16
Sophos SC230 Vlan auf anderen eth Port
Hallo Leute 
ich sitze aktuell an einer Testumgebung Sophos SG 230 mit SFOS 19.5.1 MR-1-Build278 mit einem Netgear M4300-8X8F und einem Netgear GS 724 T laufen.
Konstrukt was läuft:
Sophos -> eth0 ( LAN Port ) -> M4300 Port 16 und hier von Port 12 -> GS 724T Port 24
In der Sophos habe ich VLAN ID 10,100,101 gelegt und dazu Passend jeweils den DHCP.
An den Ports 12, 16 und 24 ist VLAN 1 Untagged und VLAN 10, 100 und 101 Tagged.
So wie beschrieben bekomme ich an den Untagged Port 10,100 oder 101 jeweils eine Passende IP vom DHCP.
Was jetzt nicht klappt :
Wenn ich jetzt statt den eth0 ( LAN-Port ) den eth5 Port nehmen will Klappt es nicht mehr.
Sprich ich lege die VLANs nicht wie vorher auf eth0 (LAN) sondern auf eth5.
Wo liegt hier mein Denkfehler das ich über eth5 nix bekomme.
Im Anhang die Screens von den Switchen.
Kann es sein das die Sophos auf eth0 automatisch den Trunk Mode setzt und auf den anderen nicht?
ich sitze aktuell an einer Testumgebung Sophos SG 230 mit SFOS 19.5.1 MR-1-Build278 mit einem Netgear M4300-8X8F und einem Netgear GS 724 T laufen.
Konstrukt was läuft:
Sophos -> eth0 ( LAN Port ) -> M4300 Port 16 und hier von Port 12 -> GS 724T Port 24
In der Sophos habe ich VLAN ID 10,100,101 gelegt und dazu Passend jeweils den DHCP.
An den Ports 12, 16 und 24 ist VLAN 1 Untagged und VLAN 10, 100 und 101 Tagged.
So wie beschrieben bekomme ich an den Untagged Port 10,100 oder 101 jeweils eine Passende IP vom DHCP.
Was jetzt nicht klappt :
Wenn ich jetzt statt den eth0 ( LAN-Port ) den eth5 Port nehmen will Klappt es nicht mehr.
Sprich ich lege die VLANs nicht wie vorher auf eth0 (LAN) sondern auf eth5.
Wo liegt hier mein Denkfehler das ich über eth5 nix bekomme.
Im Anhang die Screens von den Switchen.
Kann es sein das die Sophos auf eth0 automatisch den Trunk Mode setzt und auf den anderen nicht?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 74249738139
Url: https://administrator.de/contentid/74249738139
Ausgedruckt am: 21.11.2024 um 20:11 Uhr
16 Kommentare
Neuester Kommentar
Geht mit der xg nicht mehr. War mit der SG easy
Das ist ein SG 230 mit neuer oberfläche ... Also geht das echt nicht mehr ? Ging das nur in der alten UTM 9
Ich verstehe dein Anliegen nicht ganz. Du "verschiebst" die VLANs in der Sophos von Eth0 auf Eth5 und was funktioniert dann nicht mehr? Jeder Port, der ein VLAN erhält, ist automatisch ein Trunk. By the way im Screenshot ist Eth5 nicht verbunden.
Ob Verschieben oder neu anlegen ist ja das gleiche.
Nehmen wir an ich möchte auf eth5 alle VLANs drüber Schieben. Dann lege ich die ja auf dem eth5 Port an. Dann müsste er ja dann aus dem eth5 einen Trunk Port machen wie du sagst. Aber das klappt so nicht bzw. keine der Client bekommt dann keine IP vom DHCP. Mache ich genau das gleich mit eth0 klappt es sofort.
Edit das Bild ist gemacht worden als kein Kabel dran war
Nehmen wir an ich möchte auf eth5 alle VLANs drüber Schieben. Dann lege ich die ja auf dem eth5 Port an. Dann müsste er ja dann aus dem eth5 einen Trunk Port machen wie du sagst. Aber das klappt so nicht bzw. keine der Client bekommt dann keine IP vom DHCP. Mache ich genau das gleich mit eth0 klappt es sofort.
Edit das Bild ist gemacht worden als kein Kabel dran war
DHCP Relay auch richtig gesetzt?
Für was einen DHCP Relay? Jedes Vlan macht selber sein DHCP
Na dann schmeiß mal Wireshark an auf einen der Clients und schau was so passiert bzw. nicht. Gegen-Check könntest du mit manueller IP/GW prüfen, ob du von dem Client dann andere erreichen kannst.
Schon erledigt .
Über eth0 die VLANs bekommen die Clients Ips zugewiesen auch laut Wireshark .
Aber nicht wenn die Vlans auf eth5 liegen dann kommt nur DHCP Request....
Über eth0 die VLANs bekommen die Clients Ips zugewiesen auch laut Wireshark .
Aber nicht wenn die Vlans auf eth5 liegen dann kommt nur DHCP Request....
Nun denn versuch mal DHCP Relay, kann ja nicht schaden oder? 
Negativ Ich kann eins machen ich gucke mir das Gleiche mal mit UTM9 an da habe ich eine SG 230 mit UTM9 liegen
Ich kann eins machen ich gucke mir das Gleiche mal mit UTM9 an da habe ich eine SG 230 mit UTM9 liegen
Dein Netzwerk-Setup ist aber auch etwas merkwürdig. Scheint so als wäre die Firewall nicht nur DHCP sondern auch DNS und GW? Macht das Sinn den ganzen Netzwerktraffic durch die FW zu leiten?
