Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 46 replies
  • Subscribers 2 subscribers
  • Views 24055 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos 9 VLAN 99% not working

P4lp4t1n3
Hello,
my name is Marko and I'm new to the forum.
I have Sophos UTM 9 installed on a VM of my esxi 5 whitebox and i'm actually using it as my router without any problems at all.
The only big problem that I have is that VLAN is not working except from the same esxi server.

Let me explain better.

First thing first this is my configuration:

ESXI5 whitebox

3 Ethernet Cards (1 for Management Network and Internal AD Domain - 1 for external network and internet - 1 for using VLAN in astaro)
All 3 ethernet cards are Intel PRO 1000GT Intel Ethernet Desktop Adapter.

Sophos UTM9 VM connected to all 3 ethernet cards and i'm routing the internal network to the external network (gateway route) so I can have internet also with my internal network.

Like ethernet switch I have a Netgear GS108Tv2.

Now here there's the problem: if I create a VLAN on Sophos and I connect a VM to the VLAN just create (Virtual Machine Network) I have no problems, I can ping the gateway and if I set a DHCP Server I can get the address without problems.

The real problem is that if I create a VM on my other whitebox I can't get a DHCP address from the VLAN and 9 times on 10 I can't ping the gateway.

For example, yesterday finally I was able to ping the gateway from my other whitebox without problems but this morning again I can't ping the gateway.

Now, what I'm doing wrong?

I have followed the guide on this forum for setup astaro and VLAN with a gs108t but It's not working.

Please, can you tell me if what I'm doing is wrong or if there is other things that I can do?

Thanks


This thread was automatically locked due to age.
Parents
  • 0
    Yes, I have set the VLAN ID All (4095)
  • 0 in reply to P4lp4t1n3
    Hmmmm,  I don't have a VMWare console in front of me to look through settings atm.

    So, on your Workstation, the win2k8 box has vlan40 in the config for the VM... and going out from your PC via it's ethernet to G6, is it still set to keep tags when it fowards to traffic from the VMware workstation?
  • 0 in reply to NathanCole
    Are you running the newest firmware?

    Also, can you shell into your ASG and tcpdump the VLAN interface?  See if traffic is making it there?

    If we can track down the spot it's getting dropped, we should be able to get it working.

    Logs and utilities will be our best friends.  hahah.


    Sorry for late but I needed some sleep [:)]

    Yes, I'm running the latest firmware.

    I have tried tcpdump from shell interface and I can see the traffic.

    I have attached the dhcp.log and as you can see the VLAN DHCP server that I have added can see the VLAN interface and is offering 40.0.0.100.
    dhcplog.zip
  • 0 in reply to P4lp4t1n3
    I also had to sleep.  [[[:)]]]

    So, the XPlite box is doing fine.  But we are seeing the issue coming from the other esxi box right?

    I don't think that bug applies to you because it was already patched in the newest.  [[[:)]]]

    Give me a little and I am going to try and draw your topology so we can determine the segments to tackle.  [[[:)]]]

    Dealing with things at work at the same time, so response time is variable.  haha.  Lots of malware this morning at different sites.  [:(]
  • 0 in reply to NathanCole
    I also had to sleep.  [[[:)]]]

    So, the XPlite box is doing fine.  But we are seeing the issue coming from the other esxi box right?

    I don't think that bug applies to you because it was already patched in the newest.  [[[:)]]]

    Give me a little and I am going to try and draw your topology so we can determine the segments to tackle.  [[[:)]]]

    Dealing with things at work at the same time, so response time is variable.  haha.  Lots of malware this morning at different sites.  [:(]


    Again thank you very much for your help.

    The issue is coming from every other pc except the esxi2 box.
    On the esxi2 box every vm can get a VLAN Tag and acquire a DHCP Address in less then 2 seconds but on every other machine I can't acquire an IP Address from DHCP and ping the gateway.
  • 0 in reply to P4lp4t1n3
    That makes me think that the traffic leaving the switch may not be tagged, or, when it gets into the "VM switch" it's losing it's tag.

    Your settings on the netgear look correct.  Looks like you have default traffic being tagged for PVID 1, right?  Which would be your normal management network.

    On the g7 port, if you set PVID to 40, and set g7 to untagged on vlan 40, tagged for g5 on vlan 40.
    Does the Win2k8 (real PC, not VM) get an IP?

