21
Sophos Software Appliance UTM - VLAN - CISCO SG Series Switches
Moin Zusammen,
zu Testzwecken und rumprobieren hab ich mir einen ESX installiert mit 3 LAN Ports.
Auf dem ESX gibt es zwei VSwitches mit je einer Schnittstelle.
Auf dem ESX habe ich eine Sophos Software Appliance installiert und zwei Karten hinzugefügt.
Eine davon hängt am Switch in VLAN1
Die zweite hängt ebenfalls am Switch mit VLAN10.
Der Switch ist mit Dot1q konfiguriert.
Der entsprechende Port ist als Trunk konfiguriert und in VLAN10 auf Tagged gesetzt.
Auf der UTM habe ich beide Interfaces konfiguriert.
VLAN1 Interface: 192.168.0.100/24 gw: 192.168.0.1/24
VLAN10 Interface: 172.20.10.253/24 -> Ist als Interface VLAN konfiguriert mit VLAN Tag 10.
Dann habe ich einen DHCP Server auf der UTM eingerichtet (der andere DHCP läuft auf der Vodafonebüchse)
DHCP 1: VLAN10: 172.20.10.50 - 172.20.10.80 DNS: 172.20.10.253 GW: 172.20.10.254 (das ist der VLAN-Port am Switch)
DHCP Relay ist am Switch aktiviert und verweist auf die 172.20.10.253.
An einem zweiten Port am Switch der ebenfalls im VLAN10 als untagged konfiguriert ist hängt ein Client. Der bekommt keine IP.
Weise ich ihm fest eine zu kann er zwar die 172.20.10.254 erreichen, aber nicht die .253 (UTM)
Jemand eine Idee wo der Fehler liegen könnte?
Grüße
Das absurde ist, dass ich nicht mal vom Switch die UTM pingen kann. Stelle ich es auf Interface um statt interface vlan - klappts natürlich ohne Probleme.
zu Testzwecken und rumprobieren hab ich mir einen ESX installiert mit 3 LAN Ports.
Auf dem ESX gibt es zwei VSwitches mit je einer Schnittstelle.
Auf dem ESX habe ich eine Sophos Software Appliance installiert und zwei Karten hinzugefügt.
Eine davon hängt am Switch in VLAN1
Die zweite hängt ebenfalls am Switch mit VLAN10.
Der Switch ist mit Dot1q konfiguriert.
Der entsprechende Port ist als Trunk konfiguriert und in VLAN10 auf Tagged gesetzt.
Auf der UTM habe ich beide Interfaces konfiguriert.
VLAN1 Interface: 192.168.0.100/24 gw: 192.168.0.1/24
VLAN10 Interface: 172.20.10.253/24 -> Ist als Interface VLAN konfiguriert mit VLAN Tag 10.
Dann habe ich einen DHCP Server auf der UTM eingerichtet (der andere DHCP läuft auf der Vodafonebüchse)
DHCP 1: VLAN10: 172.20.10.50 - 172.20.10.80 DNS: 172.20.10.253 GW: 172.20.10.254 (das ist der VLAN-Port am Switch)
DHCP Relay ist am Switch aktiviert und verweist auf die 172.20.10.253.
An einem zweiten Port am Switch der ebenfalls im VLAN10 als untagged konfiguriert ist hängt ein Client. Der bekommt keine IP.
Weise ich ihm fest eine zu kann er zwar die 172.20.10.254 erreichen, aber nicht die .253 (UTM)
Jemand eine Idee wo der Fehler liegen könnte?
Grüße
Das absurde ist, dass ich nicht mal vom Switch die UTM pingen kann. Stelle ich es auf Interface um statt interface vlan - klappts natürlich ohne Probleme.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 607975
Url: https://administrator.de/contentid/607975
Ausgedruckt am: 04.11.2024 um 17:11 Uhr
21 Kommentare
Neuester Kommentar
Also grundsätzlich würde es auch reichen,
Wenn der esxi Host und die appliance über den gleichen Port am Switch hängen - wichtige ist aber, dass du im esxi die Portgroup richtig konfigurierst.
Wenn du über die sophos die VLAN verwaltest, dann muss du die portgruppe im esxi, in der die vm hängt ein VLAN 4095 zuweisen. Dies bedeutet, dass alles Tagged VLAN als Trunk vom esxi host zur vm durchgereicht werden.
Wer routet bei dir? Der Switch oder die Sophos?
Wenn der esxi Host und die appliance über den gleichen Port am Switch hängen - wichtige ist aber, dass du im esxi die Portgroup richtig konfigurierst.
