Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 2 subscribers
  • Views 1611 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VLANs, DHCP, DNS and VPN

bloudraak_01
Hello,

I'm running Sophos UTM 110 with Network Protection Subscription. I'm a software architect and my project deploys software to different environments:
[LIST=1]
  • intranet (corp.example.com)
  • test (test.example.com)
  • stage (stage.example.com)
  • demo (demo.example.com)
  • production (example.com)
[/LIST]

For security reasons, the environments should be segregated. If one environment is "compromised" (say my laptop on the intranet), it should be difficult to compromise others.  My understanding is that using VLANs are ideal for these circumstances.

My aim is to configure the device such that 
[LIST=1]
  • each "environment" is segregated using VLANs
  • folks on the internet can connect to any environments using VPN (L2TP). Services will be restricted (e.g. SSH, RDP, HTTP, HTTPS). 
  • folks internally can connect from any environment. Services will be restricted (e.g. SSH, RDP, HTTP, HTTPS)..  
  • run IDS to detect an internal attack (like my laptop is infected on the intranet and trying to infect production).
[/LIST]

Unfortunately, the documentation is a tad thin on how to achieve these goals.  Here is what I did:

[LIST=1]
  • Bridge eth0, eth1 and eth2
  • Created a VLAN for each environment
  • Created an DHCP for each environment
  • Created a network definition for Internal which masks 10.0.0.0/8.
  • Added a Internal network to the DNS allowed list.
  • Created a NAT rule to masq the internal network to the external interface
  • Created a firewall rule that allows any device on the internal network to access HTTP and HTTPS resources on the internet.
  • Configure VPN (L2TP).
[/LIST]

I provisioned devices (Windows Server 2012) for each of the environments.  The DHCP is working (i.e. test devices has IP addresses 10.0.1.0/24, stage has IP addresses 10.0.2.0/24). I can remotely connect to the VPN.  Devices internal to the network can access HTTP and HTTPS websites on the internet, allowing me activate Windows, download Windows Updates etc.

What I can't figure out is how to
[LIST=1]
  • Resolve DNS entries from the internal network. For example, I can't resolve device names from within the same VLAN, or devices on other VLANs. NSLookup times out.
  • Resolve DNS entries from the VPN. 
  • Connect from one environment to another using HTTPS, HTTP or SSH.
[/LIST]

Since I'm using VLANs, it is unclear how to configure the DNS host when configuring request routing, for example. And the same problem exists when trying to specify the DNS for the VPN. 

Any advise how to configure the DNS so it will work on the VLANs and from the VPN?

Sincerely,
Werner


This thread was automatically locked due to age.
Parents
  • 0
    Hi,
    This is feasible, I'm running something similar at home.

    However, why did you bridge the NICs?
    How many NICs do you have total?
    Normally, you would have one NIC connected to the VLAN switch, and one to the internet connection, and you could use the spare as a management interface if you want.

    What do you have the UTM pointing at for DNS resolution?

    Please post a screenshot of your firewall rule for #7.

    Barry
Reply
  • 0
    Hi,
    This is feasible, I'm running something similar at home.

    However, why did you bridge the NICs?
    How many NICs do you have total?
    Normally, you would have one NIC connected to the VLAN switch, and one to the internet connection, and you could use the spare as a management interface if you want.

    What do you have the UTM pointing at for DNS resolution?

    Please post a screenshot of your firewall rule for #7.

    Barry
Children
No Data