gelöst Sophos Software Appliance UTM - VLAN - CISCO SG Series Switches

Mitglied: Xaero1982

Xaero1982 (Level 4) - Jetzt verbinden

26.09.2020, aktualisiert 13:36 Uhr, 638 Aufrufe, 21 Kommentare

Moin Zusammen,

zu Testzwecken und rumprobieren hab ich mir einen ESX installiert mit 3 LAN Ports.
Auf dem ESX gibt es zwei VSwitches mit je einer Schnittstelle.

Auf dem ESX habe ich eine Sophos Software Appliance installiert und zwei Karten hinzugefügt.
Eine davon hängt am Switch in VLAN1
Die zweite hängt ebenfalls am Switch mit VLAN10.

Der Switch ist mit Dot1q konfiguriert.
Der entsprechende Port ist als Trunk konfiguriert und in VLAN10 auf Tagged gesetzt.

Auf der UTM habe ich beide Interfaces konfiguriert.

VLAN1 Interface: 192.168.0.100/24 gw: 192.168.0.1/24
VLAN10 Interface: 172.20.10.253/24 -> Ist als Interface VLAN konfiguriert mit VLAN Tag 10.

Dann habe ich einen DHCP Server auf der UTM eingerichtet (der andere DHCP läuft auf der Vodafonebüchse)

DHCP 1: VLAN10: 172.20.10.50 - 172.20.10.80 DNS: 172.20.10.253 GW: 172.20.10.254 (das ist der VLAN-Port am Switch)

DHCP Relay ist am Switch aktiviert und verweist auf die 172.20.10.253.

An einem zweiten Port am Switch der ebenfalls im VLAN10 als untagged konfiguriert ist hängt ein Client. Der bekommt keine IP.

Weise ich ihm fest eine zu kann er zwar die 172.20.10.254 erreichen, aber nicht die .253 (UTM)

Jemand eine Idee wo der Fehler liegen könnte?

Grüße

Das absurde ist, dass ich nicht mal vom Switch die UTM pingen kann. Stelle ich es auf Interface um statt interface vlan - klappts natürlich ohne Probleme.
Mitglied: tech-flare
LÖSUNG 26.09.2020, aktualisiert um 18:39 Uhr
Also grundsätzlich würde es auch reichen,

Wenn der esxi Host und die appliance über den gleichen Port am Switch hängen - wichtige ist aber, dass du im esxi die Portgroup richtig konfigurierst.

Wenn du über die sophos die VLAN verwaltest, dann muss du die portgruppe im esxi, in der die vm hängt ein VLAN 4095 zuweisen. Dies bedeutet, dass alles Tagged VLAN als Trunk vom esxi host zur vm durchgereicht werden.

Wer routet bei dir? Der Switch oder die Sophos?
Bitte warten ..
Mitglied: aqui
LÖSUNG 26.09.2020, aktualisiert 20.10.2020
Die Frage ist was genau du erreichen willst ? Vermutlich einfach nur die UTM testen mit einem LAN Port und einem WAN Port, richtig ?

Hier mal als Beispiel mit einem ganz primitiven vSwitch Setup auf einem ESXi Intel NUC mit nur einem Netzwerk Port und VLAN Switch für eine pfSense Firewall:

Portgruppe fürs interne LAN zum bestehenden vSwitch mit VLAN Tag 3 hinzugefügt:

esxi2 - Klicke auf das Bild, um es zu vergrößern

vSwitch:

vmwareneu - Klicke auf das Bild, um es zu vergrößern

So sieht das Ganze dann mit einer pfSense auf einem VLAN Switch aus:

esxi - Klicke auf das Bild, um es zu vergrößern

Der WAN Port der pfSense kann dann raus via Default VLAN 1 (gelb) und zum Internet Router. Mit den Endgeräten dort kann man z.B. den externen VPN Zugriff auf die Firewall, Port Forwarding usw. usw. sauber testen.
Interner LAN Port geht Tagged ins VLAN 3, ESXi Intern hängt ein Win 10 als Test VM an der Portgruppe und extern via Hardware VLAN Switch 2 andere Testrechner, Server im internen LAN (VLAN 3). Damit lässt sich ein klassisches Firewall Setup wie auch mit deiner UTM einfach und schnell testen.
DHCP usw. funktioniert alles fehlerlos und wie es sein soll !
Bitte warten ..
Mitglied: Xaero1982
26.09.2020 um 17:52 Uhr
Routen wird die UTM. Im Moment aber noch irrelevant, weil ich ja noch nicht mal das vlantagging richtig habe.

