VLAN interface

NEVER MIND!!!

My issue was not with Astaro, but rather how I had my Cisco configured.  For those attempting this 802.1q VLAN trunk from an Astaro to a Cisco switch, here is the short and sweet on how it works and what you have to do.

Basically, the following link from Cisco describes my mistaken assumption.  (Beware the line wrap on this link!)

http://www.cisco.com/en/US/tech/tk389/tk390/technologies_configuration_example09186a0080094784.shtml

Essentially, I had converted my physical ETH1 to be a VLAN interface and moved it's same IP address/netmask/gw over to the new VLAN interface.  Then, I created a new VLAN interface also hosted on the physical ETH1 interface.  I added the appropriate new IP/Netmak to that but could not get to anything on this new segment.

My original Cisco switchport had the following configuration:
interface FastEthernet0/23 
  description VLAN trunk to Astaro
  duplex full 
  speed 100 
  switchport trunk encapsulation dot1q 
  switchport trunk native vlan 16 
  switchport trunk allowed vlan 1,14,16,1002-1005 
  switchport mode trunk 

My original ETH1 IP address was in the subnet that is hosted by the VLAN 14.  So, that IP address is now on the interface symbolically called ETH1, but the Astaro box sees it on the hardware called Eth1.14 (Vlan 14).  The new interface is an IP address appropriate for my new VLAN 16.  It is bound to the Eth1.16 hardware interface, although it is symbolically represented as DMZ_VLAN16 in the Astaro config.

So, with this new configuration, nothing worked to the VLAN 16 machines, but everything that was previously hosted by a physical interface that was just an access link in my VLAN 14 was now working fine through the new VLAN interface on Astaro which is fed by a 802.1q trunk link now.  Having tried everything, including enabling ICMP/Trace to, from, and through my Astaro box, I was still unable to move any traffic to/from anything on VLAN 16 IF it had to pass through the firewall.  IP traffic worked just fine between multiple devices on VLAN16, but they were essentially confined to that subnet as the firewall could not pass their traffic.

In my experience, most of the more challenging problems in networking have always happened where Layer 2 was misconfigured or had failures.  So, I turned to the Cisco website to search on 802.1q VLANs and how they are trunked.  The link above basically explains that, in 802.1q, frames to/from the "native" VLAN on a trunk moves from device to device without being tagged with VLAN information, whereas all other VLANs traversing that trunk will be tagged with a header that alerts the receving switch as to which VLAN a frame is a part of.  This initial header speeds up switching as the switch doesn't have to look into the packet as with other trunking protocols, rather it just strips that header off and sends it through the switch fabric to the destination device.  So, in my case, I had set the native VLAN on my trunk from Cisco switch to Astaro firewall as one of the VLANs that I wanted to route on the firewall.  The easy answer was to change the native VLAN of the trunk on the Cisco back to the default, VLAN 1.  Since, I'm not binding any interfaces on the Astaro to anything in VLAN 1, it's no problem and all traffic from anything in VLANs 14 and 16 will show up at the Astaro box already tagged, so the Astaro will simply strip the tags and handle the then-Ethernet frame appropriately.

That change on the Cisco was something like this:
switch#conf t 
 Enter configuration commands, one per line.  End with CNTL/Z. 
 switch(config)#int fa0/23 
 switch(config-if)#no switchport trunk native vlan 16
 switch(config-if)#switchport trunk native vlan 1 
 switch(config-if)#^Z 

This left me with the following on the Cisco:
interface FastEthernet0/23 
  description VLAN trunk to Astaro
  duplex full 
  speed 100 
  switchport trunk encapsulation dot1q 
  switchport trunk allowed vlan 1,14,16,1002-1005 
  switchport mode trunk 
NOTE: Since vlan 1 is the default native vlan, it does not show up in the Cisco configuration block for the trunked interface!

With that said, I did not make a single change to the way I originally confgured the Astaro firewall to work with 802.1q VLANs.

I hope this experience helps someone else who may be inclined to apply a VLAN trunk to their situation!

On another note, I figure if I keep making these big mistakes and publicly admitting to/explaining it, the Astaro Admins are likely to hook me up with the Power User license. [;)]

Rob Fegley
TGI Micro
http://www.tgimicro.com   

NEVER MIND!!!

