Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 5534 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Network topology

zamolo.da
ASG220 v9.003-16

Topology
Modem (bridge)  [wan] ASG 220 [internal]  Cisco 3560  Cisco 2960s

Cisco 3560
SVI 10.0.1.241.     Vlan 100
SVI 10.0.10.241.   Vlan 10
SVI 10.0.50.241.   Vlan 50

ASG 220 INTERNAL 10.0.1.253

When connected directly to the ASG 220 internal interface with 10.0.1.252/24 I'm able to ping the ASG 220 and browser the Internet. When connected to the Cisco 2960s with 10.0.10.50/24 GW 10.0.10.241 I'm able to ping the ASG 220 but UNABLE to browse the Internet. I am able to ping other devices on the 10.0.10.0/24 network as well as the SVI interfaces.

I've tried creating an alias 10.0.10.253 and 10.0.50.253 on the internal interface including changes needed to Network / DNS, Network Protection / Masquerading & Network Protection / Firewall / Web Surf and DNS to allow traffic out. However I can't ping either 10.0.10.253 or 10.0.50.253.

The following static route was created on the Cisco 3560 10.0.0.0/8 via 10.0.1.253.

Any assistance would be greatly appreciated.
I'm not convinced that routing on the Cisco 3560 has been setup correctly although it appears to be correct as far as I can tell. I am though thinking that I'm missing something on the ASG 220 that will bring it all together.

Feel free to ask any questions.

Cheers,
Dizzy


This thread was automatically locked due to age.
  • 0
    How are the VLANs configured on both switches?
    How is the routing set up? 
    sh running-config

    Also usefull is the port-tagging state of the uplink ports between the switches and the UTM.

    You don´t need any additional addresses.
    You have to define every subnet/vlan as a network definition, put these networks in the allowed networks box for every "service" you want to use and set up new masquerading rules for each vlan.
  • 0
    try to create VLAN's with corresponding IP's in UTM internal interface with ip 10.1 and 50.1
  • 0 in reply to Ol Deda
    try to create VLAN's with corresponding IP's in UTM internal interface with ip 10.1 and 50.1
    This will only work if the Cisco 3560 is not configured as internal router between the different vlans.
    Which I would prefer because of much more throughput.
  • 0
    Hi Dizzy, and welcome to the User BB!

    Are the VLANs defined on the ASG?  I bet the only problem is the one GMF asked about - masq rules for the .10. and .50. subnets.

    Cheers - Bob
  • 0
    Thanks for the response guys which I've gone through and considered.
    It turns out for my setup I was missing a default route on the L3 switch ensuring that any traffic destined outside the vlans went out via the ASG220 internal interface.

    All seemed to function well and as intended ... Until I noticed the following strange behavior.
    Whenever I was connected to the ASG220, either via WebAdmin and/or Shell everything behaved as expected. The minute any of those sessions timed out or disconnected I lost Internet connection. As soon as i would establish a session to the ASG220 the Internet was restored. This behavior could be repeated time and time again.

    I've actually been able to test this with a UTM220 and got the same results.
    I've got Sophos support looking into it for us.

    I'm not entirely convinced it is an appliance issue/s but rather a configuration issue with either the appliance or how I've got the network setup.

    Any ideas of which area I could look at and/or whether anyone has come across this before.
    Cheers,
    Dave
  • 0
    everything behaved as expected [...] Internet was restored.

    Does that mean other machines could access the internet or that the unit you were on could access the internet?

    Cheers - Bob
  • 0
    Configure each VLAN on Cisco 3560 with these parameters:
    [LIST=1]
    • Name
    • IP and Netmask
    • IP-Helper Adress (DHCP-Server, DNS, ...)
    • Porttagging
    [/LIST]

    On Cisco 3560 activate routing and setup default route to the UTM. On a HP ProCurve this would be (should be pretty much the same on a cisco device)
    switch# configure terminal

    switch (config)# ip default-gateway 10.0.1.253

    switch (config)# ip routing

    switch (config)# ip route 0.0.0.0 0.0.0.0 10.0.1.253


    Setup up the uplink-port for your Astaro with these vlan-taggings:
    Vlan 100 untagged
    Vlan 10 tagged
    Vlan 50 tagged

    When this is done create a Networkgroup for each VLAN in your UTM.
    Set up new masquerading rules for each vlan in UTM and create some firewallrules. When needed add the networkgroups to the services you need for that vlan (proxy, mail-security, ...)


    This setup works with our Astaro 8.306 Cluster with 17 VLANs. The Switch is doing the internal routing and the Astaro is responsible for the rest. [:D]
  • 0
    Hi
    Does it mean I need network card for each VLAN or could I somehow send all the VLANs traffic using one NIC on the Astaro? I am trying to setup similar network with 4 VLANs on Cisco 3560 connected to Astaro.

    Many thanks
  • 0
    Yes you can have all of the VLANs on a single NIC.

    I have a customer that set up a UTM 120 with three NICs in a Link Aggregation Group; on the LAG, he defined a VLAN for the WAN connection, a VLAN for the DMZ and a VLAN for the Internal network.  He wanted to put all four interfaces into the LAG, but I suggested that he might need to access WebAdmin when his VLAN switch was down, so he left one NIC as "Standard Ethernet" as a backup management interface.

    Cheers - Bob