SOPHOS UTM9 an Coreswitch: einen physischen Uplinkport für mehrere VLANS konfigurieren
Hallo,
an die Sophos-Auskenner unter euch gerichtet. Da ich in dem Produkt total neu unterwegs bin hier dieser Thread.
Was haben wir:
eine Sophos UTM9 (up2Date), ETH4 hängt ein Coreswitch (HP 2920 Aruba) dran, welcher das interne Routing der VLAN's macht.
Die Sophos besteht aus 2 Geräten im Master/Slave Mode HA.
Im internen Netz gibt es 4 VLANS (1, 11, 15, 31). Alle sollen ins Internet kommen. IP-Bereiche jeweils /24:
Auf dem Switch ist Route gesetzt auf den Port des Sophos-ETH4 --> "ip route 0.0.0.0 0.0.0.0 10.110.1.1". Im Switch hat jedes VLAN die jeweilige IP 10.110.xx.254 255.255.255.0.
Problem:
Fragen dazu:
Meine Gedanken:
Ich denke mal das ist falsch, denn es kann nur ein VLAN pro Port in dem Modus (Ethernet-VLAN) gatagged werden.
Kann es sein, das ich auf Bridged-Mode gehen muss um alle VLAN's durchzulassen? Wenn ja: wie am besten umsetzen.
Danke für eure Ausführungen in Hilfe im voraus.
an die Sophos-Auskenner unter euch gerichtet. Da ich in dem Produkt total neu unterwegs bin hier dieser Thread.
Was haben wir:
eine Sophos UTM9 (up2Date), ETH4 hängt ein Coreswitch (HP 2920 Aruba) dran, welcher das interne Routing der VLAN's macht.
Die Sophos besteht aus 2 Geräten im Master/Slave Mode HA.
Im internen Netz gibt es 4 VLANS (1, 11, 15, 31). Alle sollen ins Internet kommen. IP-Bereiche jeweils /24:
- VLAN1 = 10.110.1.0/24
- VLAN11 = 10.110.11.0/24
- VLAN15 = 10.110.15.0/24
- VLAN31 = 10.110.31.0/24.
Auf dem Switch ist Route gesetzt auf den Port des Sophos-ETH4 --> "ip route 0.0.0.0 0.0.0.0 10.110.1.1". Im Switch hat jedes VLAN die jeweilige IP 10.110.xx.254 255.255.255.0.
Problem:
- Switch oder Gerät im internen Netz kann die Sophos nicht erreichen (ICMP ist zugelassen etc.) --> Ping aus dem Switch per CLI geprüft auf 10.110.1.1
Fragen dazu:
- am Coreswitch je ein Port auf den ETH4 der beiden Hardware-Sophos
- Ports im Switch auf Modus TRUNK im Modus LACP
- TRUNK ist Tagged aufVLAN 1,11,15,31 --> Warum: SOPHOS-KB
- Port an der Sophos ist auf ETHERNET-VLAN gemäß obigen Link zu SOPHOS-KB
- TAGGED VLAN 1
- IP des Ports ist aus VLAN 1 (10.110.1.1 255.255.255.0)
Meine Gedanken:
Ich denke mal das ist falsch, denn es kann nur ein VLAN pro Port in dem Modus (Ethernet-VLAN) gatagged werden.
Kann es sein, das ich auf Bridged-Mode gehen muss um alle VLAN's durchzulassen? Wenn ja: wie am besten umsetzen.
Danke für eure Ausführungen in Hilfe im voraus.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 348664
Url: https://administrator.de/forum/sophos-utm9-an-coreswitch-einen-physischen-uplinkport-fuer-mehrere-vlans-konfigurieren-348664.html
Ausgedruckt am: 21.12.2024 um 16:12 Uhr
7 Kommentare
Neuester Kommentar
Moin,
also als erstes:
Vergiss den Quatsch mit den Trunks und Tagged/ Untagged-Paketen am Aruba/ der UTM:
Dir scheinen schlichtweg die Rückrouten auf der Sophos zu fehlen:
Was du ja schon richtig gemacht hast: am "Core-Switch" (Ihr habt ein recht kleines Netz uzu haben, wenn der 2920 euer Core ist) die Default-Route auf die Sophos zu "lenken" (ich nehme an, die UTM hat die IP 10.110.1.1?)
Als nächstes müsst ihr auf der UTM unter "Static Routes" noch für jedes VLAN-Netz eine Route setzen:
Anschließend in der UTM noch die Firewall-Regeln anpassen/ ergänzen und alles sollte laufen.
Der Uplink-Port auf dem 2920 bleibt ganz normal auf untagged im VLAN 1, da ist kein LACP oder der gleichen erforderlich.
In dieser config läuft es bei uns auch:
UTM SG230 an HP E5406zl bzw. mittlerweile über ein SG500X, welcher wiederum an dem 5406zl angeschlossen ist.
Gruß
em-pie
Nachtrag:
du müsstest du mir den VLANs am Uplink des Switches arbeiten, wenn du die 3 übrigen VLANs auch direkt an der Sophos benötigen würdest, um z.B. die UTM das Routing übernehmen zu lassen oder um eine DMZ entsprechend abzubilden, du aber (warum auch immer) nur ein phsisches Medium zwischen Switch und UTM hättest (in jedem Fall würde ich aber immer für eine DMZ ein eigenes Medium/ Patchkabel an einem eigenen Port der UTM einsetzen).
also als erstes:
Vergiss den Quatsch mit den Trunks und Tagged/ Untagged-Paketen am Aruba/ der UTM:
Dir scheinen schlichtweg die Rückrouten auf der Sophos zu fehlen:
Was du ja schon richtig gemacht hast: am "Core-Switch" (Ihr habt ein recht kleines Netz uzu haben, wenn der 2920 euer Core ist) die Default-Route auf die Sophos zu "lenken" (ich nehme an, die UTM hat die IP 10.110.1.1?)
