Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 1957 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VLAN questions

Comnet
Hello All,

I am having some confusion re: VLAN setup.  I have looked through the posts here, but don't see a specific solution.  I used BarryG's VLAN post as a starting point.

I have setup 4 VLAN interfaces on the Astaro (version 9.004).  VLAN 1, 10, 20, 30

I have 2 Dell 2724 switches.

VLAN 10 is my main, internal network.

VLAN 1 is the default VLAN and I left that in place for management.  The Dell switches keep that VLAN reserved and the management IP on the switches is in that VLAN.

VLAN1 is untagged for all ports on the switch and that can't be changed.  I have tagged the trunk ports for the other VLANs and then I untagged individual ports based on VLAN membership.

From my computers on VLAN 10 I am able to access the network, Internet, Astaro, etc., but I cannot traverse the firewall to VLAN1.  I can ping the IP address on the Astaro for the VLAN1 interface, but can't access the switch web admin interface which resides on the VLAN1 subnet.  I cannot ping the switch from the Astaro.

I setup a laptop on VLAN1 and was able to access the switch, at least temporarily.

I have packet filter rules on the firewall allowing all traffic between VLAN1 and VLAN10.

I'm thinking I'm missing something obvious, but can't see it.

Any help is greatly appreciated.

Thanks

David


This thread was automatically locked due to age.
  • 0
    Hi,
    what is not clear is how many physical interfaces you are using?
    You would only tag the port on the switch that connects to the UTM except if you are extending a VLAN to a second switch.

    Ian
  • 0 in reply to RFCat_vk_01
    Hi Ian,

    2 external connections on the firewall (uplink balanced) and one internal, physical interface.  On switch A, where the Astaro is plugged into, I have the port for the Astaro and the port that connects to switch B tagged.  On switch B, just the port that connects to switch A is tagged.

    Assuming I can get inter-vlan traffic working, I will setup another tagged port on each switch for access points with multiple SSID's / VLANs.

    Thanks

    David
  • 0
    Hi,

    1. you need PacketFilter rules to allow Inter-VLAN traffic.

    2. did you Tag/Trunk VLAN1 on the port going to the firewall, and configure VLAN1 on the firewall?

    You might want to do some sniffing if you're still having trouble. TCPDump is available on the Astaro console; if it doesn't support VLAN header display, you could capture to a file and load into WireShark on a PC.

    Barry
  • 0 in reply to BarryG
    Barry,

    Thanks for your reply.  The Dell switches don't allow changing any of the ports under VLAN1.  I do have packet filter rules in place to allow traffic between the different VLAN interfaces.  I did setup VLAN1 on the firewall.

    Thanks

    David
  • 0 in reply to Comnet
    After much head banging with the Dell switches, I gave up and put in a Netgear GS724T and a GS716T.  These switches allowed much greater control over VLAN1 and I'm able to connect from my internal LAN on VLAN10 to the admin LAN on VLAN1.

    I have the ports that connect the 2 switches and the port connected to the Astaro setup as tagged for all VLANs.

    If I want to connect an access point to the switch and handle multiple SSIDs on different VLANs, I would tag that port for each of those VLANs, correct?

    Thanks

    David
  • 0 in reply to Comnet

    If I want to connect an access point to the switch and handle multiple SSIDs on different VLANs, I would tag that port for each of those VLANs, correct?


    Yes.

    Barry