Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 1474 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASG 525: Creating VLAN access port with bridge?

LadiesMan217
I'm helping out a friend who is trying to configure their out-of-support ASG 525 for a school district. They are only using the essential firewall features running 9.3. After several hours, nay days, of trying to figure this out I'm now turning to the community for help. I hope someone can. [:)]

They ran out of ports on their managed switch and will not have budget for another one for while. There are a bunch of free ports on the ASG 525 and what we want to do is turn these into access ports for the VLANs. It's not exactly supported by the GUI, but it should be possible at the command line. At least one would think, given basic linux commands.

So far we have this:
br0 -> eth6 eth0.2

We had to add eth0.2 to br0 at the command line since the GUI does not allow it as a choice.

From all the reading I've done, that should do it. Egress frames from eth0.2 should have their tag stripped, while ingress frames should have a tag added. However, we can't seem to get DHCP (bound to eth0.2) on the bridge, or even arping the eth0.2 interface from the eth6 interface.

What I *suspect* is happening, is that the frames are crossing the boundary, but only appearing on the physical port egress, and not visible to the kernel for internal routing. I have not yet confirmed this, as It's going to take a bit of work to test that theory.

The problem at this point, is I'm not sure if:

  • We're just plain setting up the bridge wrong for this.
  • There's something special about bridging on the ASG. (There's a bunch of poorly documented bridge settings I've seen out there and maybe something is configured that prevents what we are trying to do.)


Any advice is greatly appreciated. Thanks!


This thread was automatically locked due to age.
Parents
  • 0
    I have yet to find a solution for this. But I did find another issue that may be related.

    Has anyone had issues with VLAN trunking on 9.3? It seems (for example) that if I setup eth0.2 I can't receive tagged VLAN frames on that port. If I do an ARP ping (from eth0.2), via a separate packet sniffer I can see the request and reply on VLAN 2 on the network. 

    However, the ARP reply does not seem to make it back into the networking stack of the UTM. Using tcpdump on the UTM, I don't see the reply come in. If I do an arping from eth0, it works as expected.

    I ask if anyone has had trouble with 9.3 because I know they made some changes to VLAN setup. I have 9.2 running at home with a trunked port and I'm not having any issues.

    Thanks.
Reply
  • 0
    I have yet to find a solution for this. But I did find another issue that may be related.

    Has anyone had issues with VLAN trunking on 9.3? It seems (for example) that if I setup eth0.2 I can't receive tagged VLAN frames on that port. If I do an ARP ping (from eth0.2), via a separate packet sniffer I can see the request and reply on VLAN 2 on the network. 

    However, the ARP reply does not seem to make it back into the networking stack of the UTM. Using tcpdump on the UTM, I don't see the reply come in. If I do an arping from eth0, it works as expected.

    I ask if anyone has had trouble with 9.3 because I know they made some changes to VLAN setup. I have 9.2 running at home with a trunked port and I'm not having any issues.

    Thanks.
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?