This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Netgear VLAN Switch config guide

This is not Astaro-specific, but seeing as the Netgear 'Smart' VLAN switches are good choices for home and small-office use, and as I and other Astaro users have found it rather confusing to configure, I'm posting it here.

I have a Netgear GS108T 8-port 'smart' switch, which supports VLANs and gigE. All of their 'smart' models are probably similar to configure.

Astaro stuff:
First, make sure your NIC in your firewall supports VLANs according to the Astaro HCL, or ask on these forums if you're unsure.

Setup the VLANs as New Interfaces (Ethernet VLAN) in Astaro.


Netgear specific stuff:

1. In the switch configuration, make sure you're using 802.1Q, not Port-Based VLANs on the VLAN Configuration page.

2. Make sure the firewall is the Trunk for ALL VLANs you're using.

3. Configure ALL 3 sections of the VLAN Configuration section:

a. create an ID and Name for each

b. On the VLAN Membership page, 
For each VLAN,
Untag (U) each port that is part of that VLAN
and
Trunk (T) the firewall port

4. On the Port PVID page, Set the PVID (VLAN ID) for each port.
This was confusing for me, as I thought it only applied to Port-based VLANs (wrong).


Notes on my config:

I have the firewall on port1, which I also have as VLAN1, but that VLAN is not actually used for anything (you can see it's Untagged for all ports). I did this more to keep from messing up VLAN1 (the default VLAN) in case I needed it for troubleshooting, and because it is unclear what to do with a Trunk.

VLAN 13 is my trusted LAN

VLAN 10 is my DMZ for my webserver.

VLAN 11 is my untrusted LAN for guests and WiFi. I have my WiFi AP plugged into this VLAN, and am using the AP as a switch for my printer, etc. as well as for wireless.


Reasons to use VLANs at home:

You can have an External connection, plus multiple LANs and/or DMZs with only 2 NICs in the firewall. 
It may even be possible to have only 1 NIC, although this would be slightly less secure as you're putting your switch on the internet.
For me, this allows me to go from a tower pc to a (very low power) mini-ITX system without spending an extra $100+ for a motherboard with an option for a 3-port 'daughterboard' or other expensive setup. 

Also, it allows me to get a fanless Atom system with 2 Intel gigE NICs as opposed to a VIA with Realtek NICs. 
(My Atom system is still in progress as the NICs won't work _at least_ until Astaro 7.402 is out, but I've ordered the hardware anyways.)

The 'smart' 8-port switch was only about $45 more than a base-model Netgear gigE switch, cheaper than extra NICs would have been, and I wanted to upgrade to gigE anyways.

Pics of my Netgear config attached.

Barry


This thread was automatically locked due to age.
  • Hi Barry, 

    I understand that this may be a stupid question, but I don't have the hardware to test.  Is it possible to bridge a connection back to Astaro.  For example, if you connect an ADSL router to one of the vlans, is it possible that it bridges its public IP address back to Astaro?

    Thanks
  • Hi Barry,
    I see where I was going wrong with the tagging. My interpretation of the manual was that all ports in a vlan had to be "t"agged and only those not part of the vlan where "u"ntagged.

    The PVID is puzzling to me, but looking at your overall configuration the PVID is assigned to ports in the same vlan which seems to be a double assignment.

    Now I understand your comment about the PCs not seeing the vlan tags.

    Thank you

    Ian M

    My atom came with a dual core 330, 1 nic and one expansion slot. There is one fan on the chipset, the micro itx case has a noisy little fan on the powersupply.

    There is a down side to making these changes, you have to modify the internet side to standard ethernet port to be able to change the config to vlans on the internal port.

    Next challenge for the gs108t is to figure out how its QOS and the ASG QOS get together for the VoIP traffic.
  • AFAIK, PVID is the VLAN in which packets should go that don' t match the VLANs configured for that port. Usually you want those packets being discarded (provide the ID of your Discard-VLAN then).
  • Hi Mario,
    But isn't what you have just advised at odds with the way Barry has configured the gs108t? He has the PVID the same for each of the vlan ports in a vlan, but not the firewall port it has a different PVID.

    So if you have PVID for each port and each port has an active device connected to it what happens to the discarded packets you refer to?

    Ian M

  • I understand that this may be a stupid question, but I don't have the hardware to test.  Is it possible to bridge a connection back to Astaro.  For example, if you connect an ADSL router to one of the vlans, is it possible that it bridges its public IP address back to Astaro?


    I don't know, but it doesn't really sound like a good idea to me.

    Barry

  • The PVID is puzzling to me, but looking at your overall configuration the PVID is assigned to ports in the same vlan which seems to be a double assignment.


    Yeah, it seemed redundant to me, but didn't work without doing it.


    Next challenge for the gs108t is to figure out how its QOS and the ASG QOS get together for the VoIP traffic.


    I didn't bother... I figure that internally at home, 1gbps should be enough to not need to worry about QOS, except on the Internet connection, which Astaro is handling.

    Barry
  • AFAIK, PVID is the VLAN in which packets should go that don' t match the VLANs configured for that port. Usually you want those packets being discarded (provide the ID of your Discard-VLAN then).


    Mario, I don't know but you may be right... the Netgear docs aren't very good and this is the first time I've setup VLANs.
    (but it is working as I have it.)


    Netgear fails to provide any examples of how it should be configured, but what the manual does say is:
    All ports must have a defined PVID.
    If no other value is specified, the default PVID is used.

    VLAN1 was the default PVID (which is used in my config), but nothing was working that way.

    Some Googling finds:
    The PVID or "native VLAN" of a port is the VLAN number that traffic that arrives on that port should be put into for the purposes of redistribution.

    (Netgear GSM72224 VLAN config)

    This matches my perceptions of how I got it to work.

    Also from the same article, it sounds like I shouldn't have left the Astaro port with a PVID of 1, but since no other ports are on 1, there is no chance in my config for untagged traffic to be floating around.

    Barry
  • There is a down side to making these changes, you have to modify the internet side to standard ethernet port to be able to change the config to vlans on the internal port.


    Are you referring to setting up a single-NIC firewall?

    Barry
  • Barry,
    the comment was about once you have configured the ASG for "normal" use then to add vlans you need another access from a standard port. Then again I could create chaos around here by remotely changing the ports during the day.

    Ian M