Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 2 subscribers
  • Views 5189 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Need advice -- moving from non-VLAN to VLAN environment

dmitripr
Hi all,

Need advice from the experts on the forums here.

So far I've had a pretty simple home network:  

cable modem  UTM  unmanaged switch  EAP600 AP, other wired devices (e.g. Synology, etc.)


I've bought a manged switch (Cisco SG200-26) and would like to setup 2 VLANs: (1) internal home network; (2) guest network to be accessible through guest SSID on my WiFi AP with station separation. 

Pretty self-explanatory: internal network will basically remain as it is today, I'm just adding a guest VLAN that will have access to internet only (maybe through transparent proxy or not, haven't decided yet). I would also like to throttle the traffic across the guest VLAN (should I do it on the UTM or the switch?). 

How would I go about moving from my current 2 physical interfaces (WAN, internal) on the UTM to 1 physical for the WAN and 2 internal logical interfaces of VLANs? Can someone maybe help with a basic step by step process that will yield the least downtime? Screenshots would be great, but not required, I can follow just bullet points. 

I understand conceptually how to do this, but would love to hear any best practices (e.g. setup switch first or UTM? does it matter?, etc.). 

Thanks!
D


This thread was automatically locked due to age.
Parents
  • 0
    So, I went ahead and 
    * created "guest" VLAN interface on UTM (VID:99) with 192.168.99.1 IP, while keeping the current "Internal" physical interface up. 
    * I tagged the UTM port and the Access Point ports on my switch with VID 99. 
    * Created DHCP server for the "guest" interface to give out addresses in the 192.168.99.0/24 space. 
    * Created the guest WiFi network on my AP with VID 99. 
    * Created the appropriate firewall rules to block access to Internal network, and allow access to internet resources for the guest LAN
    * Added Masquerade rule from guest network to External WAN

    The problem I run into now is that the client connected to the guest WiFi is still served the Internal interface IP address from the 192.168.1.0/24 space, not the 99.0/24. ??? And of course checking out the firewall logs shows a lot of "Spoofed packets" and thus blocks it. No access to anything at all. 

    If I manually set the IP of the client connected to guest WiFi to the correct address space in 99.0/24, then everything works fine: I get internet access, but can't access any internal resources. 

    So, the overall setup works OK, but the problem is the DHCP server. It seem that the DHCP request hits the "internal" physical DHCP server first (it disregards the VLAN tag) and services the internal address, never gets to the "guest DHCP server". Is there a way to fix that (without deleting the Internal physical interface)?

    Thanks!
Reply
  • 0
    So, I went ahead and 
    * created "guest" VLAN interface on UTM (VID:99) with 192.168.99.1 IP, while keeping the current "Internal" physical interface up. 
    * I tagged the UTM port and the Access Point ports on my switch with VID 99. 
    * Created DHCP server for the "guest" interface to give out addresses in the 192.168.99.0/24 space. 
    * Created the guest WiFi network on my AP with VID 99. 
    * Created the appropriate firewall rules to block access to Internal network, and allow access to internet resources for the guest LAN
    * Added Masquerade rule from guest network to External WAN

    The problem I run into now is that the client connected to the guest WiFi is still served the Internal interface IP address from the 192.168.1.0/24 space, not the 99.0/24. ??? And of course checking out the firewall logs shows a lot of "Spoofed packets" and thus blocks it. No access to anything at all. 

    If I manually set the IP of the client connected to guest WiFi to the correct address space in 99.0/24, then everything works fine: I get internet access, but can't access any internal resources. 

    So, the overall setup works OK, but the problem is the DHCP server. It seem that the DHCP request hits the "internal" physical DHCP server first (it disregards the VLAN tag) and services the internal address, never gets to the "guest DHCP server". Is there a way to fix that (without deleting the Internal physical interface)?

    Thanks!
Children
  • 0 in reply to dmitripr

    If I manually set the IP of the client connected to guest WiFi to the correct address space in 99.0/24, then everything works fine: I get internet access, but can't access any internal resources. 

    So, the overall setup works OK, but the problem is the DHCP server. It seem that the DHCP request hits the "internal" physical DHCP server first (it disregards the VLAN tag) and services the internal address, never gets to the "guest DHCP server". Is there a way to fix that (without deleting the Internal physical interface)?


    I was recently struggling with the same issue.

    Even though the DHCP request from the guest network comes in properly tagged, the UTM DHCP server issues an address from the primary native network pool.

    I didn't save the packet capture.  However, I seem to recall that an address is actually issued from both pools.  Which ever one the connected device binds to is random (it gets 2 responses).  That may be why you were seeing some devices succeeding and others failing.  It's just random.

    The behavior may be different if both are tagged VLANs,  but I didn't want to deal with making that change and just put the guest network on an available physical interface.
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?