xaero1982
Goto Top

Sophos Software Appliance UTM - VLAN - CISCO SG Series Switches

Moin Zusammen,

zu Testzwecken und rumprobieren hab ich mir einen ESX installiert mit 3 LAN Ports.
Auf dem ESX gibt es zwei VSwitches mit je einer Schnittstelle.

Auf dem ESX habe ich eine Sophos Software Appliance installiert und zwei Karten hinzugefügt.
Eine davon hängt am Switch in VLAN1
Die zweite hängt ebenfalls am Switch mit VLAN10.

Der Switch ist mit Dot1q konfiguriert.
Der entsprechende Port ist als Trunk konfiguriert und in VLAN10 auf Tagged gesetzt.

Auf der UTM habe ich beide Interfaces konfiguriert.

VLAN1 Interface: 192.168.0.100/24 gw: 192.168.0.1/24
VLAN10 Interface: 172.20.10.253/24 -> Ist als Interface VLAN konfiguriert mit VLAN Tag 10.

Dann habe ich einen DHCP Server auf der UTM eingerichtet (der andere DHCP läuft auf der Vodafonebüchse)

DHCP 1: VLAN10: 172.20.10.50 - 172.20.10.80 DNS: 172.20.10.253 GW: 172.20.10.254 (das ist der VLAN-Port am Switch)

DHCP Relay ist am Switch aktiviert und verweist auf die 172.20.10.253.

An einem zweiten Port am Switch der ebenfalls im VLAN10 als untagged konfiguriert ist hängt ein Client. Der bekommt keine IP.

Weise ich ihm fest eine zu kann er zwar die 172.20.10.254 erreichen, aber nicht die .253 (UTM)

Jemand eine Idee wo der Fehler liegen könnte?

Grüße

Das absurde ist, dass ich nicht mal vom Switch die UTM pingen kann. Stelle ich es auf Interface um statt interface vlan - klappts natürlich ohne Probleme.

Content-ID: 607975

Url: https://administrator.de/contentid/607975

Ausgedruckt am: 02.11.2024 um 22:11 Uhr

tech-flare
Lösung tech-flare 26.09.2020 aktualisiert um 18:39:39 Uhr
Goto Top
Also grundsätzlich würde es auch reichen,

Wenn der esxi Host und die appliance über den gleichen Port am Switch hängen - wichtige ist aber, dass du im esxi die Portgroup richtig konfigurierst.

Wenn du über die sophos die VLAN verwaltest, dann muss du die portgruppe im esxi, in der die vm hängt ein VLAN 4095 zuweisen. Dies bedeutet, dass alles Tagged VLAN als Trunk vom esxi host zur vm durchgereicht werden.

Wer routet bei dir? Der Switch oder die Sophos?
aqui
Lösung aqui 26.09.2020, aktualisiert am 20.10.2020 um 18:35:24 Uhr
Goto Top
Die Frage ist was genau du erreichen willst ? Vermutlich einfach nur die UTM testen mit einem LAN Port und einem WAN Port, richtig ?

Hier mal als Beispiel mit einem ganz primitiven vSwitch Setup auf einem ESXi Intel NUC mit nur einem Netzwerk Port und VLAN Switch für eine pfSense Firewall:
back-to-topPortgruppe fürs interne LAN zum bestehenden vSwitch mit VLAN Tag 3 hinzugefügt:
esxi2
back-to-topvSwitch:
vmwareneu

So sieht das Ganze dann mit einer pfSense auf einem VLAN Switch aus:

esxi

Der WAN Port der pfSense kann dann raus via Default VLAN 1 (gelb) und zum Internet Router. Mit den Endgeräten dort kann man z.B. den externen VPN Zugriff auf die Firewall, Port Forwarding usw. usw. sauber testen.
Interner LAN Port geht Tagged ins VLAN 3, ESXi Intern hängt ein Win 10 als Test VM an der Portgruppe und extern via Hardware VLAN Switch 2 andere Testrechner, Server im internen LAN (VLAN 3). Damit lässt sich ein klassisches Firewall Setup wie auch mit deiner UTM einfach und schnell testen.
DHCP usw. funktioniert alles fehlerlos und wie es sein soll !
Xaero1982
Xaero1982 26.09.2020 um 17:52:38 Uhr
Goto Top
Routen wird die UTM. Im Moment aber noch irrelevant, weil ich ja noch nicht mal das vlantagging richtig habe.

