Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 40 replies
  • Subscribers 2 subscribers
  • Views 18549 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Can't access the internet using L3 Switch VLAN

milt560
I have an Astaro 320 and have connected it to a DELL 7048P Layer 3 switch. I created 2 VLANs on the L3 switch. One for the Astaro and another for a  different purpose. I can access the Internet from the VLAN on the same network as the Astaro. A PC connected to the other VLAN can ping the port on the switch the Astaro is connected to. I added a static route in the Astaro so now I can ping the Astaro. But, I can not access the internet. What am I missing?

Thanks,

Milton Smith


This thread was automatically locked due to age.
  • 0
    You can always add a test rule in the top of the firewall rules any- any/-allow and enable it , then test if its working then probably the firewall is blocking you , if not then its not a rule issue .
    Disable it directly after the test.

    Gil
  • 0 in reply to BarryG
    Hi Barry,

    192.168.50.1 is the default gateway for the 192.168.50.0/24 (VLAN50). I added the static route for VLAN50 to the Astaro. 

    Here's whats in the L3 switch:

    ip routing
    ip route 0.0.0.0 0.0.0.0 10.10.10.1 (10.10.10.1 assigned to eth6)
    ...
    interface vlan 5
    ip address 10.10.10.2 255.255.255.0
    ...
    interface vlan 50
    ip address 192.168.50.1 255.255.255.0
    ...
    interface Gi1/0/2
    switchport access vlan 5 (port connected to eth6 on Astaro)
    ...
    interface Gi1/0/6
    switchport access vlan 50 (port connected to client pc)

    Milt

    Hi, you need a static route for VLAN50 to the INTERNET via the Astaro.

    What device is 192.168.50.1? Is that where you are adding the static routes?

    Barry
  • 0 in reply to gilipeled
    Hi Gil,

    It doesn't get to the Web Filtering Live Log. If I put the client PC on port 3 of the switch (same VLAN as the Astaro) it hits the log. VLAN 50 does not. 

    Can you look in the firewall live log when you try trace if you are blocked ?

    Gil
  • 0
    eth6  
     Internal2 (Network)  →  Any  →  Any  →  Comcast External
  • 0
    I was talking about the firewall live log not web filtering live log :-)
    I just wona be sure it's not blocked .
    Try to add any any allow on top rules and check.
    What about what Barry said on the route ?
    Did you check it ?

    Gil
  • 0
    Put any any allow not only eth6.

    That will allow all and will let us know if it is tha firewall rule that blocks.

    Gil
  • 0 in reply to gilipeled
    Where is the Firewall live log?

    I was talking about the firewall live log not web filtering live log :-)
    I just wona be sure it's not blocked .
    Try to add any any allow on top rules and check.
    What about what Barry said on the route ?
    Did you check it ?

    Gil
  • 0
    Firewall live log is on network protection , firewall , there you have live log.

    Gil
  • 0
    17:31:26 Default DROP ICMP 192.168.50.152     
     → 98.139.183.24     
     len=60 ttl=126 tos=0x00 srcmac=d0:67:e5[:D]2[:D]3:82 dstmac=0:1a:8c:17:56[:D]6 
     

    17:31:31 Default DROP ICMP 192.168.50.152     
     → 98.139.183.24     
     len=60 ttl=126 tos=0x00 srcmac=d0:67:e5[:D]2[:D]3:82 dstmac=0:1a:8c:17:56[:D]6 
     

    17:31:37 Default DROP ICMP 192.168.50.152     
     → 98.139.183.24     
     len=60 ttl=126 tos=0x00 srcmac=d0:67:e5[:D]2[:D]3:82 dstmac=0:1a:8c:17:56[:D]6 
     

    17:31:42 Default DROP ICMP 192.168.50.152     
     → 98.139.183.24     
     len=60 ttl=126 tos=0x00 srcmac=d0:67:e5[:D]2[:D]3:82 dstmac=0:1a:8c:17:56[:D]6 
     

    17:31:47 Default DROP TCP 66.87.122.64 : 48535 
     → 174.141.116.202 : 443 
     [RST] len=40 ttl=46 tos=0x00 srcmac=0:23:33:5e:f3:8e dstmac=0:1a:8c:17:56[:D]1 
     

    17:31:47 Default DROP ICMP 192.168.50.152     
     → 98.139.183.24     
     len=60 ttl=126 tos=0x00 srcmac=d0:67:e5[:D]2[:D]3:82 dstmac=0:1a:8c:17:56[:D]6 
     

    17:31:53 Default DROP ICMP 192.168.50.152     
     → 98.139.183.24     
     len=60 ttl=126 tos=0x00 srcmac=d0:67:e5[:D]2[:D]3:82 dstmac=0:1a:8c:17:56[:D]6 
     

    17:31:59 Default DROP ICMP 192.168.50.152     
     → 98.139.183.24     
     len=60 ttl=126 tos=0x00 srcmac=d0:67:e5[:D]2[:D]3:82 dstmac=0:1a:8c:17:56[:D]6 
     

    17:32:04 Default DROP ICMP 192.168.50.152     
     → 98.139.183.24     
     len=60 ttl=126 tos=0x00 srcmac=d0:67:e5[:D]2[:D]3:82 dstmac=0:1a:8c:17:56[:D]6
  • 0
    Ok .

    Go to firewall advance tab and place a checkbox firewall is trace visible , allow icmp on firewall and allow icmp through firewall.
    This will allow the trace.
    Check again please.
    Tell what you see in live log.

    Gil