nmartin89
Goto Top

Sophos SC230 Vlan auf anderen eth Port

Hallo Leute face-smile

ich sitze aktuell an einer Testumgebung Sophos SG 230 mit SFOS 19.5.1 MR-1-Build278 mit einem Netgear M4300-8X8F und einem Netgear GS 724 T laufen.

Konstrukt was läuft:

Sophos -> eth0 ( LAN Port ) -> M4300 Port 16 und hier von Port 12 -> GS 724T Port 24

In der Sophos habe ich VLAN ID 10,100,101 gelegt und dazu Passend jeweils den DHCP.

An den Ports 12, 16 und 24 ist VLAN 1 Untagged und VLAN 10, 100 und 101 Tagged.

So wie beschrieben bekomme ich an den Untagged Port 10,100 oder 101 jeweils eine Passende IP vom DHCP.


Was jetzt nicht klappt :

Wenn ich jetzt statt den eth0 ( LAN-Port ) den eth5 Port nehmen will Klappt es nicht mehr.

Sprich ich lege die VLANs nicht wie vorher auf eth0 (LAN) sondern auf eth5.


Wo liegt hier mein Denkfehler das ich über eth5 nix bekomme.

Im Anhang die Screens von den Switchen.

Kann es sein das die Sophos auf eth0 automatisch den Trunk Mode setzt und auf den anderen nicht?
m4300vlan1
m4300vlan10
m4300vlan100
m4300vlan101
m4300vlanpvid
m4300vlanstatus
gsvlan1
gsvlan10
gsvlan100
gsvlan101
gsvlanpvid
gsvlanstatus
sophosalle
sophosdhcp

Content-ID: 74249738139

Url: https://administrator.de/forum/sophos-sc230-vlan-auf-anderen-eth-port-74249738139.html

Ausgedruckt am: 22.12.2024 um 06:12 Uhr

Mystery-at-min
Mystery-at-min 11.01.2024 um 15:04:10 Uhr
Goto Top
Geht mit der xg nicht mehr. War mit der SG easy
nmartin89
nmartin89 11.01.2024 um 15:07:11 Uhr
Goto Top
Das ist ein SG 230 mit neuer oberfläche ... Also geht das echt nicht mehr ? Ging das nur in der alten UTM 9
DerMaddin
DerMaddin 11.01.2024 um 15:17:39 Uhr
Goto Top
Ich verstehe dein Anliegen nicht ganz. Du "verschiebst" die VLANs in der Sophos von Eth0 auf Eth5 und was funktioniert dann nicht mehr? Jeder Port, der ein VLAN erhält, ist automatisch ein Trunk. By the way im Screenshot ist Eth5 nicht verbunden.
nmartin89
nmartin89 11.01.2024 aktualisiert um 15:26:57 Uhr
Goto Top
Ob Verschieben oder neu anlegen ist ja das gleiche.

Nehmen wir an ich möchte auf eth5 alle VLANs drüber Schieben. Dann lege ich die ja auf dem eth5 Port an. Dann müsste er ja dann aus dem eth5 einen Trunk Port machen wie du sagst. Aber das klappt so nicht bzw. keine der Client bekommt dann keine IP vom DHCP. Mache ich genau das gleich mit eth0 klappt es sofort.

Edit das Bild ist gemacht worden als kein Kabel dran war
DerMaddin
DerMaddin 11.01.2024 um 15:33:40 Uhr
Goto Top
DHCP Relay auch richtig gesetzt?
nmartin89
nmartin89 11.01.2024 um 15:37:09 Uhr
Goto Top
Für was einen DHCP Relay? Jedes Vlan macht selber sein DHCP
DerMaddin
DerMaddin 11.01.2024 aktualisiert um 15:43:32 Uhr
Goto Top
Na dann schmeiß mal Wireshark an auf einen der Clients und schau was so passiert bzw. nicht. Gegen-Check könntest du mit manueller IP/GW prüfen, ob du von dem Client dann andere erreichen kannst.
nmartin89
nmartin89 11.01.2024 um 15:52:49 Uhr
Goto Top
Schon erledigt .

Über eth0 die VLANs bekommen die Clients Ips zugewiesen auch laut Wireshark .
Aber nicht wenn die Vlans auf eth5 liegen dann kommt nur DHCP Request....
DerMaddin
DerMaddin 11.01.2024 um 15:57:34 Uhr
Goto Top
Nun denn versuch mal DHCP Relay, kann ja nicht schaden oder? face-wink
nmartin89
nmartin89 11.01.2024 um 16:20:18 Uhr
Goto Top
Negativ face-smile Ich kann eins machen ich gucke mir das Gleiche mal mit UTM9 an da habe ich eine SG 230 mit UTM9 liegen
DerMaddin
DerMaddin 11.01.2024 um 16:27:41 Uhr
Goto Top
Dein Netzwerk-Setup ist aber auch etwas merkwürdig. Scheint so als wäre die Firewall nicht nur DHCP sondern auch DNS und GW? Macht das Sinn den ganzen Netzwerktraffic durch die FW zu leiten?

