Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 4023 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VLAN Help

djmoore250
Current Configuration:

Astaro ASG with 3 NIC's
- NIC 1 (WAN)

- NIC 2 [Linksys Gigabit Adapter VLAN aware] 
("Internal" Created by installation) 192.168.1.254 DHCP is enabled 
I don't have anything plugged into this NIC, and only use it when I need to manage the ASG

- NIC 3 [Linksys Gigabit Adapter VLAN aware] 
(VLAN 1 192.168.1.252) No DHCP
(VLAN 7 192.168.1.253) DHCP Is enabled
(VLAN 9 10.0.0.1) DHCP is enabled
I cannot manage the ASG from this NIC???

Switch is Linksys SRW2008

Port 1 is connected to NIC 3 of the ASG and is trunk with VLAN 7 and 8 tagged

Port 2 is connected to a Cisco Aironet 1200 with 2 SSID's
- SSID 1 "Work" VLAN 7 (802.1x authentication on windows server on port 3)
- SSID 2 "Guest" VLAN 9 (WEP) 
Port 2 is also set as trunk with vlan 7 and 9 tagged

Port 3 is Windows server 2008 domain controller member of vlan 7 untagged

The guest VLAN 9 works fine, they have internet only access and get the correct dhcp ip address in the 10.0.0.x range

The work VLAN 7 on the Aironet gets an IP address in the correct subnet 192.168.1.x but that's all, I can't ping any other computers on 192.168.1.x and I cannot access the internet.

If I plug a network cable into one of the other switch ports (untagged) that are only a member of vlan 7 I cannot access the internet but I can ping other 192.168.1.x computers.

One other note is that the ASG is part of my Active Directory domain and authenticates users against my active directory accounts, this is for vlan 7 only.

Any help with this setup on what I have configured incorrectly or what I need to add to make vlan7 access the internet and see other computers on the subnet would be greatly appreciated.


This thread was automatically locked due to age.
  • 0
    Is that a typo, or are VLAN1, VLAN7 and Internal really all on the same subnet, 192.168.1.0/24?

    Cheers - Bob
  • 0 in reply to BAlfson
    It's not a typo they are on the same subnet the only reason I have VLAN 1 on the asg is because that is the management vlan on the switch and wireless access point, do I even need vlan 1 on the asg?
  • 0
    Each interface must have a subnet that is disjoint from the subnets on all of the other interfaces.  I'm amazed that anything was working without creating some manual interface routes.

    If I understand your environment, you have a wired network for your servers, wireless access for users and wireless access for guests.  If you are using Outlook Web Access, then it wouldn't hurt to put the OWA server in a DMZ, but that's not necessary, so the following suggestion assumes all the servers are on the same interface.

    In order to have a configuration that would be familiar to people accustomed to supporting Astaros, just put all the servers into "Internal (Network)" and connect any wired users there.

    Since 192.168.x.x addresses are those used for homes, using them in a work environment can cause conflicts with VPNs.  I suggest another private address range and, for the subnet on your Internal interface, I'd use 172.16.1.0/24.  For the "Work" VLAN, assign 172.16.2.0/24 and, for the "Guest" VLAN, assign 172.16.10.0/24.

    Once you make these, or similar, changes to you IP-scheme, everything should work fine.

    Cheers - Bob
  • 0 in reply to BAlfson
    Bob,
          Thanks for all of your help so far, I am still having some problems, I don't have the greatest network skills and am trying to help a friend of mine who has a small photography studio. Currently there are not plans for OWA so that is a bit of a relief but he does have a need to separate the guests and workforce on his LAN. I've attached a diagram of the exact layout of the network as it sits now, I haven't changed the 192 IP addresses yet and will do that last once I have everything working to our satisfaction. Right now the problem is that wireless clients on the work vlan 7 are not getting authenticated and have no network access whatsoever, hard wired PC's are getting network access on vlan 7 but do not have internet access, what rules etc. do I need to setup in the astaro, do I have to created static routes between the subnets? I have setup a few packet filter rules one of which is vlan9 access to the internet, vlan 9 is getting the correct IP addresses and can access the internet., I created the same packet filter rule for vlan 7 but still no internet access, do I need to do anything with masquerading?

