Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 45 replies
  • Subscribers 2 subscribers
  • Views 39421 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Configuring a VLAN across eth0, eth2 and eth3.

bloudraak_01
Hello,

I have a Sophos UTM 110 with devices connected to eth0, eth2 and eth3. The devices are configured to use VLAN 13. I found that I had to bridge eth0, eth2 and eth3 in order to allow the devices connected to those interfaces communicate using VLAN 13. 

Note that the devices are hypervisors (ESXi) and virtual machines running inside of them will be communicating on a different VLAN. This allows me to use the ESXi servers for a security testing without worrying that the malicious software can undermine my ESXi hosts, or other virtual machines hosting web sites etc.

So here's the steps I took:

[LIST=1]
  •  Got the Sophos UTM 110 device (aka router)
  •  Configured public IPv4 address and verified I can connect to WebAdmin over eth1. 
  •  Bridged eth0, eth2 and eth3
  •  Configured a VLAN 13 on br0, named Orion (aka the Constellation)
  •  Configured L2TP VPN 
  •  Added firewall rule to allow all traffic from VPN Pool (L2TP) to the Orion Network (aka VLAN 13)
  •  Defined a DHCP server for the Orion Network (aka VLAN 13)
  •  Connected servers to router configured to use DHCP and VLAN 13.
  •  Servers reporting DHCP errors, sometimes getting an IP, but often reporting issues.
  •  Configured server to use static IP addresses 172.16.13.2, 172.16.13.3 and 172.16.13.4. 
  •  Verify connection works by pining each server from router. This was done in parallel. Everything seemed ok.
  •  At home configure L2TP VPN on OS X 10.8.3.
  •  Connect to Sophos UTM 110 using VPN on OS X from home.
  •  Connect to servers over VPN from home.  Intermittent issues; connection timeouts and disconnected when working on multiple machines at the same time.
  •  Open three terminal windows in OS X 10.8.3 and ping 172.16.13.2, 172.16.13.3 and 172.16.13.4 in parallel.  Seems I can only ping to one device at a time, the other time out [Request timeout for icmp_seq 739]. Leaving it running for a while indicates that if ping works for one server, it fails for the other two. Every now and then, ping will start working for another server and then timeout on the one where it worked.
  • SSH into each server (problematic due to intermitted disconnects)
  • From within the SSH session, ping another server. Ping fails.
  • From within the SSH session, ping router. Ping succeeds.
[/LIST]

At this stage, no traffic to the internet is permitted, so I didn't even bother to ping Google or another external site.  

Questions:
[LIST=1]
  • Is creating a bridge to support a VLAN across eth0, eth2 and eth3 the right way to do this?  It would have been easier if I could just specify the "Orion Network" to be spanning eth0, eth2 and eth3 like some other routers. But it doesn't seem to be possible using Sophos UTM.
  • If creating a bridge is the right way to achieve this, is there something I'm missing configuration wise that prevents all three devices from being accessed at the same time (aka ping all 3 without time outs)
  • If creating a bridge isn't the right way to achieve this, then how does one support a VLAN across multiple interfaces?
[/LIST]

I know that usually one will connect another switch to eth0 which takes care of the VLAN, but at this stage I do not have enough space at the data centre to add another switch. In essence, I was hoping the Sophos UTM would be sufficient. 

Sincerely,
Werner


This thread was automatically locked due to age.
Parents
  • 0
    Here's the TCPDUMP on br0.13