Wenn du über die sophos die VLAN verwaltest, dann muss du die portgruppe im esxi, in der die vm hängt ein VLAN 4095 zuweisen. Dies bedeutet, dass alles Tagged VLAN als Trunk vom esxi host zur vm durchgereicht werden.
Wer routet bei dir? Der Switch oder die Sophos?
Die Frage ist was genau du erreichen willst ? Vermutlich einfach nur die UTM testen mit einem LAN Port und einem WAN Port, richtig ?
Hier mal als Beispiel mit einem ganz primitiven vSwitch Setup auf einem ESXi Intel NUC mit nur einem Netzwerk Port und VLAN Switch für eine pfSense Firewall:
So sieht das Ganze dann mit einer pfSense auf einem VLAN Switch aus:
Der WAN Port der pfSense kann dann raus via Default VLAN 1 (gelb) und zum Internet Router. Mit den Endgeräten dort kann man z.B. den externen VPN Zugriff auf die Firewall, Port Forwarding usw. usw. sauber testen.
Interner LAN Port geht Tagged ins VLAN 3, ESXi Intern hängt ein Win 10 als Test VM an der Portgruppe und extern via Hardware VLAN Switch 2 andere Testrechner, Server im internen LAN (VLAN 3). Damit lässt sich ein klassisches Firewall Setup wie auch mit deiner UTM einfach und schnell testen.
DHCP usw. funktioniert alles fehlerlos und wie es sein soll !
Hier mal als Beispiel mit einem ganz primitiven vSwitch Setup auf einem ESXi Intel NUC mit nur einem Netzwerk Port und VLAN Switch für eine pfSense Firewall:
Portgruppe fürs interne LAN zum bestehenden vSwitch mit VLAN Tag 3 hinzugefügt:
vSwitch:
So sieht das Ganze dann mit einer pfSense auf einem VLAN Switch aus:
Der WAN Port der pfSense kann dann raus via Default VLAN 1 (gelb) und zum Internet Router. Mit den Endgeräten dort kann man z.B. den externen VPN Zugriff auf die Firewall, Port Forwarding usw. usw. sauber testen.
Interner LAN Port geht Tagged ins VLAN 3, ESXi Intern hängt ein Win 10 als Test VM an der Portgruppe und extern via Hardware VLAN Switch 2 andere Testrechner, Server im internen LAN (VLAN 3). Damit lässt sich ein klassisches Firewall Setup wie auch mit deiner UTM einfach und schnell testen.
DHCP usw. funktioniert alles fehlerlos und wie es sein soll !
Routen wird die UTM. Im Moment aber noch irrelevant, weil ich ja noch nicht mal das vlantagging richtig habe.
Mit der VLAN Id 4095 teste ich morgen. Für heute ist Schluss.
Thx
Mit der VLAN Id 4095 teste ich morgen. Für heute ist Schluss.
Thx
Mit der VLAN Id 4095 teste ich morgen. Für heute ist Schluss.
Wäre tödlich und macht man als Netzwerker nie !! Die VLAN IDs über 4090 (besser noch > 4000) solltest du strikt meiden weil diese sehr häufig Switch intern genutzt werden. Z.B. Single Span STP oder MSTP. Besser also Finger weg davon und diese IDs immer meiden wenn nicht zwingend erforderlich.Wenn die UTM routen soll dann ist es doch das simple, oben gezeigte Design des vSwitches. Bei dir müsstest du nichtmal taggen sondern könntest mit deinen separaten externen NICs einfach einen 2ten vSwitch nutzen.
So oder so...beides ist die klassiche Lösung.
Siehe auch hier:
https://docs.netgate.com/pfsense/en/latest/recipes/virtualize-esxi.html
https://medium.com/@glmdev/how-to-set-up-virtualized-pfsense-on-vmware-e ...
Hi Aqui,
grundsätzlich geht das auch mit der UTM, aber sobald ich in der UTM das Interface auf Interface VLAN stelle wars das.
Kein DHCP mehr und auch sonst nicht mehr zu erreichen die UTM über diese Schnittstelle.
Da ich aber über kurz oder lang mehrere VLANs drauf laufen haben müsste und nicht für jedes eine separate Schnittstelle habe muss ich über Interface VLAN gehen.
Ich bin morgen wieder bei meiner Testumgebung und teste weiter.
Danke schon mal und einen schönen Abend noch!
grundsätzlich geht das auch mit der UTM, aber sobald ich in der UTM das Interface auf Interface VLAN stelle wars das.