Mit der VLAN Id 4095 teste ich morgen. Für heute ist Schluss.

Thx
aqui
aqui 26.09.2020 aktualisiert um 18:02:47 Uhr
Goto Top
Mit der VLAN Id 4095 teste ich morgen. Für heute ist Schluss.
Wäre tödlich und macht man als Netzwerker nie !! Die VLAN IDs über 4090 (besser noch > 4000) solltest du strikt meiden weil diese sehr häufig Switch intern genutzt werden. Z.B. Single Span STP oder MSTP. Besser also Finger weg davon und diese IDs immer meiden wenn nicht zwingend erforderlich.
Wenn die UTM routen soll dann ist es doch das simple, oben gezeigte Design des vSwitches. Bei dir müsstest du nichtmal taggen sondern könntest mit deinen separaten externen NICs einfach einen 2ten vSwitch nutzen.
So oder so...beides ist die klassiche Lösung. face-wink
Siehe auch hier:
https://docs.netgate.com/pfsense/en/latest/recipes/virtualize-esxi.html
https://medium.com/@glmdev/how-to-set-up-virtualized-pfsense-on-vmware-e ...
Xaero1982
Xaero1982 26.09.2020 um 18:15:43 Uhr
Goto Top
Hi Aqui,

grundsätzlich geht das auch mit der UTM, aber sobald ich in der UTM das Interface auf Interface VLAN stelle wars das.
Kein DHCP mehr und auch sonst nicht mehr zu erreichen die UTM über diese Schnittstelle.

Da ich aber über kurz oder lang mehrere VLANs drauf laufen haben müsste und nicht für jedes eine separate Schnittstelle habe muss ich über Interface VLAN gehen.

Ich bin morgen wieder bei meiner Testumgebung und teste weiter.

Danke schon mal und einen schönen Abend noch!face-smile
Stefan007
Stefan007 26.09.2020 um 21:03:33 Uhr
Goto Top
Hast du die Pings auf der Sophos aktiviert?;)
tech-flare
Lösung tech-flare 26.09.2020 um 21:09:32 Uhr
Goto Top
Zitat von @aqui:

Mit der VLAN Id 4095 teste ich morgen. Für heute ist Schluss.
Wäre tödlich und macht man als Netzwerker nie !! Die VLAN IDs über 4090 (besser noch > 4000) solltest du strikt meiden weil diese sehr häufig Switch intern genutzt werden. Z.B. Single Span STP oder MSTP. Besser also Finger weg davon und diese IDs immer meiden wenn nicht zwingend erforderlich.

Falsch! Denn dies ist bei vmware Standard und hat sich seit Jahren etabliert und wird genauso bei vmware beschrieben. Und ich denke die Leute bei vmware wissen was sie tun ;)

Du kannst dies gern hier nachlesen:

VLAN-Konfiguration bei

im übrigens wurde dir das bereits 2017 mal erklärt VLAN an ESXi

Denn andernfalls müsstest du als Beispiel 20 Portgruppen auf dem VMHost anlegen, wenn du 20 VLAN mit der Sophos routen willst. Und noch schlimmer....du müsstest der Sophos vm 20 einzelne Netzwerkkarten zuweisen und wenn du dann noch eine Sohpos XG einsetzt und diese vorerst als VM mit 20 einzelnen Netzwerkkarten verwendet und dann auf eine physische Sophos mit 2 physischen NIC wechselst , hat es dich richtig ange***, weil man bei der XG derzeit das Backup nur importieren kann, wenn die Anzahl der NIC übereinstimmt, da ein manuelles nachträgliches zuordnen der Interfaces / Ports nicht möglich ist.

Übrigens gibts noch weitere Beispiele warum man das VLAN 4095 bei vmware verwenden sollte (dadurch wird ja nur trunking in der jeweiligen Portgruppe aktiviert):

Wenn du Packetfence als NAC einsetzt, muss Packetfence die VLAN selbst taggen können um alle Funktionen verwenden zu können.


Gruß
tech-flare
Lösung tech-flare 26.09.2020 aktualisiert um 21:47:46 Uhr
Goto Top
Da ich aber über kurz oder lang mehrere VLANs drauf laufen haben müsste und nicht für jedes eine separate Schnittstelle habe muss ich über Interface VLAN gehen.
musst du nicht, wenn du auf der VLAN Portgruppe im ESXI als VLAN 4095 einstellst. Vorausgesetzt der Port, an dem der ESXI hängt ist als Trunk Port konfiguriert.

