Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 10963 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM Multiple VLAN Trunk

mike.lippok@itsafety.org
Hi,

i´m trying to figure out how to configure a multiple vlan trunk on a utm virtual appliance. The utm is running on a hyper-v Server 2012 r2.

I configured 1 untagged  vswitch on the hyper-v Server. On the physical  Switch i configured a trunk port for the the vlans 3,30,100 etc. The pvid of this trunk port is 250(untagged).

For the utm vm i configured 4 Interfaces.

eth0(Ethernet static) --> trunk vswitch tagged vlan 3 (for internal Network; Management Network)

eth1(Ethernet vlan) --> trunk vswitch untagged (for the vlans 3,30,100)

eth2(Ethernet static) --> tagged dmz vlan

eth3(Ethernet static) --> wan untagged Interface


I can Access and configure the utm over the vlan 3.
But when add a Client vm to the vlan 30 i can´t Access any device from the vlan 30 unless the gatway ip address of this vlan(ping error message: Destination host unreachable). At the Dashboard from the utm i can´t see any traffic over the Ethernet vlan Interfaces.

I hope anyone can help me. Thanks and best regards


This thread was automatically locked due to age.
  • 0
    Hi, can you post a screenshot of the eth1 setup?

    Barry
  • 0 in reply to BarryG
    Do you mean a screenshot from the utm eth1 Interface?
  • 0
    Here are some screenshots of my Interface configuration.
    The weird thing is that i can reach the virtual vlan Interface from the pyhsical Switch via the designated ip address  from the Client vm(inside the Client vlan 30) but not the Gateway Interface from the utm.


  • 0 in reply to mike.lippok@itsafety.org

    The weird thing is that i can reach the virtual vlan Interface from the pyhsical Switch via the designated ip address  from the Client vm(inside the Client vlan 30) but not the Gateway Interface from the utm.


    Hi, 

    Can you clarify that?

    I take it that you can reach 10.40.30.1 from a client, but I'm not sure which gateway you mean.

    Do you have a Masquerading rule and firewall rules for EACH vlan?

    Barry
  • 0 in reply to BarryG
    No i can't reach the 10.40.30.1 from the Client vm (which is the Gateway Adresse for this vlan). I only can reach the vlan Interface from the physical switch(10.40.30.250). 

    I dont configuered any rules. I think it doesn't change anything if i can't reach the Gateway Address.
  • 0
    Hi,

    Sounds like a problem in the VM host or the switch.

    Barry
  • 0
    Not sure if this will affect the vlan issue but the config on the eth0 interface doesn't look correct. Looks like the IP is 10.40.3.1 and you set the same IP to be the default gateway. Which interface is the WAN in this scenario?
  • 0 in reply to dilandau
    Hi,

    I think your approach to configure the VLAN Interface inside the UTM is by Hyper-V design not possible. UTM VLAN Interfaces doesn't work with Hyper-V the way they are meant.

    You will have to configure multiple virtual NICs with different VLAN IDs of your trunk in the UTM VM Settings of the same physical NIC which is connected to the trunk port on your physical switch. In the UTM itself, you will have to configure basic ethernet adapters, not vlan adapters.


    Also it is possible to create Hyper-V Trunk ports by using the powershell:

    Set-VMNetworkAdapterVlan -VMName UTM -VMNetworkAdapterName InternetNIC -Trunk -AllowedVlanIdList 3-30-100 -NativeVlanId 1

    But I haven't testet it myself if mabe this will allow us to use VLAN interfaces inside the UTM, which would be the most satisfying.

    Here is a very same thread in the german forum about this problem:
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/68/t/61378
  • 0
    Thanks this worked with some modifications.

    Example with Place Holders

    get-vmnetworkadapter -vmname NAME_OF_VM | where-object -property MacAddress -eq "MAC_ADDR_OF_NIC" | set-vmnetworkadaptervlan -Trunk -AllowedVlanIdList Start-End NativeVlanID DEFAULT_VLAN

    Example with Real Data

    get-vmnetworkadapter -vmname Sophos-UTM | where-object -property MacAddress -eq "1234567890AB" | set-vmnetworkadaptervlan -Trunk -AllowedVlanIdList 10-20 NativeVlanID 10

    Hyper-V VM Trunk | Stephen's Space on the Web
  • 0 in reply to stephenc01
    we are using non cisco switches so have the ports untagged for 10 and tagged for 16,100 and 202.
    We change the hyperv nics to be Trunk ports with a native vlan of 10 and allowed vlans of 1-4094.
    we then use "ethernet vlan" mode in sophos and tag the vlans on each interface created.

    when we change the hyperv nics to trunk we lose connectivity and when do it the other way round and change the sophos ports to tagged we also lose connectivity!

    what settings should we be using on our physical switches, hyperv nics and sophos interfaces?
Unfiltered HTML