Die FW ist quasi "single point of failure" für das ganze Netz.
Die FW ist quasi "single point of failure" für das ganze Netz.
Das ist dennoch Quatsch:
ein Relay brauchst du, wenn z. B. der CoreSwitch zwischen den VLANs routet und ein anderes Gerät (Firewall, Windows-DHCP, ...) IP-Adressen verteilt. Der CoreSwitch übernimmt ja dann die Rolle des Stellvertreters, da DHCP auf L2 stattfindet, Routing aber ein L3-Thema ist.
Wenn er im VLAN 100 via eth0 eine IP von der Sophos erhalt, aber im VLAN 100 via eth5 nicht, ist das kein DHCP-Relay Problem.
@nmartin89
Um auf Nummer sicher zugehen:
Wenn du das Netzwerkkabel in den 6. Port an der SG230 steckst (ich gehe mal von unserer SG230 Rev1, optisch wie hier aussehend) aus, welcher mit E5 beschriftet ist, ändert sich dann bei dir der Status des Port5? Nicht, dass du physisch an den 5-Port gehst, mit dem Software-Port Port5 aber der 6. physische Port verstanden wird.
ALso nicht, dass ich dich für dusselig halte, aber manchmal hat man ja nen Brett vorm Kopp
Was ist mit meinem Vorschlag manuelle IP/GW/DNS? Klappt das?
Ach ja noch etwas was du prüfen könntest, wenn es auf der SG geht. Tcpdump auf den eth5 starten und schauen ob da UDP port 67 Pakete ankommen, wenn ein Client angeschlossen wird.
Ach ja noch etwas was du prüfen könntest, wenn es auf der SG geht. Tcpdump auf den eth5 starten und schauen ob da UDP port 67 Pakete ankommen, wenn ein Client angeschlossen wird.
Zitat von @DerMaddin:
Dein Netzwerk-Setup ist aber auch etwas merkwürdig. Scheint so als wäre die Firewall nicht nur DHCP sondern auch DNS und GW? Macht das Sinn den ganzen Netzwerktraffic durch die FW zu leiten?
Das macht sehr wohl sinn - gerade bei der XGSDein Netzwerk-Setup ist aber auch etwas merkwürdig. Scheint so als wäre die Firewall nicht nur DHCP sondern auch DNS und GW? Macht das Sinn den ganzen Netzwerktraffic durch die FW zu leiten?
Denn wenn man das im Endausbau betriebt, also auch passende Endpoint-Protection nutzt, können sich Endpoint und Firewall unterhalten und der eine meldet dann dem anderen, dass er keinerlei Netzwerktraffic mehr haben darf, wenn Schaden "Unheil" wird.
https://www.sophos.com/en-us/products/next-gen-firewall/endpoint-integra ...
Die FW ist quasi "single point of failure" für das ganze Netz.
Zudem kann man die Kisten im HA betreiben. Ginge bei Switchen nur mit Stacking/ VRRP (oder ähnlichen Protokollen).Im Übrigen will ich die Gast-WLAN-Netze und DMZ-Endpoint auch nicht am CoreSwitch abfrühstücken. Der ist da nicht granular genug...
Und Gäste müssen auch nicht mit unserem Windows DNS sprechen - wozu auch?
@em-pie warum soll das so Sinn machen?
Endpoint Protection braucht die FW nicht als GW, DNS oder DHCP. Es benötigt Sophos Central und eine SG kann das sowieso nicht. Geht erst ab XG/XGS.
DMZ und WLAN kann ja da bleiben aber in größeren Netzen finde ich die 1GBit schon als Flaschenhals. In diesem Szenario des TO läuft der ganze Traffic des Netzwerks durch den einen Port der FW. Mag in überschaubaren Umgebungen ausreichend sein. Wenn aber von VLAN100 ins VLAN101 große Datenmengen übertragen werden, dann ist erstmal Pause auf der Leitung für die anderen Teilnehmer.
Endpoint Protection braucht die FW nicht als GW, DNS oder DHCP. Es benötigt Sophos Central und eine SG kann das sowieso nicht. Geht erst ab XG/XGS.
DMZ und WLAN kann ja da bleiben aber in größeren Netzen finde ich die 1GBit schon als Flaschenhals. In diesem Szenario des TO läuft der ganze Traffic des Netzwerks durch den einen Port der FW. Mag in überschaubaren Umgebungen ausreichend sein. Wenn aber von VLAN100 ins VLAN101 große Datenmengen übertragen werden, dann ist erstmal Pause auf der Leitung für die anderen Teilnehmer.
Das mit dem kompletten Datenverkehr über die FW ist erstmal nur ein Test geht in erster Linie Kennenlernen der Sophos und planen der Netze sowie testen testen testen 😊…
Eth5 ist ja der Physikalische Port 6 an der Fw so wie oben im Bild .
Kann es an der Home Lizenz liegen das es nicht geht ?
Lasse ich alles über den eth0 laufen klappt es . Läuft es egal über welchen andern Port Eth2-5 klappt es nicht .
Auf dem genutzten Physischen Port muss ja eine Ip eingetragen werden 172.16.17.1/24 z.b. oder bleibt die Schnittstelle leer ?
Eth5 ist ja der Physikalische Port 6 an der Fw so wie oben im Bild .
Kann es an der Home Lizenz liegen das es nicht geht ?
Lasse ich alles über den eth0 laufen klappt es . Läuft es egal über welchen andern Port Eth2-5 klappt es nicht .
Auf dem genutzten Physischen Port muss ja eine Ip eingetragen werden 172.16.17.1/24 z.b. oder bleibt die Schnittstelle leer ?