Nachzulesen hier

vmware VLAN Konfig

Genauso habe ich dies bereits mehrfach eingesetzt
Xaero1982
Xaero1982 26.09.2020 aktualisiert um 22:30:23 Uhr
Goto Top
Ich bin morgen wieder da und werde sicher noch ein paar Fragen haben!face-smile

Ist das bei der Hardwareappliance anders?
aqui
aqui 27.09.2020 aktualisiert um 11:55:20 Uhr
Goto Top
Falsch! Denn dies ist bei vmware Standard und hat sich seit Jahren etabliert und wird genauso bei vmware beschrieben. Und ich denke die Leute bei vmware wissen was sie tun
Kolligiert dann aber mit Switches von Ruckus, Extreme und Cisco und auch anderen die diese VLAN IDs von 4090 und höher intern nutzen. Es wäre fatal die dann auch auf Endgeräten bzw. der externen Infrastruktur zu nutzen.
Da VmWare keinerlei solcher administrativen VLANs kennt oder supportet wäre es einmal interessant zu erfahren WO das in deren Doku steht ?? Hast du da ggf. einen URL wo man das nachlesen kann ?
Generell weiss man als Netzwerker das man diese administrativen VLANs nie nutzen sollte. Falsch ist das keineswegs sondern eher weitsichtig.
@Xaero1982
Du musst natürlich auch darauf achten wenn du das UTM Interface auf 802.1q Tagging und VLANs umstellst das dessen Pendant auf der anderen Seite auch Tagging macht, sonst klappt es logischerweise nicht.
Xaero1982
Xaero1982 27.09.2020 um 12:19:06 Uhr
Goto Top
Moin,

ich habe am ESXI einen neuen vswitch erstellt mit einer eigenen Netzwerkkarte.
Dann habe ich eine Portgruppe erstellt mit VLAN 4095.

Diese Netzwerkkarte hängt an Port 3 am Switch, welcher als Trunkport konfiguriert ist und habe diesen auf Tagged gesetzt.

In der UTM ist die entsprechende Karte als Interface konfiguriert.

An Port 4 am Switch hängt ein Client im VLAN 10, sowie Port 3 auch.

DHCP auf der UTM ist aktiviert für diese Schnittstelle.

Ergebnis: Keine DHCP Adresse, kein nix.

Ändere ich am ESX die Portgruppe auf VLAN 10 bekomme ich eine Adresse vom DHCP der UTM.

Wenn ich auf der UTM das Interface auf Ethernet VLAN stelle mit der ID 10 und am ESX die Portgruppe auf VLAN 10 belasse passiert was? Nichts.

Wenn ich diese nun wieder auf VLAN 4095 ändere bekomme ich eine IP zugewiesen.

Ergebnis: ESX Portgruppe VLAN ID 4095
UTM: Interface VLAN mit der ID 10
Switch: Port 3 an dem der ESX hängt in VLAN 10 auf Tagged
Port 4 an dem ein Client hängt in VLAN 10 auf untagged

Ich werde jetzt mal noch weitere VLANS erstellen an der UTM und weitere DHCP Server. Mal sehen.

Grüße
Xaero1982
Xaero1982 27.09.2020 um 12:35:33 Uhr
Goto Top
So, hab jetzt noch ein zweites VLAN angelegt.

Switch: Port 3
Trunk
VLAN 10 tagged
VLAN 20 tagged

Port 6
VLAN 20 untagged

UTM:
Interface VLAN
Tag 20
DHCP eingerichtet

Läuft.

Jetzt muss ich nur noch den Webzugriff ans Laufen bekommen aus dem jeweiligen VLAN.

Die Vodafonebüchse hängt in VLAN 1 mit 192.168.0.1

Das heißt ich muss ne Route aus dem jeweiligen VLAN über das GW in das 192.168.0.0/24 Netz einrichten, right?
tech-flare
Lösung tech-flare 27.09.2020 aktualisiert um 12:54:29 Uhr
Goto Top
Zitat von @aqui:

Falsch! Denn dies ist bei vmware Standard und hat sich seit Jahren etabliert und wird genauso bei vmware beschrieben. Und ich denke die Leute bei vmware wissen was sie tun
Kolligiert dann aber mit Switches von Ruckus, Extreme und Cisco und auch anderen die diese VLAN IDs von 4090 und höher intern nutzen. Es wäre fatal die dann auch auf Endgeräten bzw. der externen Infrastruktur zu nutzen.
Dies funktioniert hier aber genauso an einem Standort mit Cisco Switches (SG250) und mehreren VM Host

Da VmWare keinerlei solcher administrativen VLANs kennt oder supportet wäre es einmal interessant zu erfahren WO das in deren Doku steht ?? Hast du da ggf. einen URL wo man das nachlesen kann ?
Oben in dem Link steht dies mit VLAN 4095 drin.

