Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 11630 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Initial configuration problem with VLANs / routing / UTM?

DO1
Hi all,

I’m playing around with a Sophos UTM 9.2 trial in a test environment and I’m having trouble getting clients out onto the internet. I’ve got the UTM setup with 2 interfaces:


  • Eth0 is the internal network 
  • Eth1 is the External (WAN) with the internet gateway address assigned


I’m using an HP 5406zl on the internal network with IP routing enabled; the default IP route is the UTM box. Internal LAN communication is working fine – clients can ping each other in their subnets, ping each other’s gateways, and also ping the UTM.  A static route has been added to the UTM to facilitate communication with the LAN. 

The UTM’s internal network (eth0) is untagged in VLAN9 and assigned the IP 192.168.9.1, clients are untagged in VLAN 2 (192.168.0/24) and VLAN 7 (192.168.7.0/24). Clients have the 5406 as their gateway IP, e.g. vlan 2 is 192.168.2.254, vlan 7 192.168.7.254.

I’ve added firewall rules to allow web surfing and DNS and created network definitions for the VLANS on the local network; these have been bound to the internal interface (eth0).

When clients attempt to browse to internet (either IP or full DNS name) the request times out and I cannot seeing anything on the live firewall log. On the client PCs I can see the 5406zl forward the request to the UTM at 192.168.9.1 via a trace route, but it then times out.

If I untag a client machine in VLAN 9 and change its gateway to 192.168.9.1 it can get out on the internet with no problems

What am I missing? It’s probably something simple. All I want to do is setup a very simple network to test the features of the UTM, using the 5406 to route between VLANs and out to the internet via the UTM. [:S]


Here's the output from the 5406:

; J8697A Configuration Editor; Created on release #K.15.12.0012
; Ver #05:08.41.ff.3f.ef:63
hostname "HP-5406zl"
module 1 type j9534a
ip route 0.0.0.0 0.0.0.0 192.168.9.1
ip routing
snmp-server community "public" unrestricted

vlan 1
   name "DEFAULT_VLAN"
   no untagged A1-A2,A23-A24
   untagged A3-A22
   no ip address
   exit

vlan 2
   name "domain test"
   untagged A1
   tagged A2,A23
   ip address 192.168.2.254 255.255.255.0
   ip helper-address 192.168.2.1
   exit

vlan 7
   name "test"
   untagged A24
   tagged A23
   ip address 192.168.7.254 255.255.255.0
   exit

vlan 9
   name "firewall"
   untagged A2
   tagged A23
   ip address 192.168.9.254 255.255.255.0
   exit

vlan 10
   name "test2"
   tagged A23
   ip address 192.168.10.254 255.255.255.0


This thread was automatically locked due to age.
Parents
  • 0
    So I add another physical adapter then add a new 'Ethernet VLAN' interface for each VLAN and ensure the physical adapter is patched in and tagged in all those various VLANs (Port A23 in this example)?
Reply
  • 0
    So I add another physical adapter then add a new 'Ethernet VLAN' interface for each VLAN and ensure the physical adapter is patched in and tagged in all those various VLANs (Port A23 in this example)?
Children
No Data