Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 46 replies
  • Subscribers 2 subscribers
  • Views 24019 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos 9 VLAN 99% not working

P4lp4t1n3
Hello,
my name is Marko and I'm new to the forum.
I have Sophos UTM 9 installed on a VM of my esxi 5 whitebox and i'm actually using it as my router without any problems at all.
The only big problem that I have is that VLAN is not working except from the same esxi server.

Let me explain better.

First thing first this is my configuration:

ESXI5 whitebox

3 Ethernet Cards (1 for Management Network and Internal AD Domain - 1 for external network and internet - 1 for using VLAN in astaro)
All 3 ethernet cards are Intel PRO 1000GT Intel Ethernet Desktop Adapter.

Sophos UTM9 VM connected to all 3 ethernet cards and i'm routing the internal network to the external network (gateway route) so I can have internet also with my internal network.

Like ethernet switch I have a Netgear GS108Tv2.

Now here there's the problem: if I create a VLAN on Sophos and I connect a VM to the VLAN just create (Virtual Machine Network) I have no problems, I can ping the gateway and if I set a DHCP Server I can get the address without problems.

The real problem is that if I create a VM on my other whitebox I can't get a DHCP address from the VLAN and 9 times on 10 I can't ping the gateway.

For example, yesterday finally I was able to ping the gateway from my other whitebox without problems but this morning again I can't ping the gateway.

Now, what I'm doing wrong?

I have followed the guide on this forum for setup astaro and VLAN with a gs108t but It's not working.

Please, can you tell me if what I'm doing is wrong or if there is other things that I can do?

Thanks


This thread was automatically locked due to age.
  • 0
    Hi Marko!
    How are VLANs setup on your switch?
    I know on the Netgear switches, I've had to set the allowed VLANs, and then which default VLAN to use on a port that sends untagged traffic.

    Also, is the link going to your UTM using a trunk?
  • 0 in reply to NathanCole
    Hi Rx7TyreBurna,
    thanks for your reply.

    I have attacched the screenshots of my GS108T config.

    In the first screenshot you can see what is connected to each port.

    esxi2.geonosis.local is my esxi whitebox while esxi2 Sophos is the network card that I have dedicated to UTM only for VLAN on the internal network and yes, the link that is going to my UTM is trunk.

    I have tried just using the switch and VLAN is working but I need UTM to route the traffic between the internal and the external network but I don't know anymore what I can do.
  • 0 in reply to P4lp4t1n3
    Do you have a screen shot of the PVID page also?

    I always preferred VLANs with Cisco... hahah.  [[:)]]  But done a lot of netgear.  From my understanding, tagged ports keep the vlan tag, and untagged strip the vlan tag on it's way out.  As for the VLAN being set on the ESXi box, being sent to an untagged port, I am not sure if it retains it's VLAN ID, or inherits the PVID on that port.

    I am looking through your stuff while working, so it might be a bit before I get to respond again.  [[:)]]
  • 0 in reply to NathanCole
    The goal is to get g6 on the same VLAN, routing through g5 right?  From G5 it will use the ESXi internal switch?

    So, traffic from G6 should be VLAN40?  Try setting your PVID on G6 to 40.

    If you want to do it from the NIC, I think you'll need to set the VLAN in the NIC, or, have you done this?

    Trying to picture you wiring topology. [:)]
  • 0
    Are you doing the VLAN interfaces on the Astaro, and not as a virtual interface on ESXi? If so, you will need to set the VLAN ID to 4096 for the portgroup on the port you have assigned to the Astaro interface that you are doing the VLAN interfaces on.
  • 0 in reply to NathanCole
    The goal is to get g6 on the same VLAN, routing through g5 right?  From G5 it will use the ESXi internal switch?

    So, traffic from G6 should be VLAN40?  Try setting your PVID on G6 to 40.

    If you want to do it from the NIC, I think you'll need to set the VLAN in the NIC, or, have you done this?

    Trying to picture you wiring topology. [:)]


    Yes, the goal is to get  g6 on the same VLAN routing through g5.

    Yes, I want to do this from the NIC, I have acreated a VM on my main PC with VMware Workstation 9, installed Windows Server 2008 R2 and then I have installed the Intel Ethernet Drivers so I can have VLAN Capabilities.

    I have tagged the VM Network Card to VLAN40 but it's not working and really I don't know anymore what I can do.

    If i set PVID40 on G6 I loose routing between Internal and external.

    The fact is that if I do the same thing locally I have no problems at all.

    I have a test xp machine on esxi2.geonosis.local and I have tagged VLAN40 on it and it's working without any problems so really I don't know what can be the problem
  • 0
    Yes, I have set the VLAN ID All (4095)
  • 0 in reply to P4lp4t1n3
    Hmmmm,  I don't have a VMWare console in front of me to look through settings atm.

    So, on your Workstation, the win2k8 box has vlan40 in the config for the VM... and going out from your PC via it's ethernet to G6, is it still set to keep tags when it fowards to traffic from the VMware workstation?
  • 0 in reply to NathanCole
    Are you doing the VLAN interfaces on the Astaro, and not as a virtual interface on ESXi? If so, you will need to set the VLAN ID to 4096 for the portgroup on the port you have assigned to the Astaro interface that you are doing the VLAN interfaces on.


    Hmmmm,  I don't have a VMWare console in front of me to look through settings atm.

    So, on your Workstation, the win2k8 box has vlan40 in the config for the VM... and going out from your PC via it's ethernet to G6, is it still set to keep tags when it fowards to traffic from the VMware workstation?


    OK, I have just installed Windows Server 2008 R2 on another PC with an Intel PRO 1000 GT Desktop but again same problem.

    I have installed the intel drivers but I have the same problem, really I think that I'll give up.
  • 0 in reply to P4lp4t1n3
    Was it connected to the G6 port? Or another?

    Don't give up.  [:)]  Problem solving is fun!  haha.

    I'm trying to picture the network in my head... and the interface coming from the netgear to the UTM is set to be tagged, and is the interface on the UTM setup to accept and route the tagged packet?

    I.E. Eth0 runs out to netgear, and is setup for a VLAN40 IP address and tagging?

    [Win2k8] --VLAN40---- [Netgear] ---VLAN40---[ESXi][UTM eth0 VLAN40]

    It's hard to determine where the VLAN tags are being dropped, or if the interface on the UTM is just not picking up the VLAN information.