Als nächstes müsst ihr auf der UTM unter "Static Routes" noch für jedes VLAN-Netz eine Route setzen:
- Zielnetz: 10.110.11.0
- Netzmaske: 255.255.255.0
- Gateway: 10.110.1.1
- Zielnetz: 10.110.15.0
- Netzmaske: 255.255.255.0
- Gateway: 10.110.1.1
- Zielnetz: 10.110.31.0
- Netzmaske: 255.255.255.0
- Gateway: 10.110.1.1
Anschließend in der UTM noch die Firewall-Regeln anpassen/ ergänzen und alles sollte laufen.
Der Uplink-Port auf dem 2920 bleibt ganz normal auf untagged im VLAN 1, da ist kein LACP oder der gleichen erforderlich.
In dieser config läuft es bei uns auch:
UTM SG230 an HP E5406zl bzw. mittlerweile über ein SG500X, welcher wiederum an dem 5406zl angeschlossen ist.
Gruß
em-pie
Nachtrag:
du müsstest du mir den VLANs am Uplink des Switches arbeiten, wenn du die 3 übrigen VLANs auch direkt an der Sophos benötigen würdest, um z.B. die UTM das Routing übernehmen zu lassen oder um eine DMZ entsprechend abzubilden, du aber (warum auch immer) nur ein phsisches Medium zwischen Switch und UTM hättest (in jedem Fall würde ich aber immer für eine DMZ ein eigenes Medium/ Patchkabel an einem eigenen Port der UTM einsetzen).
Hier ist alles dazu erklärt:
https://community.sophos.com/kb/en-us/118999
Und hier gibts noch ein paar Grundlagen dazu:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Damit rennt es sofort !
Wie aber bereits gesagt ist das in Bezug auf deinen Ursprungsthread hier:
HP-Switch Konfigurieren inter VLAN Routing
völlige FALSCH !
Hier darfst du KEIN Tagging auf der Sophos machen, da du ja deine VLANs auf der HP Gurke als L3 Switch routetest und eben N ICHT auf der Sophos.
Die Sophos routet ja nur was der Switch nicht routen kann also alles was in andere IP Netze muss als die VLAN Netze.
Es reicht also vollkommen die Sophos nur untagged ins VLAN 1 zu hängen als stinknormales Endgerät.
Das Tagging interface müsstest du nur setzen wenn du alle VLANs auf der Sophos routen willst und nicht auf dem Switch !!
Genau das ist aber bei dir ja nicht der Fall wenn man dem Ursprungsthread richtig versteht.
https://community.sophos.com/kb/en-us/118999
Und hier gibts noch ein paar Grundlagen dazu:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Damit rennt es sofort !
Wie aber bereits gesagt ist das in Bezug auf deinen Ursprungsthread hier:
HP-Switch Konfigurieren inter VLAN Routing
völlige FALSCH !
Hier darfst du KEIN Tagging auf der Sophos machen, da du ja deine VLANs auf der HP Gurke als L3 Switch routetest und eben N ICHT auf der Sophos.
Die Sophos routet ja nur was der Switch nicht routen kann also alles was in andere IP Netze muss als die VLAN Netze.
Es reicht also vollkommen die Sophos nur untagged ins VLAN 1 zu hängen als stinknormales Endgerät.
Das Tagging interface müsstest du nur setzen wenn du alle VLANs auf der Sophos routen willst und nicht auf dem Switch !!
Genau das ist aber bei dir ja nicht der Fall wenn man dem Ursprungsthread richtig versteht.
in der Sophos wird pro VLAN eine eigene "Netzwerkschnittstelle" angelegt;
Neiiiiinnn !!! Bitte nicht....Es wurde doch nun mehrfach gesagt das du K E I N E VLAN 802.1q Konfig mehr machen sollst auf der Sophos !!!
Bitte halte dich daran !
Ein stinknormales Ethernet untagged Interface / Port an der Sophos OHNE Tagging !!!
hier war mein Bug im Brain
Richtig ein ziemlicher... Du machst das lokale VLAN Routing ja auf dem Switch und eben NICHT auf der Firewall, damit entfallen dann logischerweise auch die VLAN Interfaces auf der Firewall.
Schlimmer noch: Sie wären gefährlich, da sie einen parallel Backdoor Router darstellen !
Fazit: Weg damit von der UTM !
weil dann auch noch auf dem Switch die Ports nicht auf LACP/Trunk stehen dürfen!
Jein !Trunk / LACP bzw. LAG ist eine Link Aggregation und hat nichts (aber auch gar nichts) mit .1q Tagging zu tun !!
Sehr wohl kannst du auf der UTM 2 Ports in einen LACP LAG bringen und auch auf dem Gegenüber dem Switch.
Damit kannst du z.B. 2 Leitungen bündeln mit doppelter Bandbreite das geht natürlich.
Logischerweise arbeitet der LACP Lag dann auch NICHT tagged !