Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 47 replies
  • Subscribers 4 subscribers
  • Views 58240 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Netgear VLAN Switch config guide

BarryG
This is not Astaro-specific, but seeing as the Netgear 'Smart' VLAN switches are good choices for home and small-office use, and as I and other Astaro users have found it rather confusing to configure, I'm posting it here.

I have a Netgear GS108T 8-port 'smart' switch, which supports VLANs and gigE. All of their 'smart' models are probably similar to configure.

Astaro stuff:
First, make sure your NIC in your firewall supports VLANs according to the Astaro HCL, or ask on these forums if you're unsure.

Setup the VLANs as New Interfaces (Ethernet VLAN) in Astaro.


Netgear specific stuff:

1. In the switch configuration, make sure you're using 802.1Q, not Port-Based VLANs on the VLAN Configuration page.

2. Make sure the firewall is the Trunk for ALL VLANs you're using.

3. Configure ALL 3 sections of the VLAN Configuration section:

a. create an ID and Name for each

b. On the VLAN Membership page, 
For each VLAN,
Untag (U) each port that is part of that VLAN
and
Trunk (T) the firewall port

4. On the Port PVID page, Set the PVID (VLAN ID) for each port.
This was confusing for me, as I thought it only applied to Port-based VLANs (wrong).


Notes on my config:

I have the firewall on port1, which I also have as VLAN1, but that VLAN is not actually used for anything (you can see it's Untagged for all ports). I did this more to keep from messing up VLAN1 (the default VLAN) in case I needed it for troubleshooting, and because it is unclear what to do with a Trunk.

VLAN 13 is my trusted LAN

VLAN 10 is my DMZ for my webserver.

VLAN 11 is my untrusted LAN for guests and WiFi. I have my WiFi AP plugged into this VLAN, and am using the AP as a switch for my printer, etc. as well as for wireless.


Reasons to use VLANs at home:

You can have an External connection, plus multiple LANs and/or DMZs with only 2 NICs in the firewall. 
It may even be possible to have only 1 NIC, although this would be slightly less secure as you're putting your switch on the internet.
For me, this allows me to go from a tower pc to a (very low power) mini-ITX system without spending an extra $100+ for a motherboard with an option for a 3-port 'daughterboard' or other expensive setup. 

Also, it allows me to get a fanless Atom system with 2 Intel gigE NICs as opposed to a VIA with Realtek NICs. 
(My Atom system is still in progress as the NICs won't work _at least_ until Astaro 7.402 is out, but I've ordered the hardware anyways.)

The 'smart' 8-port switch was only about $45 more than a base-model Netgear gigE switch, cheaper than extra NICs would have been, and I wanted to upgrade to gigE anyways.

Pics of my Netgear config attached.

Barry


This thread was automatically locked due to age.
Parents
  • 0
    I only now see this thread, but have quite some experience setting up these netgear smart managed devices.

    For managing these devices you need to be able to access them on VLAN 1 (default VLAN) on the IP-address that you statically assign to it. (I think the VLAN1 is also required but not 100% sure of it).

    If you leave the IP as dynamic you don't really know from what VLAN it will aquire an IP-address in and it can change depending on the time it takes for an offer from a DHCP-server.
    These switches are a little bit different than other managed switches and indeed the PVID is strange.
    Usually when you connect a non-VLAN aware device you have to configure (U)ntagged VLAN # for the port. It's also good to also change the PVID to this same VLAN and after that unassign VLAN 1 (if it's different from the wanted VLAN) from the port.
    Netgear has built this to be able to do something like:

    Server connected to one port on 2 (U)ntagged VLAN's (ie 10 and 20)
    client connected to another port on 1 (U)ntagged VLAN (ie 10)
    other client connected to another port on  1 (U)ntagged VLAN (ie 20)

    This way you can have both clients talk to the server but not able to talk to each other. Usually in a corporate environment you use VLAN routing for this with ACL's, but with this "workaround" Netgear creates possibilities otherwise not possible for SOHO environments that don't want to spend a small fortune on L3 switches.

    With the above in mind (and when trying to build something that will do the same as ie a Cisco switch would do), you put every port that connects to a device that's not VLAN aware only in the VLAN it needs as (U)ntagged and also change the PVID to the same VLAN.
    Trunks to the UTM must define every VLAN to be used in the UTM as (T)agged. Trunks going to other switches can use (U) for the default VLAN when PVID is also the same.

    Oh, and I always configure these as 802.1q Advanced. That way you can match the config of it as close to any other corporate switch as possible.
    Only then it's possible to delete the port from VLAN 1.
Reply
  • 0
    I only now see this thread, but have quite some experience setting up these netgear smart managed devices.

    For managing these devices you need to be able to access them on VLAN 1 (default VLAN) on the IP-address that you statically assign to it. (I think the VLAN1 is also required but not 100% sure of it).

    If you leave the IP as dynamic you don't really know from what VLAN it will aquire an IP-address in and it can change depending on the time it takes for an offer from a DHCP-server.
    These switches are a little bit different than other managed switches and indeed the PVID is strange.
    Usually when you connect a non-VLAN aware device you have to configure (U)ntagged VLAN # for the port. It's also good to also change the PVID to this same VLAN and after that unassign VLAN 1 (if it's different from the wanted VLAN) from the port.
    Netgear has built this to be able to do something like:

    Server connected to one port on 2 (U)ntagged VLAN's (ie 10 and 20)
    client connected to another port on 1 (U)ntagged VLAN (ie 10)
    other client connected to another port on  1 (U)ntagged VLAN (ie 20)

    This way you can have both clients talk to the server but not able to talk to each other. Usually in a corporate environment you use VLAN routing for this with ACL's, but with this "workaround" Netgear creates possibilities otherwise not possible for SOHO environments that don't want to spend a small fortune on L3 switches.

    With the above in mind (and when trying to build something that will do the same as ie a Cisco switch would do), you put every port that connects to a device that's not VLAN aware only in the VLAN it needs as (U)ntagged and also change the PVID to the same VLAN.
    Trunks to the UTM must define every VLAN to be used in the UTM as (T)agged. Trunks going to other switches can use (U) for the default VLAN when PVID is also the same.

    Oh, and I always configure these as 802.1q Advanced. That way you can match the config of it as close to any other corporate switch as possible.
    Only then it's possible to delete the port from VLAN 1.
Children
  • 0 in reply to apijnappels

    For managing these devices you need to be able to access them on VLAN 1 (default VLAN) on the IP-address that you statically assign to it. (I think the VLAN1 is also required but not 100% sure of it).


    Hi,

    FWIW, I gave my NetGear a static IP on my LAN (VLAN 13), and it is accessible from my PC(s).

    I have noticed, however, that the NTP requests from the Netgear to the UTM (Netgear is configured to use the UTM for NTP) are coming from the wrong VLAN (VLAN 11, but using the VLAN 13 management IP address). 
    I haven't figured out how to fix this, so the clock is always wrong on the Netgear's logs. 
    I suppose I could point the Netgear at an internet NTP server.

    Barry