Kein DHCP mehr und auch sonst nicht mehr zu erreichen die UTM über diese Schnittstelle.
Da ich aber über kurz oder lang mehrere VLANs drauf laufen haben müsste und nicht für jedes eine separate Schnittstelle habe muss ich über Interface VLAN gehen.
Ich bin morgen wieder bei meiner Testumgebung und teste weiter.
Danke schon mal und einen schönen Abend noch!
Hast du die Pings auf der Sophos aktiviert?;)
Zitat von @aqui:
Mit der VLAN Id 4095 teste ich morgen. Für heute ist Schluss.
Wäre tödlich und macht man als Netzwerker nie !! Die VLAN IDs über 4090 (besser noch > 4000) solltest du strikt meiden weil diese sehr häufig Switch intern genutzt werden. Z.B. Single Span STP oder MSTP. Besser also Finger weg davon und diese IDs immer meiden wenn nicht zwingend erforderlich.Falsch! Denn dies ist bei vmware Standard und hat sich seit Jahren etabliert und wird genauso bei vmware beschrieben. Und ich denke die Leute bei vmware wissen was sie tun ;)
Du kannst dies gern hier nachlesen:
VLAN-Konfiguration bei
im übrigens wurde dir das bereits 2017 mal erklärt VLAN an ESXi
Denn andernfalls müsstest du als Beispiel 20 Portgruppen auf dem VMHost anlegen, wenn du 20 VLAN mit der Sophos routen willst. Und noch schlimmer....du müsstest der Sophos vm 20 einzelne Netzwerkkarten zuweisen und wenn du dann noch eine Sohpos XG einsetzt und diese vorerst als VM mit 20 einzelnen Netzwerkkarten verwendet und dann auf eine physische Sophos mit 2 physischen NIC wechselst , hat es dich richtig ange***, weil man bei der XG derzeit das Backup nur importieren kann, wenn die Anzahl der NIC übereinstimmt, da ein manuelles nachträgliches zuordnen der Interfaces / Ports nicht möglich ist.
Übrigens gibts noch weitere Beispiele warum man das VLAN 4095 bei vmware verwenden sollte (dadurch wird ja nur trunking in der jeweiligen Portgruppe aktiviert):
Wenn du Packetfence als NAC einsetzt, muss Packetfence die VLAN selbst taggen können um alle Funktionen verwenden zu können.
Gruß
Da ich aber über kurz oder lang mehrere VLANs drauf laufen haben müsste und nicht für jedes eine separate Schnittstelle habe muss ich über Interface VLAN gehen.
musst du nicht, wenn du auf der VLAN Portgruppe im ESXI als VLAN 4095 einstellst. Vorausgesetzt der Port, an dem der ESXI hängt ist als Trunk Port konfiguriert.Nachzulesen hier
vmware VLAN Konfig
Genauso habe ich dies bereits mehrfach eingesetzt
Ich bin morgen wieder da und werde sicher noch ein paar Fragen haben!
Ist das bei der Hardwareappliance anders?
Ist das bei der Hardwareappliance anders?
Falsch! Denn dies ist bei vmware Standard und hat sich seit Jahren etabliert und wird genauso bei vmware beschrieben. Und ich denke die Leute bei vmware wissen was sie tun
Kolligiert dann aber mit Switches von Ruckus, Extreme und Cisco und auch anderen die diese VLAN IDs von 4090 und höher intern nutzen. Es wäre fatal die dann auch auf Endgeräten bzw. der externen Infrastruktur zu nutzen.Da VmWare keinerlei solcher administrativen VLANs kennt oder supportet wäre es einmal interessant zu erfahren WO das in deren Doku steht ?? Hast du da ggf. einen URL wo man das nachlesen kann ?
Generell weiss man als Netzwerker das man diese administrativen VLANs nie nutzen sollte. Falsch ist das keineswegs sondern eher weitsichtig.
@Xaero1982
Du musst natürlich auch darauf achten wenn du das UTM Interface auf 802.1q Tagging und VLANs umstellst das dessen Pendant auf der anderen Seite auch Tagging macht, sonst klappt es logischerweise nicht.
Moin,
ich habe am ESXI einen neuen vswitch erstellt mit einer eigenen Netzwerkkarte.
Dann habe ich eine Portgruppe erstellt mit VLAN 4095.
Diese Netzwerkkarte hängt an Port 3 am Switch, welcher als Trunkport konfiguriert ist und habe diesen auf Tagged gesetzt.
