Native VLAN and additional VLANS on 1 port?

The Web Filter should sit between the switch and firewall.  If you want all traffic to go through the firewall and just put exemptions for stuff not get filtered.  You can do VLAN tagging on a Barracuda Web Filter.

192.168.1.0/24 network comes in on eth0.

VLAN 6, and 10 are on ethernet vlans eth4 astaro.

The barracuda has an ip address of 192.168.1.160 on the untagged network (not locked in stone, just starting to configure).

I need all 3 of those networks to pass through the barracuda. I have other networks which are vlan only (20 and 30) that do not need to be filtered.

Hi,

If it were me, I would probably do something like the following:

1. Leave Native LAN0 on the current interface on the firewall.

2. Setup a new, VLAN, interface on the firewall for the VLANs. 
(maybe this isn't necessary but it will give your your desired non-vlan network; I don't know how you have the VLANs trunked to the firewall right now. switch is doing routing?)

3. put the barracuda on LAN0, in non-transparent mode.

4. create a DNAT on the firewall to send all outbound http/https traffic from the VLANs to the barracuda

This removes the barracuda as a point of failure for your non-http traffic, and probably simplifies your network.

Barry

That sounds like it would simplify things a bit. So I dnat all http traffic to the barracuda from all networks, then how would the barracuda route out bound without looping back into the astaro which gets dnat'd back to the barracuda. The vlans are tagged in the switch right now based off port numbers. Some are tagged on the wifi access points. The Astaro is doing all layer 3 switching for the native lan and the vlans.

The barracuda will pass traffic when it is powered off so that point of failure may not be there. I tested this because I did not think it would work but it did.

I will run this by the baracuda install team as the other option is what they seemed to come up with. I may ask for a level 2 or 3 guy this time if they have them

So I dnat all http traffic to the barracuda from all networks, then how would the barracuda route out bound without looping back into the astaro which gets dnat'd back to the barracuda

You could create a NO NAT exception before the DNAT, for the barracuda, or you could put the barracuda on a new VLAN and don't have the DNAT on that VLAN.
In fact, you might have to do the new VLAN, otherwise you'll have trouble with hairpin NAT'ing if the 0NET needs to go through the barracuda (I was assuming earlier that it didn't).
Hairpin NAT'ing is possible though; Bob probably knows how to do it.

FWIW, I've seen devices (ISS/IBM IPS) which claim fail-open, but during reboots or updates they flap open and closed, which is really annoying if it's on your WAN connection.

Barry

Wouldn't that tax the firewall quite a bit having all the traffic go through the firewall back out to the web filter?  I know Barracuda's have a built-in failover that if there is an issue it will just pass everything through instead of just stopping everything.

Wouldn't that tax the firewall quite a bit having all the traffic go through the firewall back out to the web filter? 

The bandwidth used for web surfing would increase (double) on the 0NET interface.
The packetfilter uses almost no CPU though.
An IPS exception could probably be made for the traffic in one direction, to reduce the CPU load on the firewall, if needed.

I know Barracuda's have a built-in failover that if there is an issue it will just pass everything through instead of just stopping everything.

I mentioned my experience with another product with "fail-open" above.
I haven't used a barracuda though, but imho the transparent mode configuration creates a more complicated network.

Barry

I actually never got a chance to test it on reboot, but it has worked once we the box actually died on us.

Thanks for the help guys. This is what I ended up doing.

So ended up with a layer 2 managed switch with VLANS plugging 1 untagged native vlan and other tagged vlans into a barracuda 310 -> WAN side of barracuda into another managed switch (to break native lan and vlans into seperate nics for the staro) -> into the astaro on 2 different eth ports (1 for native lan and other for tagged vlans).

Ok, so I have the barracuda all hooked up. I had to throw a managed switch between the barracuda and the astaro to break networks out.
I have the native lan, along with 4 tagged vlans going into the barracauda for filtering, then a managed layer 2 switch after the cuda going into the astaro. eth0 is still a standard static nic with the native lan on it. Then eth4 gets the tagged vlans from the switch.

Reasons: Barracda does not see vlan1 as a vlan, they start at 2 though support told me they could change that setting but I was done playing with it and now I can still easily plug directly into the hardware without confgiuring my nic to use a vlan first. Astaro can't have static untagged nic and tagged nics on same port.

I could not get the NAT stuff to work properly while I was testing and didn't want to chnage the network and try to get it to work and bring the place down so a $400 switch was a better option. I can also use that managed switch for some of the redundant links to my backup internet cradlepoint and my new astaro HA setup.

To test the cuda you have to have all traffic running through it or the response packets can make their way back to the astaro and bypass the cuda and lead to time outs. This screwed up my testing. What I did was left the main lan plugged into the layer 2 switch pre cuda and into the astaro. I tried testing the cuda just with the tagged vlans and ran into timeouts and error 113 no route to host on the cuda. Running the main lan and all the tagged stuff through the cuda like the Final implementation fixed this, but did not allow me to just mess with the test network I put up or just our guest network.