Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 7875 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

bridge vlan with lan

cgriffin
I testing out Sophos on an old machine before I make a decision on what new hardware to buy and I've run into what seems like a chicken and the egg problem.

I have my WAN on eth0, LAN on eth1, and a wireless access point that does VLANs on eth2.  The AP has two wireless networks, one trusted (vlan 10) and one gues (vlan 20).  Everything is currently working across all the interfaces and networks, e.g. dhcp, dns, routing etc.

I'd like to bridge the trusted vlan on eth2 with the lan on eth1.  I have read this thread:

https://community.sophos.com/products/unified-threat-management/astaroorg/f/53/t/34264

I've also read the help documentation on the bridge page of the UTM gui but I can't figure out how to bridge these two interfaces.  When I start to make a bridge, the gui tells me that I have to select unused interfaces.  Okay, since, the current setup is using all the interfaces I guess I would have to first destroy the lan interface on eth1 and the vlan 10 interface on eth2 but if I do that, then I guess I'd also have to destroy the vlan 20 which is also on eth2 in order to make eth2 unused.  That part makes sense so far.

I assume if I do that then I can make the bridge, right?  But then how would I go back and re-add the vlan 20 which is also on eth2?  It seems like once I make the bridge with the unused eth1 and the unused eth2, then I couldn't add another vlan on eth2.

Does my question make sense?  I feel like I'm missing a simple piece of the puzzle so any help would be appreciated.  Thanks! :-)


This thread was automatically locked due to age.
  • 0
    This is simple using Sophos Access Points with Sophos Wireless Protection.  Your only choice with your existing non-Sophos APs is to get rid of eth1 and put your LAN on eth2 VLAN 10.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi Bob,

    Are you saying a VLAN interface cannot be bridged with a non-VLAN interface in the UTM? (ignoring AP issues)

    Barry
  • 0
    Hi cgriffin,

    The approach I took at home for one build was similar to what Bob suggested. I got my hands on a VLAN capable smart switch and hung that between the VLAN interface and WiFI AP (also VLAN capable). It gave me the option of joining specific ports on the switch to either the trusted or untrusted (guest) networks.
  • 0
    Thanks, everyone, for the replies.  I'm still a bit confused, though.  If I add a vlan-capable managed switch, it still seems like the same problem.  I guess what it boils down is this:  if I added the switch to, for example, eth2 and then selected eth1 (lan) and eth2 (trusted wireless vlan10) for the bridge, is eth2 still 'available' for a new interface, e.g. the untrusted wireless  vlan20?

    Or, to put it more generically, if a bridge is created using two interfaces, one of which is going to carry a vlan, is that same interface still available for a second vlan interface that is not part of the bridge?

    Thanks!
  • 0
    I think at the end of the day you can't bridge a standard ethernet interface and a VLAN interface together. The solution of using a vlan switch gives you the functional equivalent of bridging but is even simpler, and more flexible then a bridge in the UTM.
  • 0 in reply to TheDrew
    Andrew, thanks.

    That's a bummer, though.  Since I have a single AP device that will do VLAN tagging and supports up to 5 separate SSID's (the TP-Link  TL-WA901ND) I hoped I would be able to get this to work in Sophos since I'm able to do it in pfsense.  In pfsense, I could create however many vlan interfaces I wanted  attached to a specific NIC, and then bridge one of them with the LAN interface on a different NIC and keep the others separate.

    But thank you again for your reply!
  • 0
    I'd like to ask a follow up question on smart switches because the more I re-think Bob and Andrew's replies, the more I think I probably should go that route but I've never used a smart switch before.

    Anyway, that TP-Link AP I referenced can do vlan tagging with multiple SSID's but there is only one ethernet port on the device. If I connect it to one of the ports on a smart switch, can I tell the smart switch that the port the AP is connected to will have two vlan's on it?  I'd be passing two vlan tags from the AP to the smart switch and then to the Sophos I guess.

    I guess the other half of the equation is that then I'd have one ethernet cable from the smart switch to the Sophos and on the Sophos, I would stick with ethernet-vlan interfaces, not regular ethernet.  I'd have to carry the vlan tags all the way to the sophos in other words.

    Thanks, everyone, for their replies and assistance!
  • 0
    VLAN works by adding a tag onto each Ethernet frame being passed out the interface so it's quite common for multiple VLAN's to be passed across one wire. The terminology for this in switches varies from vendor to vendor but is often referred to as a trunk mode.

    In the switch itself, you would configure the ports attached to the WiFI AP & UTM to trunk mode and specify which VLAN tags are accepted on those ports. If you later also want to add wired clients to those two tagged VLANs, you can setup the other ports in an access or untagged mode. In that case you specify which VLAN the port belongs to and the switch will add the tag in for you.
  • 0 in reply to TheDrew
    Got it, thanks, Andrew!
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?