Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 4025 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VLAN Help

djmoore250
Current Configuration:

Astaro ASG with 3 NIC's
- NIC 1 (WAN)

- NIC 2 [Linksys Gigabit Adapter VLAN aware] 
("Internal" Created by installation) 192.168.1.254 DHCP is enabled 
I don't have anything plugged into this NIC, and only use it when I need to manage the ASG

- NIC 3 [Linksys Gigabit Adapter VLAN aware] 
(VLAN 1 192.168.1.252) No DHCP
(VLAN 7 192.168.1.253) DHCP Is enabled
(VLAN 9 10.0.0.1) DHCP is enabled
I cannot manage the ASG from this NIC???

Switch is Linksys SRW2008

Port 1 is connected to NIC 3 of the ASG and is trunk with VLAN 7 and 8 tagged

Port 2 is connected to a Cisco Aironet 1200 with 2 SSID's
- SSID 1 "Work" VLAN 7 (802.1x authentication on windows server on port 3)
- SSID 2 "Guest" VLAN 9 (WEP) 
Port 2 is also set as trunk with vlan 7 and 9 tagged

Port 3 is Windows server 2008 domain controller member of vlan 7 untagged

The guest VLAN 9 works fine, they have internet only access and get the correct dhcp ip address in the 10.0.0.x range

The work VLAN 7 on the Aironet gets an IP address in the correct subnet 192.168.1.x but that's all, I can't ping any other computers on 192.168.1.x and I cannot access the internet.

If I plug a network cable into one of the other switch ports (untagged) that are only a member of vlan 7 I cannot access the internet but I can ping other 192.168.1.x computers.

One other note is that the ASG is part of my Active Directory domain and authenticates users against my active directory accounts, this is for vlan 7 only.

Any help with this setup on what I have configured incorrectly or what I need to add to make vlan7 access the internet and see other computers on the subnet would be greatly appreciated.


This thread was automatically locked due to age.
Parents
  • 0
    Now should my switch and WAP be configured with IP addresses on VLAN1?

    The switch can be managed from any LAN, so that's your choice.  The WAP and all other devices should have an IP from the physical subnet they're on.

    Do I need to plug anything into NIC3 "Internal" interface (172.16.0.1)?

    No.  It just needed to have a different definition so that WebAdmin wouldn't step on one set of routes with another.  In fact, since you aren't using it, you could disable it or delete the Internal Interface definition.

    Can I still manage the astaro from VLAN7?

    You can manage it from any network/IP allowed on the 'Management >> WebAdmin Settings' 'Access Control' tab. I don't like "Any" in there.  Just the local network(s) from which you need to access it and the public IPs of your home and/or office.

    Will I still be able to have users authenticate astaro logins with AD authentication?

    Yes.  If he has a Web Security subscription, check out the how-to I submitted to the Astaro KnowledgeBase: https://support.astaro.com/support/index.php/User_Contributed:HTTP/S_Proxy_Access_with_AD-SSO.  Also, if he really wants to isolate the guests but still manage their web access with the Astaro, send me an email asking for my one-page cheat sheet, "Configure HTTP Proxy for a Network of Guests."

    Cheers - Bob
Reply
  • 0
    Now should my switch and WAP be configured with IP addresses on VLAN1?

    The switch can be managed from any LAN, so that's your choice.  The WAP and all other devices should have an IP from the physical subnet they're on.

    Do I need to plug anything into NIC3 "Internal" interface (172.16.0.1)?

    No.  It just needed to have a different definition so that WebAdmin wouldn't step on one set of routes with another.  In fact, since you aren't using it, you could disable it or delete the Internal Interface definition.

    Can I still manage the astaro from VLAN7?

    You can manage it from any network/IP allowed on the 'Management >> WebAdmin Settings' 'Access Control' tab. I don't like "Any" in there.  Just the local network(s) from which you need to access it and the public IPs of your home and/or office.

    Will I still be able to have users authenticate astaro logins with AD authentication?

    Yes.  If he has a Web Security subscription, check out the how-to I submitted to the Astaro KnowledgeBase: https://support.astaro.com/support/index.php/User_Contributed:HTTP/S_Proxy_Access_with_AD-SSO.  Also, if he really wants to isolate the guests but still manage their web access with the Astaro, send me an email asking for my one-page cheat sheet, "Configure HTTP Proxy for a Network of Guests."

    Cheers - Bob
Children
No Data