Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 47 replies
  • Subscribers 4 subscribers
  • Views 58277 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Netgear VLAN Switch config guide

BarryG
This is not Astaro-specific, but seeing as the Netgear 'Smart' VLAN switches are good choices for home and small-office use, and as I and other Astaro users have found it rather confusing to configure, I'm posting it here.

I have a Netgear GS108T 8-port 'smart' switch, which supports VLANs and gigE. All of their 'smart' models are probably similar to configure.

Astaro stuff:
First, make sure your NIC in your firewall supports VLANs according to the Astaro HCL, or ask on these forums if you're unsure.

Setup the VLANs as New Interfaces (Ethernet VLAN) in Astaro.


Netgear specific stuff:

1. In the switch configuration, make sure you're using 802.1Q, not Port-Based VLANs on the VLAN Configuration page.

2. Make sure the firewall is the Trunk for ALL VLANs you're using.

3. Configure ALL 3 sections of the VLAN Configuration section:

a. create an ID and Name for each

b. On the VLAN Membership page, 
For each VLAN,
Untag (U) each port that is part of that VLAN
and
Trunk (T) the firewall port

4. On the Port PVID page, Set the PVID (VLAN ID) for each port.
This was confusing for me, as I thought it only applied to Port-based VLANs (wrong).


Notes on my config:

I have the firewall on port1, which I also have as VLAN1, but that VLAN is not actually used for anything (you can see it's Untagged for all ports). I did this more to keep from messing up VLAN1 (the default VLAN) in case I needed it for troubleshooting, and because it is unclear what to do with a Trunk.

VLAN 13 is my trusted LAN

VLAN 10 is my DMZ for my webserver.

VLAN 11 is my untrusted LAN for guests and WiFi. I have my WiFi AP plugged into this VLAN, and am using the AP as a switch for my printer, etc. as well as for wireless.


Reasons to use VLANs at home:

You can have an External connection, plus multiple LANs and/or DMZs with only 2 NICs in the firewall. 
It may even be possible to have only 1 NIC, although this would be slightly less secure as you're putting your switch on the internet.
For me, this allows me to go from a tower pc to a (very low power) mini-ITX system without spending an extra $100+ for a motherboard with an option for a 3-port 'daughterboard' or other expensive setup. 

Also, it allows me to get a fanless Atom system with 2 Intel gigE NICs as opposed to a VIA with Realtek NICs. 
(My Atom system is still in progress as the NICs won't work _at least_ until Astaro 7.402 is out, but I've ordered the hardware anyways.)

The 'smart' 8-port switch was only about $45 more than a base-model Netgear gigE switch, cheaper than extra NICs would have been, and I wanted to upgrade to gigE anyways.

Pics of my Netgear config attached.

Barry


This thread was automatically locked due to age.
  • 0 in reply to RFCat_vk_01
    Hi ,

    I am planning to setup HA @ home between two asg with netgear GS 108-t switch 
    system i am planning  ,both system will have 3 nic  and 1 dmz in this case how do i configure vlan on netgear 

     now i am able to setup basic vlan with with 1 asg system which has 4 interface bug i will remove 1 nic and keep both asg with 3 nic as vlan are working 

    so can u please recommend me what i should do 

    how do i setup a vlan 

    please let me know what more information u want 

    the reason i want to use vlan is ,there are more interface i want to connect to asg (lan,dmz,wan,ha,wireless ap 10 )
    thanks
  • 0
    Barry,

    I owe you a beer.

    After fiddling aroung for quite a while with my Netgear GS105E I came to your post and the wrong manual. So the (T) is not for 'Tagged' but for 'Trunked'. After that changes everything worked perfect.

    Thanks a lot
  • 0 in reply to Blonder
    Been reading all this with much interest.
    It appears that the OP was using 1 port / VLAN, so setting up PVID per port wasnt uneasy.
    Now if you have one port for several VLAN, what is the correct PVID value you need to set, this is so confusing !

    If i have my firewall LAN port on port 1 (VLAN 1, 22, 25) and i have an ESXi server plugged on port 7...what is the PVID i need to use on port 7 and 1 ?? (ESXi has 2 machines on 2 different vSwitches : vlan 22 and vlan 25)..



    Thanks a ton for your help, am lost here. Its way easier on a ProCurve.
  • 0
    Hi, afaik, the UTM does not allow use of VLAN 1.

    The PVID does not seem to be important when using tagged VLANs; I just set it to one of the VLANs used on that port.

    However, I leave the firewall port on PVID 1 as I suspect my AP uses that for communication with the UTM, but I am not certain.