    13:34:19.044669 IP 10.242.3.2 > 172.16.13.3: ICMP echo request, id 62756, seq 30, length 64
    13:34:19.283073 IP 10.242.3.2 > 172.16.13.4: ICMP echo request, id 63012, seq 19, length 64
    13:34:19.448682 IP 10.242.3.2 > 172.16.13.2: ICMP echo request, id 62500, seq 35, length 64
    13:34:19.448943 IP 172.16.13.2 > 10.242.3.2: ICMP echo reply, id 62500, seq 35, length 64
    13:34:20.046174 IP 10.242.3.2 > 172.16.13.3: ICMP echo request, id 62756, seq 31, length 64
    13:34:20.284790 IP 10.242.3.2 > 172.16.13.4: ICMP echo request, id 63012, seq 20, length 64
    13:34:20.449582 IP 10.242.3.2 > 172.16.13.2: ICMP echo request, id 62500, seq 36, length 64
    13:34:20.449846 IP 172.16.13.2 > 10.242.3.2: ICMP echo reply, id 62500, seq 36, length 64
    13:34:21.047116 IP 10.242.3.2 > 172.16.13.3: ICMP echo request, id 62756, seq 32, length 64
    13:34:21.286383 IP 10.242.3.2 > 172.16.13.4: ICMP echo request, id 63012, seq 21, length 64
    13:34:21.450339 IP 10.242.3.2 > 172.16.13.2: ICMP echo request, id 62500, seq 37, length 64
    13:34:21.450579 IP 172.16.13.2 > 10.242.3.2: ICMP echo reply, id 62500, seq 37, length 64
    13:34:22.047927 IP 10.242.3.2 > 172.16.13.3: ICMP echo request, id 62756, seq 33, length 64
    13:34:22.285527 IP 10.242.3.2 > 172.16.13.4: ICMP echo request, id 63012, seq 22, length 64
    13:34:22.451230 IP 10.242.3.2 > 172.16.13.2: ICMP echo request, id 62500, seq 38, length 64
    13:34:22.451468 IP 172.16.13.2 > 10.242.3.2: ICMP echo reply, id 62500, seq 38, length 64
    13:34:23.050363 IP 10.242.3.2 > 172.16.13.3: ICMP echo request, id 62756, seq 34, length 64
    13:34:23.287838 IP 10.242.3.2 > 172.16.13.4: ICMP echo request, id 63012, seq 23, length 64
    13:34:23.450951 IP 10.242.3.2 > 172.16.13.2: ICMP echo request, id 62500, seq 39, length 64
    13:34:23.451200 IP 172.16.13.2 > 10.242.3.2: ICMP echo reply, id 62500, seq 39, length 64
    13:34:24.051084 IP 10.242.3.2 > 172.16.13.3: ICMP echo request, id 62756, seq 35, length 64
    13:34:24.288708 IP 10.242.3.2 > 172.16.13.4: ICMP echo request, id 63012, seq 24, length 64
    13:34:24.451898 IP 10.242.3.2 > 172.16.13.2: ICMP echo request, id 62500, seq 40, length 64
    13:34:24.452138 IP 172.16.13.2 > 10.242.3.2: ICMP echo reply, id 62500, seq 40, length 64
    13:34:25.052000 IP 10.242.3.2 > 172.16.13.3: ICMP echo request, id 62756, seq 36, length 64
    13:34:25.287976 IP 10.242.3.2 > 172.16.13.4: ICMP echo request, id 63012, seq 25, length 64
    13:34:25.453522 IP 10.242.3.2 > 172.16.13.2: ICMP echo request, id 62500, seq 41, length 64
    13:34:25.453762 IP 172.16.13.2 > 10.242.3.2: ICMP echo reply, id 62500, seq 41, length 64
    13:34:26.053551 IP 10.242.3.2 > 172.16.13.3: ICMP echo request, id 62756, seq 37, length 64
    13:34:26.290354 IP 10.242.3.2 > 172.16.13.4: ICMP echo request, id 63012, seq 26, length 64
    13:34:26.454363 IP 10.242.3.2 > 172.16.13.2: ICMP echo request, id 62500, seq 42, length 64
    13:34:26.454598 IP 172.16.13.2 > 10.242.3.2: ICMP echo reply, id 62500, seq 42, length 64
    13:34:27.054502 IP 10.242.3.2 > 172.16.13.3: ICMP echo request, id 62756, seq 38, length 64
    13:34:27.292929 IP 10.242.3.2 > 172.16.13.4: ICMP echo request, id 63012, seq 27, length 64