Die FW ist quasi "single point of failure" für das ganze Netz.
em-pie
em-pie 11.01.2024 um 16:33:25 Uhr
Goto Top
Zitat von @DerMaddin:

Nun denn versuch mal DHCP Relay, kann ja nicht schaden oder? face-wink

Das ist dennoch Quatsch:
ein Relay brauchst du, wenn z. B. der CoreSwitch zwischen den VLANs routet und ein anderes Gerät (Firewall, Windows-DHCP, ...) IP-Adressen verteilt. Der CoreSwitch übernimmt ja dann die Rolle des Stellvertreters, da DHCP auf L2 stattfindet, Routing aber ein L3-Thema ist.


Wenn er im VLAN 100 via eth0 eine IP von der Sophos erhalt, aber im VLAN 100 via eth5 nicht, ist das kein DHCP-Relay Problem.


@nmartin89
Um auf Nummer sicher zugehen:
Wenn du das Netzwerkkabel in den 6. Port an der SG230 steckst (ich gehe mal von unserer SG230 Rev1, optisch wie hier aussehend) aus, welcher mit E5 beschriftet ist, ändert sich dann bei dir der Status des Port5? Nicht, dass du physisch an den 5-Port gehst, mit dem Software-Port Port5 aber der 6. physische Port verstanden wird.
ALso nicht, dass ich dich für dusselig halte, aber manchmal hat man ja nen Brett vorm Kopp face-smile
DerMaddin
DerMaddin 11.01.2024 aktualisiert um 16:39:22 Uhr
Goto Top
Was ist mit meinem Vorschlag manuelle IP/GW/DNS? Klappt das?

Ach ja noch etwas was du prüfen könntest, wenn es auf der SG geht. Tcpdump auf den eth5 starten und schauen ob da UDP port 67 Pakete ankommen, wenn ein Client angeschlossen wird.
em-pie
em-pie 11.01.2024 um 16:38:49 Uhr
Goto Top
Zitat von @DerMaddin:

Dein Netzwerk-Setup ist aber auch etwas merkwürdig. Scheint so als wäre die Firewall nicht nur DHCP sondern auch DNS und GW? Macht das Sinn den ganzen Netzwerktraffic durch die FW zu leiten?
Das macht sehr wohl sinn - gerade bei der XGS
Denn wenn man das im Endausbau betriebt, also auch passende Endpoint-Protection nutzt, können sich Endpoint und Firewall unterhalten und der eine meldet dann dem anderen, dass er keinerlei Netzwerktraffic mehr haben darf, wenn Schaden "Unheil" wird.
https://www.sophos.com/en-us/products/next-gen-firewall/endpoint-integra ...

Die FW ist quasi "single point of failure" für das ganze Netz.
Zudem kann man die Kisten im HA betreiben. Ginge bei Switchen nur mit Stacking/ VRRP (oder ähnlichen Protokollen).

Im Übrigen will ich die Gast-WLAN-Netze und DMZ-Endpoint auch nicht am CoreSwitch abfrühstücken. Der ist da nicht granular genug...
Und Gäste müssen auch nicht mit unserem Windows DNS sprechen - wozu auch?
DerMaddin
DerMaddin 11.01.2024 um 16:46:58 Uhr
Goto Top
@em-pie warum soll das so Sinn machen?

Endpoint Protection braucht die FW nicht als GW, DNS oder DHCP. Es benötigt Sophos Central und eine SG kann das sowieso nicht. Geht erst ab XG/XGS.

DMZ und WLAN kann ja da bleiben aber in größeren Netzen finde ich die 1GBit schon als Flaschenhals. In diesem Szenario des TO läuft der ganze Traffic des Netzwerks durch den einen Port der FW. Mag in überschaubaren Umgebungen ausreichend sein. Wenn aber von VLAN100 ins VLAN101 große Datenmengen übertragen werden, dann ist erstmal Pause auf der Leitung für die anderen Teilnehmer.
nmartin89
nmartin89 11.01.2024 um 17:59:11 Uhr
Goto Top
Das mit dem kompletten Datenverkehr über die FW ist erstmal nur ein Test geht in erster Linie Kennenlernen der Sophos und planen der Netze sowie testen testen testen 😊…


Eth5 ist ja der Physikalische Port 6 an der Fw so wie oben im Bild .

Kann es an der Home Lizenz liegen das es nicht geht ?

Lasse ich alles über den eth0 laufen klappt es . Läuft es egal über welchen andern Port Eth2-5 klappt es nicht .

Auf dem genutzten Physischen Port muss ja eine Ip eingetragen werden 172.16.17.1/24 z.b. oder bleibt die Schnittstelle leer ?