My issue was not with Astaro, but rather how I had my Cisco configured.  For those attempting this 802.1q VLAN trunk from an Astaro to a Cisco switch, here is the short and sweet on how it works and what you have to do.

Basically, the following link from Cisco describes my mistaken assumption.  (Beware the line wrap on this link!)

http://www.cisco.com/en/US/tech/tk389/tk390/technologies_configuration_example09186a0080094784.shtml

Essentially, I had converted my physical ETH1 to be a VLAN interface and moved it's same IP address/netmask/gw over to the new VLAN interface.  Then, I created a new VLAN interface also hosted on the physical ETH1 interface.  I added the appropriate new IP/Netmak to that but could not get to anything on this new segment.

My original Cisco switchport had the following configuration:
interface FastEthernet0/23 
  description VLAN trunk to Astaro
  duplex full 
  speed 100 
  switchport trunk encapsulation dot1q 
  switchport trunk native vlan 16 
  switchport trunk allowed vlan 1,14,16,1002-1005 
  switchport mode trunk 

My original ETH1 IP address was in the subnet that is hosted by the VLAN 14.  So, that IP address is now on the interface symbolically called ETH1, but the Astaro box sees it on the hardware called Eth1.14 (Vlan 14).  The new interface is an IP address appropriate for my new VLAN 16.  It is bound to the Eth1.16 hardware interface, although it is symbolically represented as DMZ_VLAN16 in the Astaro config.

So, with this new configuration, nothing worked to the VLAN 16 machines, but everything that was previously hosted by a physical interface that was just an access link in my VLAN 14 was now working fine through the new VLAN interface on Astaro which is fed by a 802.1q trunk link now.  Having tried everything, including enabling ICMP/Trace to, from, and through my Astaro box, I was still unable to move any traffic to/from anything on VLAN 16 IF it had to pass through the firewall.  IP traffic worked just fine between multiple devices on VLAN16, but they were essentially confined to that subnet as the firewall could not pass their traffic.

In my experience, most of the more challenging problems in networking have always happened where Layer 2 was misconfigured or had failures.  So, I turned to the Cisco website to search on 802.1q VLANs and how they are trunked.  The link above basically explains that, in 802.1q, frames to/from the "native" VLAN on a trunk moves from device to device without being tagged with VLAN information, whereas all other VLANs traversing that trunk will be tagged with a header that alerts the receving switch as to which VLAN a frame is a part of.  This initial header speeds up switching as the switch doesn't have to look into the packet as with other trunking protocols, rather it just strips that header off and sends it through the switch fabric to the destination device.  So, in my case, I had set the native VLAN on my trunk from Cisco switch to Astaro firewall as one of the VLANs that I wanted to route on the firewall.  The easy answer was to change the native VLAN of the trunk on the Cisco back to the default, VLAN 1.  Since, I'm not binding any interfaces on the Astaro to anything in VLAN 1, it's no problem and all traffic from anything in VLANs 14 and 16 will show up at the Astaro box already tagged, so the Astaro will simply strip the tags and handle the then-Ethernet frame appropriately.

That change on the Cisco was something like this:
switch#conf t 
 Enter configuration commands, one per line.  End with CNTL/Z. 
 switch(config)#int fa0/23 
 switch(config-if)#no switchport trunk native vlan 16
 switch(config-if)#switchport trunk native vlan 1 
 switch(config-if)#^Z 

This left me with the following on the Cisco:
interface FastEthernet0/23 
  description VLAN trunk to Astaro
  duplex full 
  speed 100 
  switchport trunk encapsulation dot1q 
  switchport trunk allowed vlan 1,14,16,1002-1005 
  switchport mode trunk 
NOTE: Since vlan 1 is the default native vlan, it does not show up in the Cisco configuration block for the trunked interface!

With that said, I did not make a single change to the way I originally confgured the Astaro firewall to work with 802.1q VLANs.

I hope this experience helps someone else who may be inclined to apply a VLAN trunk to their situation!

On another note, I figure if I keep making these big mistakes and publicly admitting to/explaining it, the Astaro Admins are likely to hook me up with the Power User license. [;)]

Rob Fegley
TGI Micro
http://www.tgimicro.com