    13:34:27.456707 IP 10.242.3.2 > 172.16.13.2: ICMP echo request, id 62500, seq 43, length 64
    13:34:27.456941 IP 172.16.13.2 > 10.242.3.2: ICMP echo reply, id 62500, seq 43, length 64
    13:34:28.054427 IP 10.242.3.2 > 172.16.13.3: ICMP echo request, id 62756, seq 39, length 64
    13:34:28.292895 IP 10.242.3.2 > 172.16.13.4: ICMP echo request, id 63012, seq 28, length 64
    13:34:28.457560 IP 10.242.3.2 > 172.16.13.2: ICMP echo request, id 62500, seq 44, length 64
    13:34:28.457860 IP 172.16.13.2 > 10.242.3.2: ICMP echo reply, id 62500, seq 44, length 64
    13:34:29.055634 arp who-has 172.16.13.3 tell vpn
    13:34:29.056111 IP 10.242.3.2 > 172.16.13.3: ICMP echo request, id 62756, seq 40, length 64
    13:34:29.293720 IP 10.242.3.2 > 172.16.13.4: ICMP echo request, id 63012, seq 29, length 64
    13:34:29.459277 IP 10.242.3.2 > 172.16.13.2: ICMP echo request, id 62500, seq 45, length 64
    13:34:29.459518 IP 172.16.13.2 > 10.242.3.2: ICMP echo reply, id 62500, seq 45, length 64
    13:34:30.055643 arp who-has 172.16.13.3 tell vpn
    13:34:30.073668 IP 10.242.3.2 > 172.16.13.3: ICMP echo request, id 62756, seq 41, length 64
    13:34:30.293662 IP 10.242.3.2 > 172.16.13.4: ICMP echo request, id 63012, seq 30, length 64
    13:34:30.460130 IP 10.242.3.2 > 172.16.13.2: ICMP echo request, id 62500, seq 46, length 64
    13:34:30.460410 IP 172.16.13.2 > 10.242.3.2: ICMP echo reply, id 62500, seq 46, length 64
    13:34:31.055634 arp who-has 172.16.13.3 tell vpn
    13:34:31.088164 IP 10.242.3.2 > 172.16.13.3: ICMP echo request, id 62756, seq 42, length 64
    13:34:31.295300 IP 10.242.3.2 > 172.16.13.4: ICMP echo request, id 63012, seq 31, length 64
    13:34:31.462477 IP 10.242.3.2 > 172.16.13.2: ICMP echo request, id 62500, seq 47, length 64
    13:34:31.462728 IP 172.16.13.2 > 10.242.3.2: ICMP echo reply, id 62500, seq 47, length 64
    13:34:32.058615 arp who-has 172.16.13.3 tell vpn
    13:34:32.058892 arp reply 172.16.13.3 is-at a8:20:66:31:f8:30 (oui Unknown)
    13:34:32.058917 IP 10.242.3.2 > 172.16.13.3: ICMP echo request, id 62756, seq 43, length 64
    13:34:32.059220 IP 172.16.13.3 > 10.242.3.2: ICMP echo reply, id 62756, seq 43, length 64
    13:34:32.297753 IP 10.242.3.2 > 172.16.13.4: ICMP echo request, id 63012, seq 32, length 64
    13:34:32.460893 IP 10.242.3.2 > 172.16.13.2: ICMP echo request, id 62500, seq 48, length 64
    13:34:33.060883 IP 10.242.3.2 > 172.16.13.3: ICMP echo request, id 62756, seq 44, length 64
    13:34:33.061145 IP 172.16.13.3 > 10.242.3.2: ICMP echo reply, id 62756, seq 44, length 64
    13:34:33.298595 IP 10.242.3.2 > 172.16.13.4: ICMP echo request, id 63012, seq 33, length 64
    13:34:33.461764 IP 10.242.3.2 > 172.16.13.2: ICMP echo request, id 62500, seq 49, length 64
    13:34:34.061806 IP 10.242.3.2 > 172.16.13.3: ICMP echo request, id 62756, seq 45, length 64
    13:34:34.062048 IP 172.16.13.3 > 10.242.3.2: ICMP echo reply, id 62756, seq 45, length 64
    13:34:34.297740 IP 10.242.3.2 > 172.16.13.4: ICMP echo request, id 63012, seq 34, length 64
    13:34:34.463317 IP 10.242.3.2 > 172.16.13.2: ICMP echo request, id 62500, seq 50, length 64
Reply
  • 0
    Here's the TCPDUMP on br0.13

