Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 4025 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VLAN Help

djmoore250
Current Configuration:

Astaro ASG with 3 NIC's
- NIC 1 (WAN)

- NIC 2 [Linksys Gigabit Adapter VLAN aware] 
("Internal" Created by installation) 192.168.1.254 DHCP is enabled 
I don't have anything plugged into this NIC, and only use it when I need to manage the ASG

- NIC 3 [Linksys Gigabit Adapter VLAN aware] 
(VLAN 1 192.168.1.252) No DHCP
(VLAN 7 192.168.1.253) DHCP Is enabled
(VLAN 9 10.0.0.1) DHCP is enabled
I cannot manage the ASG from this NIC???

Switch is Linksys SRW2008

Port 1 is connected to NIC 3 of the ASG and is trunk with VLAN 7 and 8 tagged

Port 2 is connected to a Cisco Aironet 1200 with 2 SSID's
- SSID 1 "Work" VLAN 7 (802.1x authentication on windows server on port 3)
- SSID 2 "Guest" VLAN 9 (WEP) 
Port 2 is also set as trunk with vlan 7 and 9 tagged

Port 3 is Windows server 2008 domain controller member of vlan 7 untagged

The guest VLAN 9 works fine, they have internet only access and get the correct dhcp ip address in the 10.0.0.x range

The work VLAN 7 on the Aironet gets an IP address in the correct subnet 192.168.1.x but that's all, I can't ping any other computers on 192.168.1.x and I cannot access the internet.

If I plug a network cable into one of the other switch ports (untagged) that are only a member of vlan 7 I cannot access the internet but I can ping other 192.168.1.x computers.

One other note is that the ASG is part of my Active Directory domain and authenticates users against my active directory accounts, this is for vlan 7 only.

Any help with this setup on what I have configured incorrectly or what I need to add to make vlan7 access the internet and see other computers on the subnet would be greatly appreciated.


This thread was automatically locked due to age.
Parents
  • 0
    Each interface must have a subnet that is disjoint from the subnets on all of the other interfaces.  I'm amazed that anything was working without creating some manual interface routes.

    If I understand your environment, you have a wired network for your servers, wireless access for users and wireless access for guests.  If you are using Outlook Web Access, then it wouldn't hurt to put the OWA server in a DMZ, but that's not necessary, so the following suggestion assumes all the servers are on the same interface.

    In order to have a configuration that would be familiar to people accustomed to supporting Astaros, just put all the servers into "Internal (Network)" and connect any wired users there.

    Since 192.168.x.x addresses are those used for homes, using them in a work environment can cause conflicts with VPNs.  I suggest another private address range and, for the subnet on your Internal interface, I'd use 172.16.1.0/24.  For the "Work" VLAN, assign 172.16.2.0/24 and, for the "Guest" VLAN, assign 172.16.10.0/24.

    Once you make these, or similar, changes to you IP-scheme, everything should work fine.

    Cheers - Bob
Reply
  • 0
    Each interface must have a subnet that is disjoint from the subnets on all of the other interfaces.  I'm amazed that anything was working without creating some manual interface routes.

    If I understand your environment, you have a wired network for your servers, wireless access for users and wireless access for guests.  If you are using Outlook Web Access, then it wouldn't hurt to put the OWA server in a DMZ, but that's not necessary, so the following suggestion assumes all the servers are on the same interface.

    In order to have a configuration that would be familiar to people accustomed to supporting Astaros, just put all the servers into "Internal (Network)" and connect any wired users there.

    Since 192.168.x.x addresses are those used for homes, using them in a work environment can cause conflicts with VPNs.  I suggest another private address range and, for the subnet on your Internal interface, I'd use 172.16.1.0/24.  For the "Work" VLAN, assign 172.16.2.0/24 and, for the "Guest" VLAN, assign 172.16.10.0/24.

    Once you make these, or similar, changes to you IP-scheme, everything should work fine.

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    Bob,
          Thanks for all of your help so far, I am still having some problems, I don't have the greatest network skills and am trying to help a friend of mine who has a small photography studio. Currently there are not plans for OWA so that is a bit of a relief but he does have a need to separate the guests and workforce on his LAN. I've attached a diagram of the exact layout of the network as it sits now, I haven't changed the 192 IP addresses yet and will do that last once I have everything working to our satisfaction. Right now the problem is that wireless clients on the work vlan 7 are not getting authenticated and have no network access whatsoever, hard wired PC's are getting network access on vlan 7 but do not have internet access, what rules etc. do I need to setup in the astaro, do I have to created static routes between the subnets? I have setup a few packet filter rules one of which is vlan9 access to the internet, vlan 9 is getting the correct IP addresses and can access the internet., I created the same packet filter rule for vlan 7 but still no internet access, do I need to do anything with masquerading?

    Thanks again
    Dave