    This will help tell us if it's the network card or the switch.  Setting the PVID will set a default tag to give anything coming in on that port.  Because it's being tagged 40 coming in, it should go out g5 to your asg box.

    Then see if you see the DHCP requests coming on your asg VLAN40 interface.
  • 0 in reply to NathanCole
    That makes me think that the traffic leaving the switch may not be tagged, or, when it gets into the "VM switch" it's losing it's tag.

    Your settings on the netgear look correct.  Looks like you have default traffic being tagged for PVID 1, right?  Which would be your normal management network.

    On the g7 port, if you set PVID to 40, and set g7 to untagged on vlan 40, tagged for g5 on vlan 40.
    Does the Win2k8 (real PC, not VM) get an IP?

    This will help tell us if it's the network card or the switch.  Setting the PVID will set a default tag to give anything coming in on that port.  Because it's being tagged 40 coming in, it should go out g5 to your asg box.

    Then see if you see the DHCP requests coming on your asg VLAN40 interface.


    OK, I have done what you told me, I can see DHCP request coming from VLAN40 but win2k8 can't get an IP Address.
  • 0 in reply to P4lp4t1n3
    Yay!  That is hopeful!  [:)]

    K, so, ASG is receiving the packet, and sending out an offer of ***.***.***.***, but it isn't making it to the Win2k8 box.....

    So packet leaving should be getting tagged with VLAN40... travelling to the switch g5... remaining tagged, and then going out on G7 to the host....

    This is very good news though.  It tells me that there is something with the switch... let me double check your configs again.  Can you do a screenshot of your PVID screen?
  • 0 in reply to NathanCole
    Yay!  That is hopeful!  [[:)]]

    K, so, ASG is receiving the packet, and sending out an offer of ***.***.***.***, but it isn't making it to the Win2k8 box.....

    So packet leaving should be getting tagged with VLAN40... travelling to the switch g5... remaining tagged, and then going out on G7 to the host....

    This is very good news though.  It tells me that there is something with the switch... let me double check your configs again.  Can you do a screenshot of your PVID screen?


    Great, maybe we have found the problem [[:)]]

    Here there is a screenshot of the PVID Config.
  • 0 in reply to P4lp4t1n3
    Hmmmm....
    On VLAN 1, what if you change the G5 interface to tagged.  Make sure it is tagged for all VLAN IDs.
  • 0 in reply to NathanCole
    Hmmmm....
    On VLAN 1, what if you change the G5 interface to tagged.  Make sure it is tagged for all VLAN IDs.


    Nothing happen
  • 0 in reply to P4lp4t1n3
    Checking the switch logs I have just found this.

     Aug 29 23:12:02 34.0.0.2-1 NIM[2180325540]: nim_intf_api.c(73) 1495 %% internal interface number 0 out of range


    Maybe is not related to my issue however I don't know what is internal interface number 0.
Reply
  • 0 in reply to P4lp4t1n3
    Checking the switch logs I have just found this.

     Aug 29 23:12:02 34.0.0.2-1 NIM[2180325540]: nim_intf_api.c(73) 1495 %% internal interface number 0 out of range


    Maybe is not related to my issue however I don't know what is internal interface number 0.
Children
  • 0 in reply to P4lp4t1n3
    Does it give that in the logs when you request an address?

    I'm wondering what VLANID is getting sent to the switch on it's way from the ASG box to the switch.
  • 0 in reply to NathanCole
    Hmmm, so i was thinking....

    Having G7 untagged means that it removes the VLAN40 tag from the packet.  Is VLAN40 configured on the NIC for the G7 server?  If so, what happens if you remove tagging on the NIC.
  • 0 in reply to NathanCole
    Hmmm, so i was thinking....

    Having G7 untagged means that it removes the VLAN40 tag from the packet.  Is VLAN40 configured on the NIC for the G7 server?  If so, what happens if you remove tagging on the NIC.


    Yeas, on the G7 server I have tagged VLAN40 with the Intel Drivers but the strange thing is that within the switch I have tried to ping the VLAN40 gateway and I get a reply from the gateway!!!!!

    Now this really this is bringing my head to blow.

    I'll try to use the Realtek Ethernet card instead the intel and see what will happen