    13:34:19.044669 IP 10.242.3.2 > 172.16.13.3: ICMP echo request, id 62756, seq 30, length 64
    13:34:19.283073 IP 10.242.3.2 > 172.16.13.4: ICMP echo request, id 63012, seq 19, length 64
    13:34:19.448682 IP 10.242.3.2 > 172.16.13.2: ICMP echo request, id 62500, seq 35, length 64
    13:34:19.448943 IP 172.16.13.2 > 10.242.3.2: ICMP echo reply, id 62500, seq 35, length 64
    13:34:20.046174 IP 10.242.3.2 > 172.16.13.3: ICMP echo request, id 62756, seq 31, length 64
    13:34:20.284790 IP 10.242.3.2 > 172.16.13.4: ICMP echo request, id 63012, seq 20, length 64
    13:34:20.449582 IP 10.242.3.2 > 172.16.13.2: ICMP echo request, id 62500, seq 36, length 64
    13:34:20.449846 IP 172.16.13.2 > 10.242.3.2: ICMP echo reply, id 62500, seq 36, length 64
    13:34:21.047116 IP 10.242.3.2 > 172.16.13.3: ICMP echo request, id 62756, seq 32, length 64
    13:34:21.286383 IP 10.242.3.2 > 172.16.13.4: ICMP echo request, id 63012, seq 21, length 64
    13:34:21.450339 IP 10.242.3.2 > 172.16.13.2: ICMP echo request, id 62500, seq 37, length 64
    13:34:21.450579 IP 172.16.13.2 > 10.242.3.2: ICMP echo reply, id 62500, seq 37, length 64
    13:34:22.047927 IP 10.242.3.2 > 172.16.13.3: ICMP echo request, id 62756, seq 33, length 64
    13:34:22.285527 IP 10.242.3.2 > 172.16.13.4: ICMP echo request, id 63012, seq 22, length 64
    13:34:22.451230 IP 10.242.3.2 > 172.16.13.2: ICMP echo request, id 62500, seq 38, length 64
    13:34:22.451468 IP 172.16.13.2 > 10.242.3.2: ICMP echo reply, id 62500, seq 38, length 64
    13:34:23.050363 IP 10.242.3.2 > 172.16.13.3: ICMP echo request, id 62756, seq 34, length 64
    13:34:23.287838 IP 10.242.3.2 > 172.16.13.4: ICMP echo request, id 63012, seq 23, length 64
    13:34:23.450951 IP 10.242.3.2 > 172.16.13.2: ICMP echo request, id 62500, seq 39, length 64
    13:34:23.451200 IP 172.16.13.2 > 10.242.3.2: ICMP echo reply, id 62500, seq 39, length 64
    13:34:24.051084 IP 10.242.3.2 > 172.16.13.3: ICMP echo request, id 62756, seq 35, length 64
    13:34:24.288708 IP 10.242.3.2 > 172.16.13.4: ICMP echo request, id 63012, seq 24, length 64
    13:34:24.451898 IP 10.242.3.2 > 172.16.13.2: ICMP echo request, id 62500, seq 40, length 64
    13:34:24.452138 IP 172.16.13.2 > 10.242.3.2: ICMP echo reply, id 62500, seq 40, length 64
    13:34:25.052000 IP 10.242.3.2 > 172.16.13.3: ICMP echo request, id 62756, seq 36, length 64
    13:34:25.287976 IP 10.242.3.2 > 172.16.13.4: ICMP echo request, id 63012, seq 25, length 64
    13:34:25.453522 IP 10.242.3.2 > 172.16.13.2: ICMP echo request, id 62500, seq 41, length 64
    13:34:25.453762 IP 172.16.13.2 > 10.242.3.2: ICMP echo reply, id 62500, seq 41, length 64
    13:34:26.053551 IP 10.242.3.2 > 172.16.13.3: ICMP echo request, id 62756, seq 37, length 64
    13:34:26.290354 IP 10.242.3.2 > 172.16.13.4: ICMP echo request, id 63012, seq 26, length 64
    13:34:26.454363 IP 10.242.3.2 > 172.16.13.2: ICMP echo request, id 62500, seq 42, length 64
    13:34:26.454598 IP 172.16.13.2 > 10.242.3.2: ICMP echo reply, id 62500, seq 42, length 64
    13:34:27.054502 IP 10.242.3.2 > 172.16.13.3: ICMP echo request, id 62756, seq 38, length 64
    13:34:27.292929 IP 10.242.3.2 > 172.16.13.4: ICMP echo request, id 63012, seq 27, length 64
