Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 2 subscribers
  • Views 9048 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Ethernet Type VLAN: 802.1Q NIC required?

m@x
I am new to this forum and this is my first post. Fell in love with Sophos and hoping to have a long lasting relationship with their products!

So here's the question...

What I want to accomplish - "a UTM on a stick":
I want to purchase an Intel NUC kit and load Sophos UTM iso on it. The box has one NIC only. I want to use this interface for both, WAN and LAN. Maybe DMZ later.

My thoughts:
1) Use Interfaces > Type: Ethernet VLAN bound to this one NIC.
    Interface 1: "WAN". VID = 100
    Interface 2: "LAN". LAN VID = whichever is native on my switch.
2) Run UTMSW link to a trunk port of SW
3) On SW set port #24 to VID = 100 (WAN and plug in the modem into it

My question is this:
Does my UTM box require a 802.1Q NIC to recognize tagged packets? Or it transparently forwards the data to UTM that decapsulates everything starting from the physical layer?

To answer the question: "why are you complicating things?" - I like to experiment and my head is always full of questions. This setup is not for a production environment.
In this case I wonder if the Ethernet VLAN feature requires a trunking-compatible interface.

Thanks everyone!!!


This thread was automatically locked due to age.
  • 0
    Hi, yes, you need a NIC which has a Linux driver supporting 802.1Q VLANs.

    Intel and Broadcom NICs are most compatible; avoid Realtek.

    However, you won't be able to do the VLAN configuration with only one NIC... you need an extra NIC to be connected to webadmin on while you setup the new VLAN NIC.

    You could try to find a compatible USB NIC for the webadmin access.
    There is not a list of ones known to work, but one user reported Startech USB21000S2 NICs are working: https://community.sophos.com/products/unified-threat-management/astaroorg/f/80/t/64852

    Note that USB NIC performance is terrible and I wouldn't recommend running any real traffic through one.

    Also, don't use VLAN 1; it's reserved in the UTM.

    Let us know how it works out.

    Barry
  • 0
    One more thing: if the modem is PPPoE, I'm not certain you can use VLANs with it in the UTM.

    Barry
  • 0
    It should be possible with only one NIC, but not via the WebAdmin. Will try it on console and post a possible solution.
  • 0 in reply to BarryG
    Thanks Barry for your reply!

    Hi, yes, you need a NIC which has a Linux driver supporting 802.1Q VLANs. Intel and Broadcom NICs are most compatible; avoid Realtek.


    - For some reason I thought that dot1Q was a hardware feature of the NIC? Is this Linux driver enough for trunking? I am confused how this works.

    - I was going to do a bare betal install of the Sophos UTM. How do I ensure that the Linux driver is present? Where do I install it?


    However, you won't be able to do the VLAN configuration with only one NIC... you need an extra NIC to be connected to webadmin on while you setup the new VLAN NIC.

    Also, don't use VLAN 1; it's reserved in the UTM.


    Hmm... didn't think about that.. =) Tnanks!
  • 0 in reply to trollvottel
    It should be possible with only one NIC, but not via the WebAdmin. Will try it on console and post a possible solution.


    Thanks for help!
  • 0
    Hi, it's a feature of the NIC and the NIC's driver.

    The drivers are built-in to the UTM software, so you don't need to add anything.

    If you get the NUC with the Intel NIC, it should be fine for VLANs.
    (you still have the configuration problem though, unless Mario finds a workaround or you get a USB NIC.)

    Barry
  • 0

    At the root shell:

    # cc ↩
    set_object({class=>'interface', type=>'vlan', ref=>'REF_DefaultInternal', data=>{name=>'Internal', itfhw=>'REF_ItfHwDefaultInternal', primary_address=>'REF_ItfParamsDefaultInternal', bandwidth=>100000000, status=>1, vlantag=>1}}) ↩
    quit ↩


    That converts the untagged default internal interface eth0 to be a VLAN tagged interface eth0:1 (VLAN ID 1).

    Remember to configure the switchport accordingly to be able to reach WebAdmin again.
  • 0 in reply to trollvottel
    Thanks trollvottel!

    A couple of questions:

    A) If my current interface setup is Ethernet DHCP, then what ip configuration will the interface acquire after the above mentioned command is processed?

    B) Do I need to switch the if type to static beforehand, and then run the command? Will ip config be preserved in this case?

    C) How is this command different from being logged in via WebAdmin, then switch the if type to Ethernet VLAN and set VLAN ID, ip configuration, then click apply? After the connection is lost, I will configure the switchport and I should get the connection back? Am I missing something?

    Thanks again for your help!


    At the root shell:

    # cc ↩
    set_object({class=>'interface', type='vlan', ref=>'REF_DefaultInternal', data=>{name=>'Internal', itfhw=>'REF_ItfHwDefaultInternal', primary_address=>'REF_ItfParamsDefaultInternal', bandwidth=>100000000, status=1, vlantag=>1}}) ↩
    quit ↩


    That converts the untagged default internal interface eth0 to be a VLAN tagged interface eth0:1 (VLAN ID 1).

    Remember to configure the switchport accordingly to be able to reach WebAdmin again.
  • 0
    Hi m@x, 

    re C), you cannot modify the interface you are currently connected to webadmin on.

    Barry
  • 0
    Hi Mario, 

    I just tried your 'cc' command as root on beta 9.186 and I get:
    "Syntax error, or no such command, node, array, hash or scalar."

    eth0 is the Internal interface; webadmin shows:
    Internal [Up] on eth0 [192.168.13.1/24]
    MTU 1500
    Auto-created on installation

    Let me know if you want my config backup file.

    Barry