Hilfe bei VLAN-Konfiguration mit UniFi Switch und Sophos XG

Hello, 

You may try to follow this RR for your setup:   Sophos Switch: Configure Inter-VLAN Routing on Sophos Firewall and Configure VLANs on Sophos Switch , the difference is that this RR shows the setup with Sophos Switch but the concept for your Unifi switch would be likely the same (needs a trunk port from Unifi Switch->Sophos Firewall)

Cheers,

Thank you for the tip, Raphael.

I’ve reviewed everything thoroughly and am quite confident that there are no misconfigurations on my Sophos XG. However, the switch configuration in UniFi significantly differs from that in Sophos.

• Port 17: Assigned to the VLAN and set to "Allow All" under "Tagged VLAN Management."
• Port 1: Not assigned to any VLAN and connected to my Sophos XG. Also set to "Allow All" under "Tagged VLAN Management."

Here are some screenshots of the UniFi configuration for reference:

Does anyone have any idea what might be causing the discrepancy?

Das freut mich,

das ist der Grund warum ich mich von UniFi getrennt habe. Es ist leider kein zuverlässiges System so schön der erst Eindruck auch ist. Da habe ich schweren Herzens alles von eingestampft. Alleine weil mir in meiner Kundschaft weit über 40 Cloud-Keys nach gut 2-3 Jahren gestorben sind.... Egal ob Gen 1 oder Gen 2.....

Leider ist mir die Sophos Hardware für den Privatgebrauch zu teuer, hatte gestern Abend mal nach eine 24Port Switch geschaut.

Hast du alles von UniFi auf Sophos umgezogen?

Mehr oder minder, wir haben das UniFi WLAN (verschiedene AP Modell) mit den Switches und dem Cloud.Key gearbeitet.

Die AP sind soweit ganz gut und stabil, die Cloud-Keys und die Switches waren ein Graus.

Wir haben erst alles auf Sophos AP umgebaut (APX) Reihe, da waren wir in kleinen Umgebungen  (2 - 10 APs) sehr glücklich mit. Dann kam die Sophos AP6 Reihe raus, da diese nur noch in Sophos Central verwaltet werden können und auch Monatlich Geld kosten, dass war keine Alternative für uns.

Jetzt betreiben wir bei unseren Kunden LANCOM APs mit dem vRouter zusammen. Da habe ich Lager mit 50 - 70 APs ausgestattet und diese laufen hervorragend und LANCOM kann mir in Gegensatz zu den anderen Herstellern garantieren, das diese 10 Jahre unterstützt werden!

Bei Switches sind wir jetzt bei Sophos Switches gelandet und bei Aruba, damit sind wir auch happy.

Das UniFi ist für Private Umgebungen schon ok, ich bemängle auch nur die Haltbarkeit gewisser Hardwareteile und nicht alle.

LG

Patrick

Danke für die ausführliche Information. Ich muss mal nachdenken, ob ich in eine Umstellung investieren möchte

Hallo zusammen,

jetzt habe ich das nächste Problem:

Während mein Laptop an Port 17 mit VLAN20 ordnungsgemäß eine IP vom Sophos DHCP bezieht, funktioniert dies über das WLAN mit dem gleichen VLAN20 nicht.

Wenn ich jedoch statisch eine IP aus dem Netzwerk des VLAN20 vergebe, funktioniert das Gerät auch im WLAN einwandfrei.

Interessant dabei ist, dass dieses Problem nur unter Windows auftritt. Mein MacBook bezieht über das gleiche Arbeits-WLAN (VLAN20) problemlos eine IP vom Sophos DHCP.

Hat hierzu jemand eine Idee, woran das liegen könnte?

Vielen Dank vorab!

Viele Grüße
Marc

Das verstehe ich in der Tat auch nicht um ehrlich zu sein. Entweder geht, oder geht nicht. Ich denk mal drüber nach :), vielleicht fällt mir was ein.

LG erstmal schönes WE

Vielen Dank, ich kann es auch nicht verstehen. Dir auch ein schönes WE

Hallo zusammen,

Dass du die FW pingen kannst, wird wie gesagt an den Device-Access Einstellungen festgelegt. Hier ist das Kriterium, wo du herkommst. Damit können auch alle anderen (routingtechnisch erreichbaren) Interfaces gepingt, per WebAdmin oder SSH verwendet werden.