    13:34:27.456707 IP 10.242.3.2 > 172.16.13.2: ICMP echo request, id 62500, seq 43, length 64
    13:34:27.456941 IP 172.16.13.2 > 10.242.3.2: ICMP echo reply, id 62500, seq 43, length 64
    13:34:28.054427 IP 10.242.3.2 > 172.16.13.3: ICMP echo request, id 62756, seq 39, length 64
    13:34:28.292895 IP 10.242.3.2 > 172.16.13.4: ICMP echo request, id 63012, seq 28, length 64
    13:34:28.457560 IP 10.242.3.2 > 172.16.13.2: ICMP echo request, id 62500, seq 44, length 64
    13:34:28.457860 IP 172.16.13.2 > 10.242.3.2: ICMP echo reply, id 62500, seq 44, length 64
    13:34:29.055634 arp who-has 172.16.13.3 tell vpn
    13:34:29.056111 IP 10.242.3.2 > 172.16.13.3: ICMP echo request, id 62756, seq 40, length 64
    13:34:29.293720 IP 10.242.3.2 > 172.16.13.4: ICMP echo request, id 63012, seq 29, length 64
    13:34:29.459277 IP 10.242.3.2 > 172.16.13.2: ICMP echo request, id 62500, seq 45, length 64
    13:34:29.459518 IP 172.16.13.2 > 10.242.3.2: ICMP echo reply, id 62500, seq 45, length 64
    13:34:30.055643 arp who-has 172.16.13.3 tell vpn
    13:34:30.073668 IP 10.242.3.2 > 172.16.13.3: ICMP echo request, id 62756, seq 41, length 64
    13:34:30.293662 IP 10.242.3.2 > 172.16.13.4: ICMP echo request, id 63012, seq 30, length 64
    13:34:30.460130 IP 10.242.3.2 > 172.16.13.2: ICMP echo request, id 62500, seq 46, length 64
    13:34:30.460410 IP 172.16.13.2 > 10.242.3.2: ICMP echo reply, id 62500, seq 46, length 64
    13:34:31.055634 arp who-has 172.16.13.3 tell vpn
    13:34:31.088164 IP 10.242.3.2 > 172.16.13.3: ICMP echo request, id 62756, seq 42, length 64
    13:34:31.295300 IP 10.242.3.2 > 172.16.13.4: ICMP echo request, id 63012, seq 31, length 64
    13:34:31.462477 IP 10.242.3.2 > 172.16.13.2: ICMP echo request, id 62500, seq 47, length 64
    13:34:31.462728 IP 172.16.13.2 > 10.242.3.2: ICMP echo reply, id 62500, seq 47, length 64
    13:34:32.058615 arp who-has 172.16.13.3 tell vpn
    13:34:32.058892 arp reply 172.16.13.3 is-at a8:20:66:31:f8:30 (oui Unknown)
    13:34:32.058917 IP 10.242.3.2 > 172.16.13.3: ICMP echo request, id 62756, seq 43, length 64
    13:34:32.059220 IP 172.16.13.3 > 10.242.3.2: ICMP echo reply, id 62756, seq 43, length 64
    13:34:32.297753 IP 10.242.3.2 > 172.16.13.4: ICMP echo request, id 63012, seq 32, length 64
    13:34:32.460893 IP 10.242.3.2 > 172.16.13.2: ICMP echo request, id 62500, seq 48, length 64
    13:34:33.060883 IP 10.242.3.2 > 172.16.13.3: ICMP echo request, id 62756, seq 44, length 64
    13:34:33.061145 IP 172.16.13.3 > 10.242.3.2: ICMP echo reply, id 62756, seq 44, length 64
    13:34:33.298595 IP 10.242.3.2 > 172.16.13.4: ICMP echo request, id 63012, seq 33, length 64
    13:34:33.461764 IP 10.242.3.2 > 172.16.13.2: ICMP echo request, id 62500, seq 49, length 64
    13:34:34.061806 IP 10.242.3.2 > 172.16.13.3: ICMP echo request, id 62756, seq 45, length 64
    13:34:34.062048 IP 172.16.13.3 > 10.242.3.2: ICMP echo reply, id 62756, seq 45, length 64
    13:34:34.297740 IP 10.242.3.2 > 172.16.13.4: ICMP echo request, id 63012, seq 34, length 64
    13:34:34.463317 IP 10.242.3.2 > 172.16.13.2: ICMP echo request, id 62500, seq 50, length 64
Children
No Data