Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 8 replies
  • Subscribers 9 subscribers
  • Views 3046 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DHCP und VLANs

Markus Erkenbrecher

Hallo allerseits

Ich versuche gerade von meiner UTM auf die Sophos XG umzustellen. Dabei möchte ich mein Heimnetz gleich auf drei VLAN's aufteilen. Für jedes VLAN habe ich DHCP konfiguriert. Beim internen VLAN mit dem Default DHCP scheint alles sauber zu laufen. Mein Testnotebook bekommt seine IP und kommt auch ins Internet.

Beim Gast und IoT_UE VLAN bekommt das Notebook keine IP. Ich habe dann dem Notebook im Gast VLAN manuell eine passende IP gegeben. Danach konnte ich die Fritzbox hinter der Firewall pingen und auch Webseiten aufrufen. Aber ich habe keinen Plan, was ich an der Konfiguration ändern muss, damit das Notebook im Gast und IoT_UE VLAN eine IP per DHCP bekommt.

Unten habe ich die Bilder meiner Konfiguration angehängt.

Das Ganze ist sicher eine dämliche Anfängerfrage. Aber ich wäre trotzdem froh, wenn mir jemand aufzeigen könnte was ich falsch und wie ich es richtig machen muss.



Edited TAGs
[edited by: Erick Jan at 11:32 PM (GMT -7) on 29 May 2023]
  • 0

    Hallo,

    versuchen wir es...

    Die DHCP-Konfiguration sieht nicht verkehrt aus.

    Wie sind die Interfaces konfiguriert?

    Hängt an jedem interface nur 1 Gerät, jeweils ein Switch , oder in Switch mit VLAN-Konfiguration?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Hallo Dirk
    Besten Dank für Dein Feedback.
    Momentan habe ich zum Üben ein kleines Netz gebaut. Die Sophos XG läuft, in der aktuellsten Version, auf einem Chinarechner mit 4 1 Gbit Ports.

    Das interne Netzwerk habe ich mit einem Netgear ProSAFE GS108E Switch aufgebaut. Auf dem habe die 3 VLANs für intern (1 - 192.168.15.0/24), Gast (30 - 192.168.30.0/24) und IoT/UE (20 - 192.168.20.0/24) gebaut. 

    Firewall Port 1 ist mit VLAN 1 (intern) am Switch verbunden
    Firewall Port 2 ist mit VLAN 20 (IoT/UE) am Switch verbunden
    Firewall Port 3 ist mit VLAN 30 (Gast) am Switch verbunden
    Firewall Port 4 ist mit der FritzBox verbunden, welche dem Port per DHCP eine IP zuweist

    Ebenfalls am Switch im VLAN 1 hängt ein PC (Windows 10), mit dem ich die ganze Konfiguration mache und teste ob das interne Netz, wo mal alle PC's reinkommen sollen, richtig funktioniert.

    Mit einem Notebook teste ich die anderen VLAN's durch. Und da stehe ich momentan mit dem DHCP Problem an. Wie gesagt habe ich im Gastnetz weitere Tests gemacht, indem ich dem Notebook manuell eine IP aus dem Gastbereich zugewiesen habe. Damit hat in einem ersten Test alles funktioniert, was mich zur Annahme verleitet, dass der Switch richtig konfiguriert ist. Mit dem IoT/UE VLAN habe ich mir weitere Tests erspart, weil ich zuerst mal das Gastnetz richtig hinbekommen wollte. Übrigens im VLAN 1 bekommt das Notebook eine IP, womit ich annehme, dass es nicht am Notebook liegt (läuft momentan mit dem aktuellen KALI Linux).

    An der Fritzbox hängt auch noch die UTM mit dem bestehenden Hausnetz dahinter. Die beiden Netze dürften sich aber nicht in die Quere kommen, da sie keine weitere Verbindung aufweisen.

  • 0 in reply to Markus Erkenbrecher

    Ich würde auf Probleme mit der VLAN-Konfiguration tippen.

    Zeig mal die XG-Port-Konfiguration.

    Wenn du da mit mehreren Ports die XG verlässt, könnte/sollte das ungetaggt passieren.

    Auf dem Switch sind alle Ports all Access-Port im jeweiligen VLAN konfiguriert, oder ist irgendwo ein getaggter Port oder ein Trunc eingerichtet?

    Versuch mal das NB direkt an den FW-Port zu stecken.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    lass einen tcpdump auf der XG laufen und schau, ob da Pakete für Port 67 und 68 ankommen. Eventuell werden die gedropped mit ACL violation.

    Am einfachsten in der GUI

  • +1

    Hi,

    schalte mal bitte die "Konflikterfassung" aus, geht es dann?

    Gruß
    Detlef

  • 0 in reply to Detlef Ruge

    Hallo Detlef
    Sorry für die späte Reaktion. Aber das Mail vom Sophos Forum ist im Spamordner gelandet.
    Das Ausschalten der Konflikterfassung hat das Problem nicht gelöst, aber es hat mich auf die Spur des Problem gebracht. Ich habe alle Systeme im internen LAN per statischem DHCP erfasst. So auch das Notebook, mit dem ich teste. Wen ich den Eintrag lösche, dann klappt es auch mit DHCP im Gast LAN.

    Was ich nicht verstehe ist:

    • warum hat das Ausschalten der Konflikterkennung keinen Einfluss?
    • warum sieht Sophos darin überhaupt einen Konflikt? Nach meinen bescheidenen Kenntnissen müsste eine MAC-Adresse doch nur innerhalb eines VLANs eindeutig sein. Aber vielleicht liege ich da ja auch vollkommen falsch.

    Jedenfalls hast Du mir geholfen und ich komme weiter mit meiner FW. Danke!

    Gruss
    Markus

  • +1 in reply to Markus Erkenbrecher

    das ist was anderes:

    https://support.sophos.com/support/s/article/KB-000036032?language=en_US

    Du hast eine Reservierung auf mehreren DHCP Servern auf der XG oder eine Reservierung auf dem einen DHCP Server und möchtest dynamische IP für die MAC auf einem anderen DHCP Server. Das funktioniert nicht ohne dhcp static-entry-scope global

  • 0 in reply to LHerzog

    Merci für die Info und den Link. Das erklärt die ganze Sache perfekt.

Unfiltered HTML