Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 3565 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos UTM Virtualized - HA Switch Config

paul.hurst@airdrie.ca
We are moving our UTM from a Physical appliance to a virtual appliance, however in order to make the solution flexible to many hosts we have installed two switches which connect the physical host to the required network.

Within the UTM we have identified two interfaces which need to be bridged that exist between the two switches. When the interfaces are online we can ping devices on one side or the other but we cannot ping through the UTM to the adjacent device.

The switches are flat with no configuration, vlan specification.

any suggestions.


This thread was automatically locked due to age.
  • 0
    Hi ,

    Configure 2 switches that are flat to 2 different interface will do a mess case you have 2 MAC addresses of the UTM connected to the same LAN.
    Now , if you want 2 switches connected to 2 interfaces then both switches need those 2 ports to be in a VLAN so you can separate them from the rest of the switch ports , and configure the UTM to for that.
    It does not make sense case after all you have only one UTM so you don't have a real HA.
    Instead of that you can configure 2 UTM in active / passive mode , or if you want a real HA so pay a license and have active /active mode and then connect each switch to both NODES. And there you have a real working HA with HA switches and you don't need any special configuration of the switches.
    A regular license like you probably have let you do out of the box an active / passive HA cluster and this will be the best solution for you.

    All my best.

    Gilipeled
  • 0
    Thank you for the reply; to clarify i am not looking for the solution to be highly available as i would clearly need a second appliance. What i am looking to get from my objective is a virtual appliance that can be moved on demand for patch management of the esx hosts. In order to do this i put in two switches to manage this and in order to mitigate redundancy between the esx hosts. 

    Switch 1: Port 1, 3, 5, 7 on VLAN 45
    Switch 2: Port 1, 3, 5, 7 on VLAN 45
    UTM on Port 1 on Switch 1
    Cisco Firewall on Port 1 on Switch 2

    I am looking to bridge port 1 on switch 1 with port 1 on switch 2 with the UTM in bridged mode with eth1 and eth2 connected appropriately and now identified as br0.

    With br0 in place i can ping the UTM from a device on the vlan, i can ping the laptop from the UTM but i cannot ping through the bridge to another device connected on switch 2.

    hope that clarifies my issue
  • 0 in reply to paul.hurst@airdrie.ca
    Hi Paul,

    Would it be possible to post a diagram of your current setup? I'm not quite getting what you're trying to do and pictures sometimes help.[;)]
  • 0
    If you'll check TheDrew's signature, you'll see that he has an Active-Passive setup on ESXi.  This Hot-Standby capability is included with your present license, so I'll add my support for Gilipiled's suggestion.

    Cheers - Bob
  • 0 in reply to BAlfson
    like i said i am not looking for a HA environment at this time i am looking for a single appliance with the ability to move it between hosts to allow for esxi updates.
  • 0
    I think the reason we're having trouble following this is that the usual solution to ESXi updates in a cluster is Hot-Standby.  Is your current, physical appliance bridged?

    In any case, you might try what I call Rule #1 (enhanced):

    Whenever something seems strange, always check the Intrusion Prevention, Application Control and Firewall logs.



    Please post any lines related to this issue.

    Cheers - Bob
    PS Appliances from the 120 and up all are licensed for unlimited IPs.  Software licenses are priced according to IPs in use.  If you don't already have a quote from your reseller, you can see how many you're using by running /usr/local/bin/count_active_ip.plx --showcount at the command line.
  • 0 in reply to BAlfson
    Hi Paul,

    Sorry. Been cleaning up the aftermath of a failed server at one of the branches. Amazing how important the old iron suddenly becomes when it crashes. [:)]

    On a brief glance of the setup, couple of things to keep in mind with the UTM.

    1) Have you got icmp, ping & traceroute enabled under Network Security >> Firewall >> ICMP? UTM default in not to enable ping or traceroute on the firewall.

    2)The other thing to keep in mind with bridging in the UTM is that it's not like a traditional hardware ethernet bridge. The UTM still has to have firewall rules permitting traffic across the bridge.
  • 0 in reply to TheDrew
    I am just getting back to this project.

    Here is what i have so far.

    Cisco 3750 - Uplink to Switch connecting Virtual UTM and existing Physical - VLAN 999
    Within UTM - Connected to switch 1 (Internal) has vlan 999 tagged
    Within UTM - Connected to switch 2 (external) has vlan 999 tagged
    Both UTM connections are "Bridged" within the UTM

    From Switch 1 i can ping the Cisco 3750 and the UTM
    From Switch 2 i can ping my Firewall which sits infront of my UTM

    From Switch 2 i cannot ping the Cisco 3750
    From Switch 1 i cannot ping my Firewall

    I found last night during my attemped cutover that i forgot to vlan tag the vswitches that related to the physical switches (internal / external) so another attempt will have to be made .