Hilfe bei VLAN-Konfiguration mit UniFi Switch und Sophos XG

Hello, 

You may try to follow this RR for your setup:   Sophos Switch: Configure Inter-VLAN Routing on Sophos Firewall and Configure VLANs on Sophos Switch , the difference is that this RR shows the setup with Sophos Switch but the concept for your Unifi switch would be likely the same (needs a trunk port from Unifi Switch->Sophos Firewall)

Cheers,

Thank you for the tip, Raphael.

I’ve reviewed everything thoroughly and am quite confident that there are no misconfigurations on my Sophos XG. However, the switch configuration in UniFi significantly differs from that in Sophos.

• Port 17: Assigned to the VLAN and set to "Allow All" under "Tagged VLAN Management."
• Port 1: Not assigned to any VLAN and connected to my Sophos XG. Also set to "Allow All" under "Tagged VLAN Management."

Here are some screenshots of the UniFi configuration for reference:

Does anyone have any idea what might be causing the discrepancy?

Seit gestern Abend irgendwie schon.

Da ich extreme WLAN-Probleme hatte, habe ich am 01.01. mein UniFi-Netzwerk (alle APs + Switch) auf Werkseinstellungen zurückgesetzt und komplett neu eingerichtet.

Nachdem hier erneut geschrieben wurde, habe ich mein berufliches Netzwerk ebenfalls wie oben beschrieben neu eingerichtet – und siehe da, jetzt funktioniert es.

Ich kann problemlos aus meinem LAN 1 auf mein VLAN 20 zugreifen, jedoch nicht aus dem VLAN 20 in mein LAN 1 :-)

Interessant ist, dass weiterhin ein Ping von meinem Laptop im VLAN 20 auf alle Interfaces der Sophos möglich ist. Ist das unbedenklich? Vermutlich ja, oder?

Freue mich auf eure Einschätzungen!

Viele Grüße
Marc

Das freut mich,

das ist der Grund warum ich mich von UniFi getrennt habe. Es ist leider kein zuverlässiges System so schön der erst Eindruck auch ist. Da habe ich schweren Herzens alles von eingestampft. Alleine weil mir in meiner Kundschaft weit über 40 Cloud-Keys nach gut 2-3 Jahren gestorben sind.... Egal ob Gen 1 oder Gen 2.....

Leider ist mir die Sophos Hardware für den Privatgebrauch zu teuer, hatte gestern Abend mal nach eine 24Port Switch geschaut.

Hast du alles von UniFi auf Sophos umgezogen?

Mehr oder minder, wir haben das UniFi WLAN (verschiedene AP Modell) mit den Switches und dem Cloud.Key gearbeitet.

Die AP sind soweit ganz gut und stabil, die Cloud-Keys und die Switches waren ein Graus.

Wir haben erst alles auf Sophos AP umgebaut (APX) Reihe, da waren wir in kleinen Umgebungen  (2 - 10 APs) sehr glücklich mit. Dann kam die Sophos AP6 Reihe raus, da diese nur noch in Sophos Central verwaltet werden können und auch Monatlich Geld kosten, dass war keine Alternative für uns.

Jetzt betreiben wir bei unseren Kunden LANCOM APs mit dem vRouter zusammen. Da habe ich Lager mit 50 - 70 APs ausgestattet und diese laufen hervorragend und LANCOM kann mir in Gegensatz zu den anderen Herstellern garantieren, das diese 10 Jahre unterstützt werden!

Bei Switches sind wir jetzt bei Sophos Switches gelandet und bei Aruba, damit sind wir auch happy.

Das UniFi ist für Private Umgebungen schon ok, ich bemängle auch nur die Haltbarkeit gewisser Hardwareteile und nicht alle.

LG

Patrick

Danke für die ausführliche Information. Ich muss mal nachdenken, ob ich in eine Umstellung investieren möchte

Hallo zusammen,

jetzt habe ich das nächste Problem:

Während mein Laptop an Port 17 mit VLAN20 ordnungsgemäß eine IP vom Sophos DHCP bezieht, funktioniert dies über das WLAN mit dem gleichen VLAN20 nicht.

Wenn ich jedoch statisch eine IP aus dem Netzwerk des VLAN20 vergebe, funktioniert das Gerät auch im WLAN einwandfrei.

Interessant dabei ist, dass dieses Problem nur unter Windows auftritt. Mein MacBook bezieht über das gleiche Arbeits-WLAN (VLAN20) problemlos eine IP vom Sophos DHCP.

Hat hierzu jemand eine Idee, woran das liegen könnte?

Vielen Dank vorab!

Viele Grüße
Marc

Das verstehe ich in der Tat auch nicht um ehrlich zu sein. Entweder geht, oder geht nicht. Ich denk mal drüber nach :), vielleicht fällt mir was ein.

LG erstmal schönes WE

Vielen Dank, ich kann es auch nicht verstehen. Dir auch ein schönes WE

Hallo zusammen,

Dass du die FW pingen kannst, wird wie gesagt an den Device-Access Einstellungen festgelegt. Hier ist das Kriterium, wo du herkommst. Damit können auch alle anderen (routingtechnisch erreichbaren) Interfaces gepingt, per WebAdmin oder SSH verwendet werden.

Das mit dem DHCP ist "komisch". Wenn du mit Wireshark klarkommst, solltest du den DHCP-Vorgang am Windows-Gerät mal mitschneiden/ansehen.

Den "Ansehen" Teil können auch wir übernehmen. Du könntest von mir (oder evtl. anderen) eine Upload-URL erhalten, mit welcher der Mitschnitt sicher übertragen werden kann.

Bei Wireshark den Filter auf "DHCP" setzen. 

PS: DHCP läuft auf der Firewall? 

Schönes WE 

Hallo Dirk,

DHCP nutze ich auf der Firewall.

Werde morgen mal einen Mitschnitt versuchen.

Kannst du mir dann die Upload-URL mit zuschicken?

Viele Grüße und ein schönes WE

Marc

Hallo Dirk,

DHCP nutze ich auf der Firewall.

Werde morgen mal einen Mitschnitt versuchen.

Kannst du mir dann die Upload-URL mit zuschicken?

Viele Grüße und ein schönes WE

Marc