    Barry
  • 0 in reply to neeeko
    Been reading all this with much interest.
    It appears that the OP was using 1 port / VLAN, so setting up PVID per port wasnt uneasy.
    Now if you have one port for several VLAN, what is the correct PVID value you need to set, this is so confusing !

    If i have my firewall LAN port on port 1 (VLAN 1, 22, 25) and i have an ESXi server plugged on port 7...what is the PVID i need to use on port 7 and 1 ?? (ESXi has 2 machines on 2 different vSwitches : vlan 22 and vlan 25)..



    Thanks a ton for your help, am lost here. Its way easier on a ProCurve.


    The Netgear switches also have, I believe, VLANs 1-4 or 1-5 reserved for certain dedicated traffic.  Best thing to do is to start and go up from VLAN 10 or VLAN 20.  E.g. use 20, 21, 22, 23, 24, etc.

    On your setup, as BarryG said, change VLAN 1 to something like VLAN 20.  Then, set the PVID to 20 for both Port 1 and Port 7.

    Remember, you'll need to set both Port 1 & Port 7 as "Tagged" and make sure both Ports 1 & 7 are members of VLAN 20, 22, & 25, so that everything between those two machines can talk.

    You can have multiple Tagged VLANs assigned to a Port, but if the traffic is "untagged", then you can only use 1 VLAN on that port.

    My internal network is on VLAN 20.  My ASG is on Port 1 and is set as "Tagged" for VLAN 20, 21, 22, 23, & 24.  My workstation is on Port 4 of the GS108T and Port for is assigned VLAN 20 and is "Untagged".  This allows the NIC in my workstation to behave just like it's plugged into a regular switch.  If I had "Tagged" Port 4 with VLAN 20, I would also need to setup my workstation NIC to use VLAN 20, which is a pain.

    One thing I found out the hard way was to always leave at least 1 port unconfigured.  That way if you mess up the settings on a port and get locked out of the GS108T web interface, you can plug into the unconfigured port and hopefully be able to hit the web interface without hard resetting the config on your GS108T.

    Hope this helps!
  • 0
    I only now see this thread, but have quite some experience setting up these netgear smart managed devices.

    For managing these devices you need to be able to access them on VLAN 1 (default VLAN) on the IP-address that you statically assign to it. (I think the VLAN1 is also required but not 100% sure of it).

    If you leave the IP as dynamic you don't really know from what VLAN it will aquire an IP-address in and it can change depending on the time it takes for an offer from a DHCP-server.
    These switches are a little bit different than other managed switches and indeed the PVID is strange.
    Usually when you connect a non-VLAN aware device you have to configure (U)ntagged VLAN # for the port. It's also good to also change the PVID to this same VLAN and after that unassign VLAN 1 (if it's different from the wanted VLAN) from the port.
    Netgear has built this to be able to do something like:

    Server connected to one port on 2 (U)ntagged VLAN's (ie 10 and 20)
    client connected to another port on 1 (U)ntagged VLAN (ie 10)
    other client connected to another port on  1 (U)ntagged VLAN (ie 20)

    This way you can have both clients talk to the server but not able to talk to each other. Usually in a corporate environment you use VLAN routing for this with ACL's, but with this "workaround" Netgear creates possibilities otherwise not possible for SOHO environments that don't want to spend a small fortune on L3 switches.

    With the above in mind (and when trying to build something that will do the same as ie a Cisco switch would do), you put every port that connects to a device that's not VLAN aware only in the VLAN it needs as (U)ntagged and also change the PVID to the same VLAN.
    Trunks to the UTM must define every VLAN to be used in the UTM as (T)agged. Trunks going to other switches can use (U) for the default VLAN when PVID is also the same.

    Oh, and I always configure these as 802.1q Advanced. That way you can match the config of it as close to any other corporate switch as possible.
    Only then it's possible to delete the port from VLAN 1.
  • 0 in reply to apijnappels

    For managing these devices you need to be able to access them on VLAN 1 (default VLAN) on the IP-address that you statically assign to it. (I think the VLAN1 is also required but not 100% sure of it).


    Hi,

    FWIW, I gave my NetGear a static IP on my LAN (VLAN 13), and it is accessible from my PC(s).

    I have noticed, however, that the NTP requests from the Netgear to the UTM (Netgear is configured to use the UTM for NTP) are coming from the wrong VLAN (VLAN 11, but using the VLAN 13 management IP address). 
    I haven't figured out how to fix this, so the clock is always wrong on the Netgear's logs. 
    I suppose I could point the Netgear at an internet NTP server.

    Barry