In der UTM ist die entsprechende Karte als Interface konfiguriert.
An Port 4 am Switch hängt ein Client im VLAN 10, sowie Port 3 auch.
DHCP auf der UTM ist aktiviert für diese Schnittstelle.
Ergebnis: Keine DHCP Adresse, kein nix.
Ändere ich am ESX die Portgruppe auf VLAN 10 bekomme ich eine Adresse vom DHCP der UTM.
Wenn ich auf der UTM das Interface auf Ethernet VLAN stelle mit der ID 10 und am ESX die Portgruppe auf VLAN 10 belasse passiert was? Nichts.
Wenn ich diese nun wieder auf VLAN 4095 ändere bekomme ich eine IP zugewiesen.
Ergebnis: ESX Portgruppe VLAN ID 4095
UTM: Interface VLAN mit der ID 10
Switch: Port 3 an dem der ESX hängt in VLAN 10 auf Tagged
Port 4 an dem ein Client hängt in VLAN 10 auf untagged
Ich werde jetzt mal noch weitere VLANS erstellen an der UTM und weitere DHCP Server. Mal sehen.
Grüße
ich habe am ESXI einen neuen vswitch erstellt mit einer eigenen Netzwerkkarte.
Dann habe ich eine Portgruppe erstellt mit VLAN 4095.
Diese Netzwerkkarte hängt an Port 3 am Switch, welcher als Trunkport konfiguriert ist und habe diesen auf Tagged gesetzt.
In der UTM ist die entsprechende Karte als Interface konfiguriert.
An Port 4 am Switch hängt ein Client im VLAN 10, sowie Port 3 auch.
DHCP auf der UTM ist aktiviert für diese Schnittstelle.
Ergebnis: Keine DHCP Adresse, kein nix.
Ändere ich am ESX die Portgruppe auf VLAN 10 bekomme ich eine Adresse vom DHCP der UTM.
Wenn ich auf der UTM das Interface auf Ethernet VLAN stelle mit der ID 10 und am ESX die Portgruppe auf VLAN 10 belasse passiert was? Nichts.
Wenn ich diese nun wieder auf VLAN 4095 ändere bekomme ich eine IP zugewiesen.
Ergebnis: ESX Portgruppe VLAN ID 4095
UTM: Interface VLAN mit der ID 10
Switch: Port 3 an dem der ESX hängt in VLAN 10 auf Tagged
Port 4 an dem ein Client hängt in VLAN 10 auf untagged
Ich werde jetzt mal noch weitere VLANS erstellen an der UTM und weitere DHCP Server. Mal sehen.
Grüße
So, hab jetzt noch ein zweites VLAN angelegt.
Switch: Port 3
Trunk
VLAN 10 tagged
VLAN 20 tagged
Port 6
VLAN 20 untagged
UTM:
Interface VLAN
Tag 20
DHCP eingerichtet
Läuft.
Jetzt muss ich nur noch den Webzugriff ans Laufen bekommen aus dem jeweiligen VLAN.
Die Vodafonebüchse hängt in VLAN 1 mit 192.168.0.1
Das heißt ich muss ne Route aus dem jeweiligen VLAN über das GW in das 192.168.0.0/24 Netz einrichten, right?
Switch: Port 3
Trunk
VLAN 10 tagged
VLAN 20 tagged
Port 6
VLAN 20 untagged
UTM:
Interface VLAN
Tag 20
DHCP eingerichtet
Läuft.
Jetzt muss ich nur noch den Webzugriff ans Laufen bekommen aus dem jeweiligen VLAN.
Die Vodafonebüchse hängt in VLAN 1 mit 192.168.0.1
Das heißt ich muss ne Route aus dem jeweiligen VLAN über das GW in das 192.168.0.0/24 Netz einrichten, right?
Zitat von @aqui:
Dies funktioniert hier aber genauso an einem Standort mit Cisco Switches (SG250) und mehreren VM HostFalsch! Denn dies ist bei vmware Standard und hat sich seit Jahren etabliert und wird genauso bei vmware beschrieben. Und ich denke die Leute bei vmware wissen was sie tun
Kolligiert dann aber mit Switches von Ruckus, Extreme und Cisco und auch anderen die diese VLAN IDs von 4090 und höher intern nutzen. Es wäre fatal die dann auch auf Endgeräten bzw. der externen Infrastruktur zu nutzen.Da VmWare keinerlei solcher administrativen VLANs kennt oder supportet wäre es einmal interessant zu erfahren WO das in deren Doku steht ?? Hast du da ggf. einen URL wo man das nachlesen kann ?