Anbei nochmal der Link Trunk Port bei VMHost
tech-flare
Lösung tech-flare 27.09.2020 um 12:57:52 Uhr
Goto Top
Jetzt muss ich nur noch den Webzugriff ans Laufen bekommen aus dem jeweiligen VLAN.

Die Vodafonebüchse hängt in VLAN 1 mit 192.168.0.1

Das heißt ich muss ne Route aus dem jeweiligen VLAN über das GW in das 192.168.0.0/24 Netz einrichten, right?
Nein...wenn deine Sophos routen soll, ist das 192.168.0.0/24 das TransferNetz zwischen der Vodafone Büchse und der Sophos.

VF ist 192.168.0.1
Sophos hat z.b 192.168.0.2 (das ist das WAN Interface der Sophos).

Die Vodafone Büchse ist somit "nur" das Modem für die Sophos um es mal einfach auszudrücken.

Alle Geräte hinter der Sophos gehen dann über die Sophos ins Internet, sofern es die Firewall Regeln in der Sophos erlauben.

Ps.: Setzt du die XG oder die UTM als Software Appliance ein?
Xaero1982
Xaero1982 27.09.2020 um 13:10:02 Uhr
Goto Top
Ich hab die UTM als Software Appliance laufen.

Das ist schon klar, aber das läuft nicht face-smile

Ich hab in der Firewall nur eine Regel: any -> any -> any
Damit sollte ja erstmal alles abgedeckt sein zu Testzwecken.

Sophos hat hier die 192.168.0.100
VF 192.168.0.1

Aber um von dem VLAN 172.20.10.0/24 ins Internet zu kommen brauche ich doch eine Route?

Also VLAN10 (172.20.10.0/24) -> Interface (192.168.0.100)
und eine Masquerading Regel:
Netzwork 172.20.10.0/24 -> Interface (192.168.0.100)

or not?
Xaero1982
Xaero1982 27.09.2020 um 13:11:24 Uhr
Goto Top
Ok nun läuft es. Das GW war falsch auf dem Client.
tech-flare
Lösung tech-flare 27.09.2020 um 13:20:17 Uhr
Goto Top
Zitat von @Xaero1982:

Ok nun läuft es. Das GW war falsch auf dem Client.
ok. sehr gut.

Angenommen dein Client im VLAN10 (172.20.10.0/24) und das interface der Sophos ist 172.20.10.1, dann muss das GW im Client 172.20.10.1 sein
Xaero1982
Xaero1982 27.09.2020 um 13:26:54 Uhr
Goto Top
Jep, ich hatte den Switch als GW eingetragen. In meinem anderen Netz ist der Switch das GW, aber da gibt es auch keine UTM.

Next Step ist ein IPSec Tunnel zwischen zwei UTMs und der Zugriff auf die Server die hinter der anderen UTM hängen. Das soll aber ohne VLANs laufen. Es soll nur VLANs auf der Clientseite geben. Ich hab noch keine Ahnung, ob das überhaupt geht, aber wir werden sehen.

Und dann noch ein VoiceVLAN ...

Danke euch beiden schon mal und noch einen schönen Sonntag face-smile
aqui
Lösung aqui 27.09.2020 um 13:46:36 Uhr
Goto Top
In meinem anderen Netz ist der Switch das GW
Geht aber natürlich nur bei einem Layer 3 Switch, sprich also einem der routen kann !
Die vSwitches im ESXi sind m.W. ausnahmslos reine L2 Switches.
Xaero1982
Xaero1982 27.09.2020 um 14:04:04 Uhr
Goto Top
Klar. Das Netz bei dem du mich unterstützt hattest. Das sind auch alles SG550x.

Bei dem Testnetz soll es über die UTM laufen.
tech-flare
tech-flare 27.09.2020 um 14:09:13 Uhr
Goto Top
Zitat von @aqui:
Die vSwitches im ESXi sind m.W. ausnahmslos reine L2 Switches.
korrekt