Mit der VLAN Id 4095 teste ich morgen. Für heute ist Schluss.

Thx
Bitte warten ..
Mitglied: aqui
26.09.2020, aktualisiert um 18:02 Uhr
Mit der VLAN Id 4095 teste ich morgen. Für heute ist Schluss.
Wäre tödlich und macht man als Netzwerker nie !! Die VLAN IDs über 4090 (besser noch > 4000) solltest du strikt meiden weil diese sehr häufig Switch intern genutzt werden. Z.B. Single Span STP oder MSTP. Besser also Finger weg davon und diese IDs immer meiden wenn nicht zwingend erforderlich.
Wenn die UTM routen soll dann ist es doch das simple, oben gezeigte Design des vSwitches. Bei dir müsstest du nichtmal taggen sondern könntest mit deinen separaten externen NICs einfach einen 2ten vSwitch nutzen.
So oder so...beides ist die klassiche Lösung.
Siehe auch hier:
https://docs.netgate.com/pfsense/en/latest/recipes/virtualize-esxi.html
https://medium.com/@glmdev/how-to-set-up-virtualized-pfsense-on-vmware-e ...
Bitte warten ..
Mitglied: Xaero1982
26.09.2020 um 18:15 Uhr
Hi Aqui,

grundsätzlich geht das auch mit der UTM, aber sobald ich in der UTM das Interface auf Interface VLAN stelle wars das.
Kein DHCP mehr und auch sonst nicht mehr zu erreichen die UTM über diese Schnittstelle.

Da ich aber über kurz oder lang mehrere VLANs drauf laufen haben müsste und nicht für jedes eine separate Schnittstelle habe muss ich über Interface VLAN gehen.

Ich bin morgen wieder bei meiner Testumgebung und teste weiter.

Danke schon mal und einen schönen Abend noch!
Bitte warten ..
Mitglied: Stefan007
26.09.2020 um 21:03 Uhr
Hast du die Pings auf der Sophos aktiviert?;)
Bitte warten ..
Mitglied: tech-flare
LÖSUNG 26.09.2020 um 21:09 Uhr
Zitat von aqui:

Mit der VLAN Id 4095 teste ich morgen. Für heute ist Schluss.
Wäre tödlich und macht man als Netzwerker nie !! Die VLAN IDs über 4090 (besser noch > 4000) solltest du strikt meiden weil diese sehr häufig Switch intern genutzt werden. Z.B. Single Span STP oder MSTP. Besser also Finger weg davon und diese IDs immer meiden wenn nicht zwingend erforderlich.

Falsch! Denn dies ist bei vmware Standard und hat sich seit Jahren etabliert und wird genauso bei vmware beschrieben. Und ich denke die Leute bei vmware wissen was sie tun ;)

Du kannst dies gern hier nachlesen:

VLAN-Konfiguration bei

im übrigens wurde dir das bereits 2017 mal erklärt https://administrator.de/forum/vlan-esxi-355247.html">https://administrator.de/forum/vlan-esxi-355247.html

Denn andernfalls müsstest du als Beispiel 20 Portgruppen auf dem VMHost anlegen, wenn du 20 VLAN mit der Sophos routen willst. Und noch schlimmer....du müsstest der Sophos vm 20 einzelne Netzwerkkarten zuweisen und wenn du dann noch eine Sohpos XG einsetzt und diese vorerst als VM mit 20 einzelnen Netzwerkkarten verwendet und dann auf eine physische Sophos mit 2 physischen NIC wechselst , hat es dich richtig ange***, weil man bei der XG derzeit das Backup nur importieren kann, wenn die Anzahl der NIC übereinstimmt, da ein manuelles nachträgliches zuordnen der Interfaces / Ports nicht möglich ist.

Übrigens gibts noch weitere Beispiele warum man das VLAN 4095 bei vmware verwenden sollte (dadurch wird ja nur trunking in der jeweiligen Portgruppe aktiviert):

Wenn du Packetfence als NAC einsetzt, muss Packetfence die VLAN selbst taggen können um alle Funktionen verwenden zu können.


