docusnap-dude
Goto Top

SOPHOS UTM9 an Coreswitch: einen physischen Uplinkport für mehrere VLANS konfigurieren

Hallo,

an die Sophos-Auskenner unter euch gerichtet. Da ich in dem Produkt total neu unterwegs bin hier dieser Thread.

Was haben wir:
eine Sophos UTM9 (up2Date), ETH4 hängt ein Coreswitch (HP 2920 Aruba) dran, welcher das interne Routing der VLAN's macht.

Die Sophos besteht aus 2 Geräten im Master/Slave Mode HA.

Im internen Netz gibt es 4 VLANS (1, 11, 15, 31). Alle sollen ins Internet kommen. IP-Bereiche jeweils /24:
  • VLAN1 = 10.110.1.0/24
  • VLAN11 = 10.110.11.0/24
  • VLAN15 = 10.110.15.0/24
  • VLAN31 = 10.110.31.0/24.

Auf dem Switch ist Route gesetzt auf den Port des Sophos-ETH4 --> "ip route 0.0.0.0 0.0.0.0 10.110.1.1". Im Switch hat jedes VLAN die jeweilige IP 10.110.xx.254 255.255.255.0.

Problem:
  • Switch oder Gerät im internen Netz kann die Sophos nicht erreichen (ICMP ist zugelassen etc.) --> Ping aus dem Switch per CLI geprüft auf 10.110.1.1
Umgedreht kann die Sophos den Switch bzw. irgendwas dahinter (z.B. 10.110.15.51) nicht erreichen (getestet mit Onboard-Tools PING auf dem Sophos-WEB-GUI).


Fragen dazu:

  • am Coreswitch je ein Port auf den ETH4 der beiden Hardware-Sophos
          • Ports im Switch auf Modus TRUNK im Modus LACP
          • TRUNK ist Tagged aufVLAN 1,11,15,31 --> Warum: SOPHOS-KB



  • Port an der Sophos ist auf ETHERNET-VLAN gemäß obigen Link zu SOPHOS-KB
          • TAGGED VLAN 1
          • IP des Ports ist aus VLAN 1 (10.110.1.1 255.255.255.0)

Meine Gedanken:
Ich denke mal das ist falsch, denn es kann nur ein VLAN pro Port in dem Modus (Ethernet-VLAN) gatagged werden.

Kann es sein, das ich auf Bridged-Mode gehen muss um alle VLAN's durchzulassen? Wenn ja: wie am besten umsetzen.



Danke für eure Ausführungen in Hilfe im voraus.

Content-ID: 348664

Url: https://administrator.de/forum/sophos-utm9-an-coreswitch-einen-physischen-uplinkport-fuer-mehrere-vlans-konfigurieren-348664.html

Ausgedruckt am: 21.12.2024 um 16:12 Uhr

em-pie
Lösung em-pie 09.09.2017 aktualisiert um 10:27:30 Uhr
Goto Top
Moin,

also als erstes:
Vergiss den Quatsch mit den Trunks und Tagged/ Untagged-Paketen am Aruba/ der UTM:

Dir scheinen schlichtweg die Rückrouten auf der Sophos zu fehlen:

Was du ja schon richtig gemacht hast: am "Core-Switch" (Ihr habt ein recht kleines Netz uzu haben, wenn der 2920 euer Core ist) die Default-Route auf die Sophos zu "lenken" (ich nehme an, die UTM hat die IP 10.110.1.1?)

Als nächstes müsst ihr auf der UTM unter "Static Routes" noch für jedes VLAN-Netz eine Route setzen:
  • Zielnetz: 10.110.11.0
  • Netzmaske: 255.255.255.0
  • Gateway: 10.110.1.1

  • Zielnetz: 10.110.15.0
  • Netzmaske: 255.255.255.0
  • Gateway: 10.110.1.1

  • Zielnetz: 10.110.31.0
  • Netzmaske: 255.255.255.0
  • Gateway: 10.110.1.1

Anschließend in der UTM noch die Firewall-Regeln anpassen/ ergänzen und alles sollte laufen.

Der Uplink-Port auf dem 2920 bleibt ganz normal auf untagged im VLAN 1, da ist kein LACP oder der gleichen erforderlich.

In dieser config läuft es bei uns auch:
UTM SG230 an HP E5406zl bzw. mittlerweile über ein SG500X, welcher wiederum an dem 5406zl angeschlossen ist.

