Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 6611 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Static Route to VLANS

kc8jwt
I just installed the UTM home version on an older PC that I had around here to put on my home network and I am running into an issue that I have been trying to figure out for three days with no progress.

I have an HP ProCurve 5308XL with two VLANS. I am also using HughesNet Satellite service. I have my server, Meraki AP and Dish TV box on VLAN 1 and my desktop and wireless clients on VLAN 2.

When I placed the UTM on the network. Any client on VLAN 1 has no issues accessing the internet. VLAN 2 can access VLAN 1's servers and obtains an IP from my server that does DHCP. My clients though in VLAN 2 cannot ping nor access the UTM box on VLAN 1. 

I have tried various Static routes with no difference in getting the machines to access the web admin of the UTM box or to get out to the internet.

My route from the satellite service to a device on VLAN 2 would be as follows:

Modem; 192.168.0.1 -> WAN of UTM; 192.168.0.2 -> Internal of UTM; 10.32.0.1 -> Switch; 10.32.0.3 -> VLAN 2; 10.32.1.1

I've posted my current switch config so that maybe someone can see if there is something I am missing or what I need to do on the UTM box 

Running configuration:



; J4819A Configuration Editor; Created on release #E.11.36



hostname "ProCurve Switch 5308xl"

time timezone -300

time daylight-time-rule Continental-US-and-Canada

module 1 type J4907A

module 2 type J4820A

module 3 type J4820A

module 4 type J4820A

interface A15

   disable

exit

interface A16

   disable

exit

ip default-gateway 10.32.0.1

ip routing

ip timep manual 10.32.0.2

snmp-server community "public" Unrestricted

vlan 1

   name "DEFAULT_VLAN"

   untagged A1-A4,A6-A16,B1-B24,C1-C24,D1-D24

   ip address 10.32.0.3 255.255.255.0

   ip helper-address 10.32.0.2

   no untagged A5

   exit

vlan 2

   name "VLAN2"

   untagged A5

   ip address 10.32.1.1 255.255.255.0

   ip helper-address 10.32.0.2

   tagged A1,A3

   exit

ip route 0.0.0.0 0.0.0.0 10.32.0.1

ip ssh

router rip

   exit

vlan 1

   ip rip

   exit

vlan 2

   ip rip

   exit


Thanks for any help that I can get.


This thread was automatically locked due to age.
  • 0
    Hey, kc, and welcome to the User BB!

    WebAdmin automatically configures routes between all networks on its interfaces - all you need to communicate between them is firewall rules - no manually-created routes.

    I'm a bit confused by your comment that the UTM is on VLAN1.

    Cheers - Bob
  • 0
    How are the interfaces configured on the Astaro? If the switch is expecting tagged packets you'll want to configure the VLAN Interfaces as "VLAN Interface" under Network & Interfaces >> Interfaces.
  • 0 in reply to peterkieser
    Well my original post may have not been very clear. Before I had a Netgear router and enabled RIP on it and then on the switch. Worked flawlessly. When I set the UTM up, My VLAN 1 has had no issues connecting out to the internet. I had one issue with my Meraki lost connectivity to the cloud controller, but a simple firewall rule for that fixed it.

    At first I could get out on any client connected to VLAN 1. VLAN 2 would not let me get out to the internet. I could not ping the UTM's internal IP of 10.32.0.1. I tried pinging the IP of VLAN 2 from the UTM and could not get a response from it either. After poking around on the forum, I found someone with a similar issue and was able to ping from the firewall to a client on VLAN 2 and vice versa. I had created a gateway static route from 10.32.1.0/24 to 10.32.0.3 which is the IP of the switch on VLAN 1 and my gateway for that. After doing that, I can access the web interface of the UTM from VLAN 2 and ping the UTM from VLAN 2 and ping devices on VLAN 2 from the UTM.

    My WAN is set for Cable DHCP and my Internal is Ethernet Static.

    After doing that, I still am having issues accessing the internet from VLAN 2. I tried defining firewall rules that I thought would work, but I am still stuck with no access past the firewall.
  • 0
    Do you have a masquerading rule for VLAN2?  A firewall rule like 'VLAN2 (Network) -> Web Surfing -> Internet'?  Is "VLAN2 (Network)" in 'Allowed networks' for Web Filtering?

    You will be much happier if you put your modem into bridge mode and let the UTM have your public IP on its External interface.

    Cheers - Bob
  • 0 in reply to BAlfson
    I put VLAN 2 in my filter networks and it came up! Thanks so much for the pointers. I was actually doing this as a test for work, so hopefully I can figure out more of this and play with the settings more.

    Thanks!
  • 0
    Good work!  I still recommend that the initial "design" and instalation be done by someone that's installed a bunch of these.  It will be worth several times the few hundred dollars the company spends.

    If you need a proof-of-concept, approach your reseller about doing this with the understanding that if your management doesn't buy it, they will credit the invoice for the initial work.  If you don't yet have a reseller you trust to do this, contact Sophos for a recommendation.

    Cheers - Bob
  • 0 in reply to BAlfson
    I have been running UTM9 at home for awhile now.  I bought a white box mini pc with 2 nics and am running it as a physical bridge between my internal wireless controller (everything I have is wifi) and the physical port on the hughesnet modem.  Has been working fantastic and with nearly 30 devices running through it I can tailor my traffic to only allow what I want so that I can keep my monthly allotment of Gigs in check each month.

    Sophos rocks,

    Jim