Gruß
Bitte warten ..
Mitglied: tech-flare
LÖSUNG 26.09.2020, aktualisiert um 21:47 Uhr
Da ich aber über kurz oder lang mehrere VLANs drauf laufen haben müsste und nicht für jedes eine separate Schnittstelle habe muss ich über Interface VLAN gehen.
musst du nicht, wenn du auf der VLAN Portgruppe im ESXI als VLAN 4095 einstellst. Vorausgesetzt der Port, an dem der ESXI hängt ist als Trunk Port konfiguriert.

Nachzulesen hier

vmware VLAN Konfig

Genauso habe ich dies bereits mehrfach eingesetzt
Bitte warten ..
Mitglied: Xaero1982
26.09.2020, aktualisiert um 22:30 Uhr
Ich bin morgen wieder da und werde sicher noch ein paar Fragen haben!

Ist das bei der Hardwareappliance anders?
Bitte warten ..
Mitglied: aqui
27.09.2020, aktualisiert um 11:55 Uhr
Falsch! Denn dies ist bei vmware Standard und hat sich seit Jahren etabliert und wird genauso bei vmware beschrieben. Und ich denke die Leute bei vmware wissen was sie tun
Kolligiert dann aber mit Switches von Ruckus, Extreme und Cisco und auch anderen die diese VLAN IDs von 4090 und höher intern nutzen. Es wäre fatal die dann auch auf Endgeräten bzw. der externen Infrastruktur zu nutzen.
Da VmWare keinerlei solcher administrativen VLANs kennt oder supportet wäre es einmal interessant zu erfahren WO das in deren Doku steht ?? Hast du da ggf. einen URL wo man das nachlesen kann ?
Generell weiss man als Netzwerker das man diese administrativen VLANs nie nutzen sollte. Falsch ist das keineswegs sondern eher weitsichtig.
@Xaero1982
Du musst natürlich auch darauf achten wenn du das UTM Interface auf 802.1q Tagging und VLANs umstellst das dessen Pendant auf der anderen Seite auch Tagging macht, sonst klappt es logischerweise nicht.
Bitte warten ..
Mitglied: Xaero1982
27.09.2020 um 12:19 Uhr
Moin,

ich habe am ESXI einen neuen vswitch erstellt mit einer eigenen Netzwerkkarte.
Dann habe ich eine Portgruppe erstellt mit VLAN 4095.

Diese Netzwerkkarte hängt an Port 3 am Switch, welcher als Trunkport konfiguriert ist und habe diesen auf Tagged gesetzt.

In der UTM ist die entsprechende Karte als Interface konfiguriert.

An Port 4 am Switch hängt ein Client im VLAN 10, sowie Port 3 auch.

DHCP auf der UTM ist aktiviert für diese Schnittstelle.

Ergebnis: Keine DHCP Adresse, kein nix.

Ändere ich am ESX die Portgruppe auf VLAN 10 bekomme ich eine Adresse vom DHCP der UTM.

Wenn ich auf der UTM das Interface auf Ethernet VLAN stelle mit der ID 10 und am ESX die Portgruppe auf VLAN 10 belasse passiert was? Nichts.

Wenn ich diese nun wieder auf VLAN 4095 ändere bekomme ich eine IP zugewiesen.

Ergebnis: ESX Portgruppe VLAN ID 4095
UTM: Interface VLAN mit der ID 10
Switch: Port 3 an dem der ESX hängt in VLAN 10 auf Tagged
Port 4 an dem ein Client hängt in VLAN 10 auf untagged

Ich werde jetzt mal noch weitere VLANS erstellen an der UTM und weitere DHCP Server. Mal sehen.

Grüße
Bitte warten ..
Mitglied: Xaero1982
27.09.2020 um 12:35 Uhr
So, hab jetzt noch ein zweites VLAN angelegt.

Switch: Port 3
Trunk
VLAN 10 tagged
VLAN 20 tagged

Port 6
VLAN 20 untagged

UTM:
Interface VLAN
Tag 20
DHCP eingerichtet

Läuft.

Jetzt muss ich nur noch den Webzugriff ans Laufen bekommen aus dem jeweiligen VLAN.