Gruß
em-pie

Nachtrag:
du müsstest du mir den VLANs am Uplink des Switches arbeiten, wenn du die 3 übrigen VLANs auch direkt an der Sophos benötigen würdest, um z.B. die UTM das Routing übernehmen zu lassen oder um eine DMZ entsprechend abzubilden, du aber (warum auch immer) nur ein phsisches Medium zwischen Switch und UTM hättest (in jedem Fall würde ich aber immer für eine DMZ ein eigenes Medium/ Patchkabel an einem eigenen Port der UTM einsetzen).
aqui
Lösung aqui 09.09.2017 aktualisiert um 11:59:02 Uhr
Goto Top
Hier ist alles dazu erklärt:
https://community.sophos.com/kb/en-us/118999
Und hier gibts noch ein paar Grundlagen dazu:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Damit rennt es sofort !

Wie aber bereits gesagt ist das in Bezug auf deinen Ursprungsthread hier:
HP-Switch Konfigurieren inter VLAN Routing
völlige FALSCH !
Hier darfst du KEIN Tagging auf der Sophos machen, da du ja deine VLANs auf der HP Gurke als L3 Switch routetest und eben N ICHT auf der Sophos.
Die Sophos routet ja nur was der Switch nicht routen kann also alles was in andere IP Netze muss als die VLAN Netze.
Es reicht also vollkommen die Sophos nur untagged ins VLAN 1 zu hängen als stinknormales Endgerät.
Das Tagging interface müsstest du nur setzen wenn du alle VLANs auf der Sophos routen willst und nicht auf dem Switch !!
Genau das ist aber bei dir ja nicht der Fall wenn man dem Ursprungsthread richtig versteht.
DocuSnap-Dude
DocuSnap-Dude 10.09.2017 um 12:12:23 Uhr
Goto Top
Stimmt, einfach die Ports der Sophso auf Standard Ethernet (also nichts mit VLAN und LACP). Rennt. Danke!
aqui
aqui 11.09.2017 um 08:57:22 Uhr
Goto Top
Röchel....war ja eine schwere Geburt ! face-wink
DocuSnap-Dude
DocuSnap-Dude 11.09.2017 aktualisiert um 15:26:48 Uhr
Goto Top
Kleiner Nachrag: ging nur für VLAN 1.

ABER:

in der Sophos wird pro VLAN eine eigene "Netzwerkschnittstelle" angelegt; diese im Mode "Ethernet-VLAN" gatagged auf des jweilige VLAN-ID und dann (hier war mein Bug im Brain) dem gleichen PHYSISCHEM Interface zugewiesen. Quasi "vrtuelle Ports" ersellen und einem einzigen INT zuweisen.

Am ende: Statische Routen bauen auf die IP vom VLAN und fertig.

Zangengeburt; weil dann auch noch auf dem Switch die Ports nicht auf LACP/Trunk stehen dürfen!

Nun ja.

Muss man nicht verstehen, kann man aber so machen und es läuft face-smile
aqui
aqui 11.09.2017 aktualisiert um 18:20:28 Uhr
Goto Top
in der Sophos wird pro VLAN eine eigene "Netzwerkschnittstelle" angelegt;
Neiiiiinnn !!! Bitte nicht....
Es wurde doch nun mehrfach gesagt das du K E I N E VLAN 802.1q Konfig mehr machen sollst auf der Sophos !!!
Bitte halte dich daran !
Ein stinknormales Ethernet untagged Interface / Port an der Sophos OHNE Tagging !!!
hier war mein Bug im Brain
Richtig ein ziemlicher... face-wink
Du machst das lokale VLAN Routing ja auf dem Switch und eben NICHT auf der Firewall, damit entfallen dann logischerweise auch die VLAN Interfaces auf der Firewall.
Schlimmer noch: Sie wären gefährlich, da sie einen parallel Backdoor Router darstellen !
Fazit: Weg damit von der UTM !
weil dann auch noch auf dem Switch die Ports nicht auf LACP/Trunk stehen dürfen!
Jein !
Trunk / LACP bzw. LAG ist eine Link Aggregation und hat nichts (aber auch gar nichts) mit .1q Tagging zu tun !!
Sehr wohl kannst du auf der UTM 2 Ports in einen LACP LAG bringen und auch auf dem Gegenüber dem Switch.
Damit kannst du z.B. 2 Leitungen bündeln mit doppelter Bandbreite das geht natürlich.
Logischerweise arbeitet der LACP Lag dann auch NICHT tagged !
DocuSnap-Dude
DocuSnap-Dude 13.09.2017 um 06:08:15 Uhr
Goto Top
Moin,

bitte hier weiter verfolgen... Sofern noch was kommt post ich das dann hier auch noch FW-Spezifisch....

Thread-Link