Setting up UTM 9.1 in a inter-routed VLAN environment

Hi, and welcome to the User BB!

If eth1 is already configured as VLAN4, then you can just add the other VLANs to eth1.

If you read here a bit, you'll see that there are two "standard" approaches, depending on whether you want to restrict some of the traffic between the VLANs.  (1) Have a simple (non-VLAN) Ethernet connection with your L3 switch and do all inter-LAN routing in the switch.  (2) Put all of the VLANs on eth1 and do all of the inter-LAN routing in the UTM (the routing is done automatically by WebAdmin when the VLAN Interfaces are defined, but Firewall rules are needed to allow traffic between the VLANs).

Cheers - Bob

Hi Bob,

I've created a network definition for each DHCP scope and added them to a Network Group - which I've added to all the components where I found "Internal (Network)" set.

This is fixed the ping issue somewhat, but now I am unable to access the internet due to lack of support for dual default gateways.

As per my original topology eth1 needs the switch as its default gateway, and eth0 needs the modem as its default gateway (there is a network between the UTM and the Internet). Setting these two gateways enables Uplink balancing which does not fix the problem - so I figure I've gone down the wrong track with that route.

The switch currently does all the routing and that needs to stay like that, so I cant move that to the UTM. I have a static route setup on the switch sends traffic to the UTM if not a local network:
0.0.0.0/0 -> 10.10.1.1 (UTM eth1/VLAN4)

10.10.1.1 can be pinged when the Default Gateway is the switch, but no internet.
Internet can be pinged (by devices on VLAN4) when the Default Gateway is the modem, but no other VLANs can ping the UTM.

Just to clarify re your statement "If eth1 is already configured as VLAN4, then you can just add the other VLANs to eth1."

eth1 is Ethernet Static and physically connected to a switch port mapped to VLAN4. The VLAN is not set on the eth1 adapter itself. I don't see how adding the other VLANs as either tagged or untagged members of that switch port will solve the problem.

What I have done as a temporary fix (pending a cleaner way to go about it), is set eth0 GW as the modem and create a static route on the UTM to point my DHCP Scope definition to the VLAN4 router interface.

Any thoughts?

Hi,
I am not clear as to where the VLANs terminate. What Bob has suggested is based on the assumption that VLAN4 terminates on the UTM, but from what I can see the VLAN terminates on the switch and normal traffic is routed to the UTM.

To add a VLAN to the internal interface you need to to change its definition to VLAN and then create a interface for each VLAN you want to terminate on the UTM using that port.
I have 2 VLANs temintating on my UTM from from a common port on a switch, the switch port is defined as a trunk for both VLANs.

ian

I have my VLAN's terminate on the UTM, not the switch.  So basically I have the Internal interface set to Ethernet VLAN and then clone that interface and basically create the same thing, but just change the VLAN ID.  Then on the switch, I tag all those VLANs on the port going to the UTM.

I only create a VLAN interface for the main VLAN I use (not 1).  Then on the UTM, I use firewall rules to allow/disallow traffic between the VLAN's.

The switches I use are HP ProCurve V1910-24G and V1910-48G.

After reading your post, you need to change it from Ethernet Static to Ethernet VLAN.  Once eth1 is set to Ethernet VLAN you are able to add multiple VLAN's to that interface by cloning it.  If it is set to Ethernet Static you can't add multiple sub interface to it.

If I understand what you have told us, I don't think you need/want a default gateway on eth1 - probably a Static Gateway Route is what you want.  It's not clear to me that putting all of the VLANs on eth1 will solve your problem - maybe getting rid of the default gateway will fix it.  If not:

This has lead me to believe the UTM is blocking connections except those on the "internal" interface.

Please show a line or two from the Firewall log related to this blocking.

Cheers - Bob

I tried putting all the VLANs on eth1 but it didn't solve my problem, the static route method seems to be the optimal way to achieve what I want, with all VLANs terminating on the switch and not the UTM gateway.

The only beef I have with the current config is that I have to manually create a network definition for each VLAN, group them, then add the network group to all the required services. It would be nice if I could achieve this by importing from AD Sites or DHCP rather than manually.

Thanks for your help guys [:)]

Does anyone have any doco or links for how to setup other features (AD-integration, firewall and web protection primarily)?

What I am trying to do is replicate a MS TMG setup in UTM, and I've found the UTM Admin Guide not to be very helpful.

Cheers

Hi, there's more docs at Browse by topic - Sophos Knowledgebase | Security Articles, Advisories for Sophos - Sophos Support, Knowledgebase and Resources | Sophos Technical Support - Sophos

Post new threads here if you get stuck.

Barry

With AD integration make sure you have an A record in your DNS before trying to join it the domain.