Die Vodafonebüchse hängt in VLAN 1 mit 192.168.0.1

Das heißt ich muss ne Route aus dem jeweiligen VLAN über das GW in das 192.168.0.0/24 Netz einrichten, right?
Bitte warten ..
Mitglied: tech-flare
LÖSUNG 27.09.2020, aktualisiert um 12:54 Uhr
Zitat von aqui:

Falsch! Denn dies ist bei vmware Standard und hat sich seit Jahren etabliert und wird genauso bei vmware beschrieben. Und ich denke die Leute bei vmware wissen was sie tun
Kolligiert dann aber mit Switches von Ruckus, Extreme und Cisco und auch anderen die diese VLAN IDs von 4090 und höher intern nutzen. Es wäre fatal die dann auch auf Endgeräten bzw. der externen Infrastruktur zu nutzen.
Dies funktioniert hier aber genauso an einem Standort mit Cisco Switches (SG250) und mehreren VM Host

Da VmWare keinerlei solcher administrativen VLANs kennt oder supportet wäre es einmal interessant zu erfahren WO das in deren Doku steht ?? Hast du da ggf. einen URL wo man das nachlesen kann ?
Oben in dem Link steht dies mit VLAN 4095 drin.

Anbei nochmal der Link Trunk Port bei VMHost
Bitte warten ..
Mitglied: tech-flare
LÖSUNG 27.09.2020 um 12:57 Uhr
Jetzt muss ich nur noch den Webzugriff ans Laufen bekommen aus dem jeweiligen VLAN.

Die Vodafonebüchse hängt in VLAN 1 mit 192.168.0.1

Das heißt ich muss ne Route aus dem jeweiligen VLAN über das GW in das 192.168.0.0/24 Netz einrichten, right?
Nein...wenn deine Sophos routen soll, ist das 192.168.0.0/24 das TransferNetz zwischen der Vodafone Büchse und der Sophos.

VF ist 192.168.0.1
Sophos hat z.b 192.168.0.2 (das ist das WAN Interface der Sophos).

Die Vodafone Büchse ist somit "nur" das Modem für die Sophos um es mal einfach auszudrücken.

Alle Geräte hinter der Sophos gehen dann über die Sophos ins Internet, sofern es die Firewall Regeln in der Sophos erlauben.

Ps.: Setzt du die XG oder die UTM als Software Appliance ein?
Bitte warten ..
Mitglied: Xaero1982
27.09.2020 um 13:10 Uhr
Ich hab die UTM als Software Appliance laufen.

Das ist schon klar, aber das läuft nicht

Ich hab in der Firewall nur eine Regel: any -> any -> any
Damit sollte ja erstmal alles abgedeckt sein zu Testzwecken.

Sophos hat hier die 192.168.0.100
VF 192.168.0.1

Aber um von dem VLAN 172.20.10.0/24 ins Internet zu kommen brauche ich doch eine Route?

Also VLAN10 (172.20.10.0/24) -> Interface (192.168.0.100)
und eine Masquerading Regel:
Netzwork 172.20.10.0/24 -> Interface (192.168.0.100)

or not?
Bitte warten ..
Mitglied: Xaero1982
27.09.2020 um 13:11 Uhr
Ok nun läuft es. Das GW war falsch auf dem Client.
Bitte warten ..
Mitglied: tech-flare
LÖSUNG 27.09.2020 um 13:20 Uhr
Zitat von Xaero1982:

Ok nun läuft es. Das GW war falsch auf dem Client.
ok. sehr gut.

Angenommen dein Client im VLAN10 (172.20.10.0/24) und das interface der Sophos ist 172.20.10.1, dann muss das GW im Client 172.20.10.1 sein
Bitte warten ..
Mitglied: Xaero1982
27.09.2020 um 13:26 Uhr
Jep, ich hatte den Switch als GW eingetragen. In meinem anderen Netz ist der Switch das GW, aber da gibt es auch keine UTM.

Next Step ist ein IPSec Tunnel zwischen zwei UTMs und der Zugriff auf die Server die hinter der anderen UTM hängen. Das soll aber ohne VLANs laufen. Es soll nur VLANs auf der Clientseite geben. Ich hab noch keine Ahnung, ob das überhaupt geht, aber wir werden sehen.

Und dann noch ein VoiceVLAN ...

