Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 4 replies
  • Answers 1 answer
  • Subscribers 9 subscribers
  • Views 1302 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Kein VLAN Routing bei Site2Site Tunnel und Bridge Group im Branch Office

juergenb52

Hallo,

ich habe hier zwei Standorte, die sind per Site2Site Tunnel verbunden.

HeadOffice mit LAN-A und Branchoffice mit LAN-B, beide sind mit einem Tunnel verbunden, keine Probleme.

Im BranchOffice steht eine XG125 (SFOS 20.0.1 MR-1-Build342), hier wurden zu Beginn Port1 und Port4 zu einer Bridge Group zusammengefasst.
Das lief auch soweit ohne Probleme, wobei Port4 aktuell nicht genutzt wird.

Nun wurde ein VLAN120 im Branchoffice erstellt, das VLAN wurde im IPSec Tunnel auf beiden Seiten ergänzt, die Firewall Regeln entsprechend angepasst.

Vom HeadOffice kann ich den Client im VLAN120 auch prima erreichen, keine Probleme.

Aber der Client im VLAN120 kommt nicht in´s HeadOffice.

Im Dump der XG125 ist mir dann aufgefallen, das ein Interface br0 auftaucht.

Damit also das VLAN120 auch durch den Tunnel geht, muss ich es in die Bridge Group mit aufnehmen, aber warum?

Frage: 

Was muss ich in der Device Console umbiegen, damit das VLAN120 durch den Tunnel geroutet wird?
Oder geht das nur als Member der Bridge Group?



This thread was automatically locked due to age.
  • 0

    an was ist denn das vlan120 gebunden, wenn nicht an die BridgeGroup?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Das VLAN120 hat eine eigene Zone VLAN120.

    Das VLAN120 kann sauber ins Internet, ebenso erreiche ich vom HeadOffice die Clients im VLAN120 (BO).

    mit einem weiteren Standort, läuft das problemlos. Nur gibt’s da kein Bridge Interface.

  • 0 in reply to JuergenB

    Also, ich nochmal ...

    Mit dem BO und der Bridge klappt das nur, wenn das VLAN120 Mitglied der Bridge Group wird.

    In einem weiteren BO (Windows PC und XGVM) kann ich mir ein VLAN130 aufbauen.
    Der Client wird von der XGVM mit einem VLAN130 versorgt.

    Die XGVM hat ein Site2Site zum HO, die Firewall Regeln sind entsprechend gesetzt.
    Und siehe da, es läuft wie man das erwartet.

    Irgendwas stimmt mit der Bridge nicht oder es muss irgend ein Magic Value gesetzt werden...

    Vermutlich taugt auch diese Bridge Funktion nix...

  • 0 in reply to juergenb52

    Hi,

    ich denke, es ist mit der Bridge ähnlich wie mit dem LAG/Failover Interface ...

    Hauptfunktionalitäten hängen an der "übergeordneten Funktion". Am LAG kann ich auf interfece-ebene gar nichts mehr konfigurieren. (daher meine frühere Frage, wo das VLAN gebunden ist, wenn nicht am bridge-interface)

    Also würde ich bei der Notwendigkeit die Bridge an das VLAN zu binden, damit das VPN/routing passt auf "by design" tippen 


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Unfiltered HTML