moin Pete

    Nur ein Überlegungsansatz:

    Alle Pakete, die über die konfigurierte Bridge (Interface mit RED-Interface gebrückt) gehen, passieren den Firewall-Stack. Das heißt, es muss immer auch eine Regel geben, die das gebrückte Netz auf sich selber zulässt. z.B. 192.168.8.0/24 <-> any <-> 192.168.8.0/24. Hast Du das auch für die Netze gemacht, die in den VLANs kommunizieren?
    Hast Du Objekte an Interfaces gebunden - oder so wie in Bob's Rulz empfohlen ohne Bindung erstellt?

    LG, Janbo

    ---

    janbo.noerskau@comedia.de UTM lover ;-)

  • 0 in reply to Janbo Noerskau

    Hallo Janbo!

    Danke für deinen Input. Ich habe mal nicht nur deine Regel erstellt, sondern auch zum Test any any 192.168.8.0/24 und 192.168.8.0/24 any any angelegt - leider keine Veränderung. Das hätte mich auch gewundert, denn vom Netz hinter der UTM (also meiner normalen Workstation) kann ich das RED jederzeit erfolgreich pingen. Also vom UTM Netz zur RED scheint alles propper, nur wenn ich ihn auf VLAN Modus stelle, LAN1 auf untagged VLAN ID 8 und mit meinem Switch mit einem untagged VLAN ID 8 Trunk Port verbinde, geht leider nücht durch. Wie schon erwähnt gilt das auch für die gleiche Konstellation, aber mit tagged Ports. Aber danke für die Anregung!

    Im Bezug auf das Objekt am Interface: Jein. Wenn ich die Ethernet Bridge oder eine normale Schnittstelle für das RED erstelle, dann legt die UTM mir ja auch automatisch ein Netzwerk, Adressen und Broadcast Objekt an. Diese sind an die Schnittstelle gebunden. Die Objekte benutze ich dann auch. Ich werde dann also alle meine Objekte jetzt einmal händisch ohne Bindung neu erstellen und dann auf den Regeln und sonst wo ersetzen. Ich melde mich nochmal, wenn ich das ganze getestet habe!

    Edit: Wenig verwunderlich, aber das umändern vom gebundenen in das ungebundene Netzwerkobjekt hat leider auch nichts an der Situation verändert.

  • 0 in reply to Pete Martell

    Hallo Pete,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Frowning2)

    I think you've proven that the problem is in your smart switch, but, to confirm that, check the firewall log as suggested in #1 in .Rulz (last updated 2021-02-16).

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to Pete Martell

    Moin

    Sorry, dass ich da nicht schon früher reagiert habe.

    Es geht tatsächlich nur um die Schnittstellenbindung, wenn man selbst Objekte erstellt. Bei UTM-internen Objekten (also z.B. Schnittstellen) ist die Bindung OK und die Objekte können auch prima genutzt werden.

    ---

    janbo.noerskau@comedia.de UTM lover ;-)

Reply Children
No Data
Unfiltered HTML