    Thanks again
    Dave
  • 0
    If I understand correctly, it looks like "VLAN1 (Network)" and "Internal (Network)" are both 192.168.1.0/24 - changing the definition of the Internal interfacce should solve your problem.

    As for masquerading, that depends on your setup, but, generally, yes, you will want to set up a masq rule for each "VLANx (Network)".

    I would expect you would want the following packet filter rules:

    VLAN1 (Network) -> Any -> VLAN7 (Network) : Allow
    VLAN7 (Network) -> Any -> VLAN1 (Network) : Allow
    VLAN1 (Network) -> Web Surfing -> Internet : Allow
    VLAN7 (Network) -> Web Surfing -> Internet : Allow
    VLAN9 (Network) -> Web Surfing -> Internet : Allow



    If you have Web Security, you'll also want to add the VLANx (Network)s to 'Allowed Networks'.

    Cheers - Bob
  • 0
    Thanks Bob, this is starting to make sense to me now. Just to be clear I should have 4 subnets:

    Internal Interface (the installation auto configured interface) - 172.16.0.1
    VLAN1 - 172.16.1.0/24
    VLAN7 - 172.16.7.0/24
    VLAN9 - 172.16.9.0/24

    Now should my switch and WAP be configured with IP addresses on VLAN1?

    Do I need to plug anything into NIC3 "Internal" interface (172.16.0.1)?

    Can I still manage the astaro from VLAN7?

    Will I still be able to have users authenticate astaro logins with AD authentication?

    I hope my questions make sense and I'm not becoming a pest.

    Thanks
    Dave
  • 0
    Now should my switch and WAP be configured with IP addresses on VLAN1?

    The switch can be managed from any LAN, so that's your choice.  The WAP and all other devices should have an IP from the physical subnet they're on.

    Do I need to plug anything into NIC3 "Internal" interface (172.16.0.1)?

    No.  It just needed to have a different definition so that WebAdmin wouldn't step on one set of routes with another.  In fact, since you aren't using it, you could disable it or delete the Internal Interface definition.

    Can I still manage the astaro from VLAN7?

    You can manage it from any network/IP allowed on the 'Management >> WebAdmin Settings' 'Access Control' tab. I don't like "Any" in there.  Just the local network(s) from which you need to access it and the public IPs of your home and/or office.

    Will I still be able to have users authenticate astaro logins with AD authentication?

    Yes.  If he has a Web Security subscription, check out the how-to I submitted to the Astaro KnowledgeBase: https://support.astaro.com/support/index.php/User_Contributed:HTTP/S_Proxy_Access_with_AD-SSO.  Also, if he really wants to isolate the guests but still manage their web access with the Astaro, send me an email asking for my one-page cheat sheet, "Configure HTTP Proxy for a Network of Guests."

    Cheers - Bob
  • 0
    I seemed to have everything working exactly as I wanted, and then I installed the latest update 7.505 it was running 7.404, when the ASG restarted everything seemed to go down hill, right now my biggest problem is getting VLAN7 to accept traffic, I can't ping anything on VLAN7 from VLAN2. Is it possible that having too many or overlapping packet filters rules could cause a problem?
  • 0
    Too many rules shouldn't be an issue, but you should review the ordering of your rules for any potential issues. 
     
    Here's how the packet filter works: Each packet is checked against the rules, one at a time, from top to bottom, until a rule matches. Once a matching rule is found, packet filter processing stops. 
     
    As an example, lets say that I have two rules:
     
    WAN ---> HTTP ---> ANY Block
    WAN ---> HTTP ---> Web host Allow
     
    If somebody on the internet tries to reach my internally hosted web server, they wouldn't be able to. Because the block rule is higher in the list, it would match first and no rules under it would be processed.
  • 0 in reply to Scott_Klassen
    Thanks Scott, I think the configuration problem is with my network switch and not the ASG, I checked all of the packet filter rules and none of them would be causing the internet connectivity issue.