Danke euch beiden schon mal und noch einen schönen Sonntag
Bitte warten ..
Mitglied: aqui
LÖSUNG 27.09.2020 um 13:46 Uhr
In meinem anderen Netz ist der Switch das GW
Geht aber natürlich nur bei einem Layer 3 Switch, sprich also einem der routen kann !
Die vSwitches im ESXi sind m.W. ausnahmslos reine L2 Switches.
Bitte warten ..
Mitglied: Xaero1982
27.09.2020 um 14:04 Uhr
Klar. Das Netz bei dem du mich unterstützt hattest. Das sind auch alles SG550x.

Bei dem Testnetz soll es über die UTM laufen.
Bitte warten ..
Mitglied: tech-flare
27.09.2020 um 14:09 Uhr
Zitat von aqui:
Die vSwitches im ESXi sind m.W. ausnahmslos reine L2 Switches.
korrekt
Bitte warten ..
Heiß diskutierte Inhalte
Multimedia
Fernseher im Empfang GEMA-pflichtig?
CaptainDuskyFrageMultimedia23 Kommentare

Guten Tag, wenn ich in einer Firma einen Fernseher im Empfang betreibe, dort aber nur Nachrichten laufen lasse, ist ...

Ubuntu
HAProxy-Wi: Installation des Pakets geht nicht - ich hätte keine enabled Repos
itnirvanaFrageUbuntu22 Kommentare

Hallo, von der Seite möchte ich gerne HAProxy-Wi installieren ich führe das hier aus Dann kommt -> There ar ...

Windows Server
PowerShell Script für MailVersand mit Anhang
gelöst klausk94FrageWindows Server20 Kommentare

Hallo Zusammen, ich bin aktuell etwas am verzweifeln an einem PS Script für den Emailversand Das Script funktioniert, jedoch ...

LAN, WAN, Wireless
RJ45 Buchsen Verbindung
gelöst DennisAdm1nFrageLAN, WAN, Wireless18 Kommentare

Ich habe als Aufgabe bekommen die LAN-Verbindung in einem Haus zu fixen, dabei ist mir aufgefallen, dass der RJ45-Stecker ...

Windows 10
Windows 7 zu Windows 10 weiterhin kostenlos möglich?
gelöst CubeHDFrageWindows 1017 Kommentare

Guten Abend, ist es möglich einen vorhandenen Windows 7 Key für Windows 10 zu verwenden? Kennt ihr vielleicht andere ...

Windows 10
Achtung: Upgrade auf Win10 20H2 löscht unter Umständen eigene Zertifikate
DerWoWussteInformationWindows 1015 Kommentare

Microsoft untersucht es derzeit, siehe Windows 10 ,Feature Update to 1909, Certificates missing after Wer ebenso untersuchen möchte was ...

Ähnliche Inhalte
Firewall
Sophos UTM 9 SG-115
gelöst OSelbeckFrageFirewall3 Kommentare

Finde irgenwie nüscht bei Dr. Google Also, neuer Kunde, Sophos UTM9, Lizenz abgelaufen Gibt es diese Lizenz nur bei ...

Firewall

IPSEC zwischen Watchguard XTM3xx und Sophos UTM SG 9.6

GlobetrotterFrageFirewall6 Kommentare

Moin Hat jemand von Euch schon solch ein Tunnel realisiert ? Habe im Netz geguckt aber ausser abgebrochene Forenbeiträge ...

Firewall

"Fehlalarm" Sophos UTM

ArnoNymousInformationFirewall1 Kommentar

Moin, Freunde der Sophos haben sich eventuell über eine Vielzahl an Warnmeldungen gewundert: Der Grund hierfür liegt an einer ...

Firewall

UTM Firewall Sophos

gelöst FingersFrageFirewall8 Kommentare

Moin Moin ich bin schon seit längerem am überlegen eine UTM Firewall von Sophos in meinem Netzwerk (Zuhause) zu ...

Firewall

Sophos UTM - Sophos AP55 Fehler

ZeroCool23FrageFirewall1 Kommentar

Hi zusammen, ich habe eine Sophos UTM mit 3 Sophos AP 55 laufen. Seit kurzem gibt es Probleme mit ...

Firewall

Sophos UTM Logging

Leo-leFrageFirewall3 Kommentare

Hallo zusammen, wenn ich z.B. Checkpoint und Sophos vom Logging gegenüberstelle, finde ich bisher das Logging von der UTM ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT