Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 2 subscribers
  • Views 5200 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Need advice -- moving from non-VLAN to VLAN environment

dmitripr
Hi all,

Need advice from the experts on the forums here.

So far I've had a pretty simple home network:  

cable modem  UTM  unmanaged switch  EAP600 AP, other wired devices (e.g. Synology, etc.)


I've bought a manged switch (Cisco SG200-26) and would like to setup 2 VLANs: (1) internal home network; (2) guest network to be accessible through guest SSID on my WiFi AP with station separation. 

Pretty self-explanatory: internal network will basically remain as it is today, I'm just adding a guest VLAN that will have access to internet only (maybe through transparent proxy or not, haven't decided yet). I would also like to throttle the traffic across the guest VLAN (should I do it on the UTM or the switch?). 

How would I go about moving from my current 2 physical interfaces (WAN, internal) on the UTM to 1 physical for the WAN and 2 internal logical interfaces of VLANs? Can someone maybe help with a basic step by step process that will yield the least downtime? Screenshots would be great, but not required, I can follow just bullet points. 

I understand conceptually how to do this, but would love to hear any best practices (e.g. setup switch first or UTM? does it matter?, etc.). 

Thanks!
D


This thread was automatically locked due to age.
  • 0
    Hi,

    You'll need to setup a management NIC, OR connect a laptop or PC to the WAN port (static addressing will be needed).

    Then, delete the internal interface, and create it again as type VLAN, and create 2 VLAN interfaces.

    I'd setup the switch first.
    I posted a guide about my Netgear switch at 
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/53/t/32409

    Barry
  • 0 in reply to BarryG
    Hi,

    You'll need to setup a management NIC, OR connect a laptop or PC to the WAN port (static addressing will be needed).

    Then, delete the internal interface, and create it again as type VLAN, and create 2 VLAN interfaces.

    I'd setup the switch first.
    I posted a guide about my Netgear switch at 
    https://www.astaro.org/gateway-products/management-networking-logging-reporting/25335-netgear-vlan-switch-config-guide.html

    Barry


    Thanks Barry!


    Follow up question: if I don't delete the internal interface, will that screw anything up? If I just create 2 VLANs in addition to existing internal interference currently present. Once the 2 VLANs created and everything rerouted,  I will delete the internal. Possible? 

    Thanks!
  • 0
    Barry, I was just about to say that you can't have a Standard Ethernet interface and a VLAN interface defined on the same NIC, but didn't they recently add that capability? ( I haven't tested it though.)

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Bob,

    It's present in 9.3xx but I've not tested it yet.
  • 0
    So, if the feature has been added, theoretically I should be able to create 2 VLANs while leaving the existing internal interface as is.

    Is there a way to do a mass-change on the UTM for all the rules? Sort of like "replace-all" for each rule instance where current internal interface is used with the new "internal VLAN", to preserve the settings as they are today, just re-point everything to the new internal VLAN. 

    Thanks!
  • 0
    Sort of like "replace-all" for each rule instance where current internal interface is used 
      Unfortunately not.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    So, I went ahead and 
    * created "guest" VLAN interface on UTM (VID:99) with 192.168.99.1 IP, while keeping the current "Internal" physical interface up. 
    * I tagged the UTM port and the Access Point ports on my switch with VID 99. 
    * Created DHCP server for the "guest" interface to give out addresses in the 192.168.99.0/24 space. 
    * Created the guest WiFi network on my AP with VID 99. 
    * Created the appropriate firewall rules to block access to Internal network, and allow access to internet resources for the guest LAN
    * Added Masquerade rule from guest network to External WAN

    The problem I run into now is that the client connected to the guest WiFi is still served the Internal interface IP address from the 192.168.1.0/24 space, not the 99.0/24. ??? And of course checking out the firewall logs shows a lot of "Spoofed packets" and thus blocks it. No access to anything at all. 

    If I manually set the IP of the client connected to guest WiFi to the correct address space in 99.0/24, then everything works fine: I get internet access, but can't access any internal resources. 

    So, the overall setup works OK, but the problem is the DHCP server. It seem that the DHCP request hits the "internal" physical DHCP server first (it disregards the VLAN tag) and services the internal address, never gets to the "guest DHCP server". Is there a way to fix that (without deleting the Internal physical interface)?

    Thanks!
  • 0
    Dmitri, it sounds like you have a misconfiguration in the switch, client or the WiFi access point - otherwise, why would a DHCP request arrive at the NIC without a VLAN 99 tag?  Have you tried a packet capture to see if the tag is present?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Seems that it was an issue with a device. I've been testing it with by Blackberry Z10 previously. Today I tested it with 2 other wifi devices and it worked flawlessly. Got the correct 99.0/24 address. 

    Tested again with BB and same problem, for whatever reason it gets the internal 1.0/24 address on the guest wifi. Don't know why. I even removed the static dhcp address for that MAC, still doesn't help. 

    So, the issue was with the device, not UTM nor switch, nor AP. I'm not sure how to troubleshoot this though. 

    But I can confirm that you can in fact have an additional VLAN interface on the existing physical interface, simultaneously. 

    Thanks!
  • 0 in reply to dmitripr

    If I manually set the IP of the client connected to guest WiFi to the correct address space in 99.0/24, then everything works fine: I get internet access, but can't access any internal resources. 

    So, the overall setup works OK, but the problem is the DHCP server. It seem that the DHCP request hits the "internal" physical DHCP server first (it disregards the VLAN tag) and services the internal address, never gets to the "guest DHCP server". Is there a way to fix that (without deleting the Internal physical interface)?


    I was recently struggling with the same issue.

    Even though the DHCP request from the guest network comes in properly tagged, the UTM DHCP server issues an address from the primary native network pool.

    I didn't save the packet capture.  However, I seem to recall that an address is actually issued from both pools.  Which ever one the connected device binds to is random (it gets 2 responses).  That may be why you were seeing some devices succeeding and others failing.  It's just random.

    The behavior may be different if both are tagged VLANs,  but I didn't want to deal with making that change and just put the guest network on an available physical interface.
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?