Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 3047 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VLAN Integration

RichardHughes
Hi,

I previously had a VLAN configuration setup on my network. I had decided to flatten the network due to configuration issues. I now have a Sophos UTM virtual appliance running on my network, and I wish to re-instate my VLANs.

I have re-configured my switches with VLAN 1 (Default), VLAN1000 (Servers/Switches), VLAN1001 (Clients) and VLAN1002 (Guest). My Sophos UTM install runs virtually on a physical server running XenServer. I have set the port which connects this server to the switch, as a trunk port. This port has VLAN1 Untagged, with VLAN1000,1001,1002 tagged. I have added the VLAN interfaces to Sophos UTM and assigned each interface an IP address.

Here is the IP configuration for the VLANs -

VLAN1 > 10.255.255.1/24
VLAN1000 > 10.0.0.1/24
VLAN1001 > 10.0.1.1/24
VLAN1002 > 10.0.2.1/24

Hosts on VLAN1001, are unable to connect to hosts on VLAN1000, when the hosts on VLAN1000 are running on XenServer, but are able to ping each other. Hosts on VLAN1001 are able to ping hosts on VLAN1000 and are able to successfully connect to each other, e.g. access file shares, etc, when they are physical devices sitting on the network.

This seems to be an issue with the communication between these virtual hosts and the Sophos UTM, or I have miss-configured something. The virtual hosts, which are servers, are on VLAN1000. All hosts can successfully obtain an IP lease from the DHCP server which is running as a virtual server on 10.0.0.20.

Any help would be greatly appreciated! [:$]

Regards,
Richard


This thread was automatically locked due to age.
  • 0
    VLAN 1 is reserved for UTM and shouldn't be used for your own networks connecting to UTM.
  • 0 in reply to apijnappels
    VLAN 1 is reserved for UTM and shouldn't be used for your own networks connecting to UTM.


    Hi, thanks for your response [:)]

    VLAN1 isn't in use as such, but it is there as the management VLAN for my two switches. The only VLANs which I am using are VLAN1000 (Servers), VLAN1001 (Clients), VLAN1002 (Guest).

    I've managed to get this to work partially, partially in that hosts on VLAN1000 can ping hosts on VLAN1001, and viceversa, as long as they are physical devices connected to one of the switches. I am currently having an issue with getting virtual hosts running on my XenServer, either on VLAN1000 or VLAN1001, to communicate with other virtual/physical hosts on VLAN1000 or VLAN1001. If a virtual host is on VLAN1000 and I attempt to communicate with a host on VLAN1001, from the host on VLAN1000, all I can do is ping the host. I am unable to connect via remote desktop or example or access network shares from that host. If both hosts, be it virtual or physical, are on the same VLAN, communication is possible.

    Not quite sure what is going on here, as the switch port to Xen is trunked, with VLAN1 Untagged and VLAN1000,1001,1002 Tagged. Virtual clients are receiving IP leases from DHCP so the configuration looks OK at that side.
  • 0
    Dumb question but you do have allow rules in place to permit traffic between VLANs?
  • 0 in reply to TheDrew
    VLAN 1 is reserved for UTM and shouldn't be used for your own networks connecting to UTM.


    Dumb question but you do have allow rules in place to permit traffic between VLANs?


    I do indeed, I had created a rule to allow ANY from VLAN1000,1001 to VLAN1000,1001. I also created a rule to allow ANY from ANY to ANY just to quickly re-test the connection, but the connection still didn't succeed. I've disabled the ANY>ANY>ANY rule.

    I have just changed the default gateway of one of the hosts on the 1001 network, to the IP address I had set for the 1001 network interface on the L3 switch (10.0.1.2). This host is now able to communicate with other hosts on the 1000 network and on the 1001 network. If I change this hosts default gateway, back to the default gateway which I had set for the 1001 network, on the Sophos UTM (10.0.1.1), I can obviously get Internet access again but communication between hosts on the 1000 network isn't possible. I think I've miss configured something.
  • 0
    Hi,

    If the switches are doing intra-VLAN routing, then the computers would use a switch as its gateway.

    If the UTM is doing the intra-VLAN routing, then the UTM needs to be the gateway.

    The above probably also affects how the VLANs are trunked to the UTM.

    Barry
  • 0 in reply to BarryG
    Hi,

    If the switches are doing intra-VLAN routing, then the computers would use a switch as its gateway.

    If the UTM is doing the intra-VLAN routing, then the UTM needs to be the gateway.

    The above probably also affects how the VLANs are trunked to the UTM.

    Barry


    Thank you very much for your response. It looks like both the UTM and the Layer 3 switch are doing intra-VLAN routing. If I use the UTM as the default gateway, physical computers on VLAN1001, are able to communicate and ping physical servers on VLAN1000. Virtual/Physical servers/computers are unable to communicate with other virtual servers/computers which run on Xen, unless they are one the same VLAN. If I use the Layer 3 switch as the default gateway on the virtual/physical servers/computers, then routing works perfectly fine, but obviously the firewall rules which I had set on the UTM for these networks doesn't take effect. I also need to manually enter the proxy server settings to allow these hosts access to the Internet.

    I would really rather to have the UTM being the gateway, I am just not quite sure on how to go about doing this due to the issue with the virtual hosts. This also appears to be effecting the wireless access point which I have attached to a trunked port on the layer 3 switch, with VLAN1000,1001,1002 tagged. Hosts connected to the network are unable to communicate with wireless hosts connected to the wireless access point, unless I set the switch as the default gateway.

    Thanks for all your help! [:)]
  • 0
    Sounds like you need to map everything out in detail before making more changes.

    Barry
  • 0
    I've created a diagram of a cut down version of what I've got. The actual version has a lot more hosts, I didn't want to over complicate the diagram. Not sure how easily understood this diagram will be, but hopefully it'll maybe show something which I've not done correctly?

    https://www.hc-itsolutions.co.uk/images/Network1.png

    Basically with that configuration, I am facing difficulty with communicating between VLANs, when one of the hosts, be it the source or target, are a virtual host running on the XenServer, or a wireless client such as the laptop in my example. Physical devices such as the two PCs and the physical server, which are on separate VLANs, are able to communicate with each other. The only form of communication I have to the virtual hosts or the wireless hosts is by pinging them, I am unable to do anything else, e.g. access shares, connect via remote desktop, etc. If I do attempt to access Windows shares for example, on one of the virtual servers, after a period of time, I am presented with the following error - "The specified network name is no longer available".
  • 0
    Richard, if #3 in Rulz doesn't apply, then check the logs listed in #1.

    Cheers - Bob
  • 0 in reply to BAlfson
    Richard, if #3 in Rulz doesn't apply, then check the logs listed in #1.

    Cheers - Bob


    Bob .... YOU are a LIFESAVER!

    This issue has been stressing me out for days now, I had originally focused my attention on the Firewall log only. I've just checked the live Application log and this was flooded with reds, from my test hosts on VLAN1001 to my test hosts on VLAN1000. I switched Application Control off temporarily, network communication between virtual hosts is now working. I've re-enabled Application Control and I'll work out what rules are required for this to work!

    Thank you so much! [:P]