Oben in dem Link steht dies mit VLAN 4095 drin.Anbei nochmal der Link Trunk Port bei VMHost
Jetzt muss ich nur noch den Webzugriff ans Laufen bekommen aus dem jeweiligen VLAN.
Die Vodafonebüchse hängt in VLAN 1 mit 192.168.0.1
Das heißt ich muss ne Route aus dem jeweiligen VLAN über das GW in das 192.168.0.0/24 Netz einrichten, right?
Nein...wenn deine Sophos routen soll, ist das 192.168.0.0/24 das TransferNetz zwischen der Vodafone Büchse und der Sophos.Die Vodafonebüchse hängt in VLAN 1 mit 192.168.0.1
Das heißt ich muss ne Route aus dem jeweiligen VLAN über das GW in das 192.168.0.0/24 Netz einrichten, right?
VF ist 192.168.0.1
Sophos hat z.b 192.168.0.2 (das ist das WAN Interface der Sophos).
Die Vodafone Büchse ist somit "nur" das Modem für die Sophos um es mal einfach auszudrücken.
Alle Geräte hinter der Sophos gehen dann über die Sophos ins Internet, sofern es die Firewall Regeln in der Sophos erlauben.
Ps.: Setzt du die XG oder die UTM als Software Appliance ein?
Ich hab die UTM als Software Appliance laufen.
Das ist schon klar, aber das läuft nicht
Ich hab in der Firewall nur eine Regel: any -> any -> any
Damit sollte ja erstmal alles abgedeckt sein zu Testzwecken.
Sophos hat hier die 192.168.0.100
VF 192.168.0.1
Aber um von dem VLAN 172.20.10.0/24 ins Internet zu kommen brauche ich doch eine Route?
Also VLAN10 (172.20.10.0/24) -> Interface (192.168.0.100)
und eine Masquerading Regel:
Netzwork 172.20.10.0/24 -> Interface (192.168.0.100)
or not?
Das ist schon klar, aber das läuft nicht
Ich hab in der Firewall nur eine Regel: any -> any -> any
Damit sollte ja erstmal alles abgedeckt sein zu Testzwecken.
Sophos hat hier die 192.168.0.100
VF 192.168.0.1
Aber um von dem VLAN 172.20.10.0/24 ins Internet zu kommen brauche ich doch eine Route?
Also VLAN10 (172.20.10.0/24) -> Interface (192.168.0.100)
und eine Masquerading Regel:
Netzwork 172.20.10.0/24 -> Interface (192.168.0.100)
or not?
Ok nun läuft es. Das GW war falsch auf dem Client.
ok. sehr gut.
Angenommen dein Client im VLAN10 (172.20.10.0/24) und das interface der Sophos ist 172.20.10.1, dann muss das GW im Client 172.20.10.1 sein
Angenommen dein Client im VLAN10 (172.20.10.0/24) und das interface der Sophos ist 172.20.10.1, dann muss das GW im Client 172.20.10.1 sein
Jep, ich hatte den Switch als GW eingetragen. In meinem anderen Netz ist der Switch das GW, aber da gibt es auch keine UTM.
Next Step ist ein IPSec Tunnel zwischen zwei UTMs und der Zugriff auf die Server die hinter der anderen UTM hängen. Das soll aber ohne VLANs laufen. Es soll nur VLANs auf der Clientseite geben. Ich hab noch keine Ahnung, ob das überhaupt geht, aber wir werden sehen.
Und dann noch ein VoiceVLAN ...
Danke euch beiden schon mal und noch einen schönen Sonntag
Next Step ist ein IPSec Tunnel zwischen zwei UTMs und der Zugriff auf die Server die hinter der anderen UTM hängen. Das soll aber ohne VLANs laufen. Es soll nur VLANs auf der Clientseite geben. Ich hab noch keine Ahnung, ob das überhaupt geht, aber wir werden sehen.
Und dann noch ein VoiceVLAN ...
Danke euch beiden schon mal und noch einen schönen Sonntag
In meinem anderen Netz ist der Switch das GW
Geht aber natürlich nur bei einem Layer 3 Switch, sprich also einem der routen kann !Die vSwitches im ESXi sind m.W. ausnahmslos reine L2 Switches.
Klar. Das Netz bei dem du mich unterstützt hattest. Das sind auch alles SG550x.
Bei dem Testnetz soll es über die UTM laufen.
Bei dem Testnetz soll es über die UTM laufen.
korrekt
