Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Replies 14 replies
  • Subscribers 9 subscribers
  • Views 617 views
  • Users 0 members are here
Options
Suggested

Hilfe bei VLAN-Konfiguration mit UniFi Switch und Sophos XG

initB10r

Hallo zusammen,

ich richte aktuell für mein berufliches Umfeld ein separates VLAN ein und stoße dabei auf ein paar Herausforderungen.

Meine Konfiguration:

  • Hardware:

    • UniFi Switch USW-24-POE
    • Sophos XG Firewall

  • Netzwerk:

    • LAN (Default VLAN 1):
      • IP-Bereich: 172.16.0.0/21
      • Sophos XG auf Port 1 angebunden
    • VLAN BERUF (VLAN 20):
      • IP-Bereich: 192.168.200.0/24
      • VLAN-ID: 20
      • Port 17 des Switches ist VLAN 20 zugewiesen

  • DHCP:

    • Für das VLAN BERUF ist auf der Sophos XG ein eigener DHCP-Server eingerichtet.

  • Testgerät:

    • Ein berufliches Laptop ist an Port 17 des UniFi Switches angeschlossen.

Aktueller Stand:

  • Das Laptop erhält erfolgreich eine IP-Adresse aus dem neuen VLAN (z. B. 192.168.200.100) und kann mit dem Internet kommunizieren.
  • Ein Ping von diesem Laptop auf die IP der Sophos XG (172.16.0.1) ist jedoch sporadisch erfolgreich (ca. 50% der Pakete). Ich hätte erwartet, dass 0% der Pakete durchkommen, da keine entsprechende Regel eingerichtet wurde.

Ziel:

Ich möchte von meinem LAN (172.16.0.0/21) aus per RDP auf das Laptop im VLAN (192.168.200.0/24) zugreifen können.

Mein Setup für die Firewall:

Ich habe in der Sophos XG folgende Regel erstellt:

  • Source Zone: LAN
  • Source Network/Devices: LAN-Netzwerk
  • Destination Zone: VLAN BERUF
  • Destination Network/Devices: VLAN_NETWORK_BERUF
  • Action: Allow

Zusätzlich habe ich die Zone des VLANs auch testweise auf "LAN" und "DMZ" gesetzt, jedoch ohne Erfolg.

Problem:

  • Ein Ping von meinem LAN-Gerät auf das Laptop im VLAN schlägt immer fehl (0% der Pakete erfolgreich).
  • Auch im Log der Sophos XG sehe ich keine geblockten Verbindungen.
  • Ein Ping von der Sophos XG selbst auf die Laptop-IP (192.168.200.100) schlägt ebenfalls fehl. Nur ein Ping auf die Gateway-Adresse des VLANs (192.168.200.1) funktioniert.

Hat jemand eine Idee, wo das Problem liegen könnte? Ist vielleicht eine zusätzliche Einstellung im UniFi Switch oder in der Sophos XG erforderlich?

Vielen Dank für eure Unterstützung!

Viele Grüße
Marc



Added TAGs
[edited by: Raphael Alganes at 11:21 AM (GMT -8) on 19 Dec 2024]
Parents
  • 0

    Hello, 

    You may try to follow this RR for your setup:   Sophos Switch: Configure Inter-VLAN Routing on Sophos Firewall and Configure VLANs on Sophos Switch , the difference is that this RR shows the setup with Sophos Switch but the concept for your Unifi switch would be likely the same (needs a trunk port from Unifi Switch->Sophos Firewall)

    Cheers,

    Raphael Alganes
    Community Support Engineer | Sophos Technical Support
    Sophos Support Videos Product Documentation  |  @SophosSupport  | Sign up for SMS Alerts
    If a post solves your question use the 'Verify Answer' link.

  • 0 in reply to Raphael Alganes

    Thank you for the tip, Raphael.

    I’ve reviewed everything thoroughly and am quite confident that there are no misconfigurations on my Sophos XG. However, the switch configuration in UniFi significantly differs from that in Sophos.

    • Port 17: Assigned to the VLAN and set to "Allow All" under "Tagged VLAN Management."
    • Port 1: Not assigned to any VLAN and connected to my Sophos XG. Also set to "Allow All" under "Tagged VLAN Management."

    Here are some screenshots of the UniFi configuration for reference:

     

    Does anyone have any idea what might be causing the discrepancy?

  • 0 in reply to initB10r

    Gelöst?
    Ein paar Ideen/Fragen hätte ich sonst noch (habe von Unifi-Switches aber keine Ahnung):

    • Port 17: Assigned to the VLAN and set to "Allow All" under "Tagged VLAN Management."

    Wenn der Port 17 nur das Arbeits-VLAN für das NB bereitstellt, sollte nichts getaggtes rein oder raus-gehen. Nur das VLAN 20 ungetaggt.

    Wenn ein Ping "sporadisch" die Firewall erreicht, ist das ziemlich unschön. Gibt es evtl. IP-Bereichs Überschneidungen an der FW (evtl. auch an deaktivierten Interfaces) oder hat noch ein anderes Gerät im Netz eine IP, welche eigentlich die Firewall haben sollte?
    Es könnte aber auch sein, dass der Switch einige Pakete für das VLAN 20 getaggt sendet und das NB das nicht annimmt (siehe oben). 

    Für den Ping auf die FW brauchst du keine separate Rule. Das wird über "device-access -> local ACL" konfiguriert und ist aus der LAN-Zone per default aktiv.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    genau Dirk!

    Ich glaube, das an dem Port wo das Notebook dran steckt nicht geuntaggt wird. Weil das Notebook selber kennt das VLAN 20 nicht.

    von Port  Sophos zu Switch VLAN 20 taggt, da wo das Notebook rein kommt VLAN 20 untaggt.

    Grüße

    Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

Reply
  • 0 in reply to dirkkotte

    genau Dirk!

    Ich glaube, das an dem Port wo das Notebook dran steckt nicht geuntaggt wird. Weil das Notebook selber kennt das VLAN 20 nicht.

    von Port  Sophos zu Switch VLAN 20 taggt, da wo das Notebook rein kommt VLAN 20 untaggt.

    Grüße

    Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

Children
No Data
Unfiltered HTML