Das mit dem DHCP ist "komisch". Wenn du mit Wireshark klarkommst, solltest du den DHCP-Vorgang am Windows-Gerät mal mitschneiden/ansehen.

Den "Ansehen" Teil können auch wir übernehmen. Du könntest von mir (oder evtl. anderen) eine Upload-URL erhalten, mit welcher der Mitschnitt sicher übertragen werden kann.

Bei Wireshark den Filter auf "DHCP" setzen. 

PS: DHCP läuft auf der Firewall? 

Schönes WE 

Hallo Dirk,

DHCP nutze ich auf der Firewall.

Werde morgen mal einen Mitschnitt versuchen.

Kannst du mir dann die Upload-URL mit zuschicken?

Viele Grüße und ein schönes WE

Marc

Hallo Dirk,

ich habe am Wochenende einen Mitschnitt von Port 67 + 68 erstellt. Dabei wird scheinbar neunmal versucht, eine IP zu erhalten, jedoch erfolglos.

Die Datei "dhcp.pcapng" habe ich bei dir hochgeladen. Das Kennwort dazu habe ich dir als Antwort auf deine Nachricht geschickt.

Es wäre großartig, wenn du die Ursache dafür entdecken könntest.

Vielen Dank vorab!

Viele Grüße
Marc

Hallo Dirk,

ich habe am Wochenende einen Mitschnitt von Port 67 + 68 erstellt. Dabei wird scheinbar neunmal versucht, eine IP zu erhalten, jedoch erfolglos.

Die Datei "dhcp.pcapng" habe ich bei dir hochgeladen. Das Kennwort dazu habe ich dir als Antwort auf deine Nachricht geschickt.

Es wäre großartig, wenn du die Ursache dafür entdecken könntest.

Vielen Dank vorab!

Viele Grüße
Marc

Ok, am Client sind nur die versendeten Pakete ohne Auffälligkeiten zu sehen.
Keine Antworten, welche wegen falschem Inhalt falsch/nicht verstanden werden könnten.
Man könnte jetzt noch an der Firewall mittels TCPdump mitschneiden (mit jedem Gerät einmal) und die Mitschnitte vergleichen.

https://community.sophos.com/sophos-xg-firewall/f/recommended-reads/114837/sophos-firewall-how-to-tcpdump

Ich habe nun den den tcpdump gezogen und man sieht den Unterschied auf der Sophos:

Hier eine DHCP Anfrage aus meinem Default LAN Netz:

SFVH_SO01_SFOS 20.0.0 GA-Build222# tcpdump -ni any port 67 or port 68
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on any, link-type LINUX_SLL (Linux cooked v1), capture size 262144 bytes
17:59:01.376571 Port1, IN: IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 48:51:b7:16:6c:05, length 300
17:59:01.394742 Port1, IN: IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 48:51:b7:16:6c:05, length 326

 Hier eine DHCP Anfrage   aus   meinem Default WORK Netz (VLAN20):  

17:59:20.830400 Port1, IN: ethertype IPv4, IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 48:51:b7:16:6c:05, length 300
17:59:20.830400 Port1.20, IN: IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 48:51:b7:16:6c:05, length 300
17:59:24.830530 Port1, IN: ethertype IPv4, IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 48:51:b7:16:6c:05, length 300
17:59:24.830530 Port1.20, IN: IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 48:51:b7:16:6c:05, length 300
18:00:17.419784 Port1, IN: ethertype IPv4, IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 90:06:28:07:fe:e5, length 308
18:00:17.419784 Port1.20, IN: IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 90:06:28:07:fe:e5, length 308
18:00:18.471278 Port1, IN: ethertype IPv4, IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 90:06:28:07:fe:e5, length 308
18:00:18.471278 Port1.20, IN: IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 90:06:28:07:fe:e5, length 308
18:00:20.340698 Port1, IN: ethertype IPv4, IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 90:06:28:07:fe:e5, length 308
18:00:20.340698 Port1.20, IN: IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 90:06:28:07:fe:e5, length 308
18:00:24.968755 Port1, IN: ethertype IPv4, IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 90:06:28:07:fe:e5, length 308
18:00:24.968755 Port1.20, IN: IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 90:06:28:07:fe:e5, length 308
18:00:32.969742 Port1, IN: ethertype IPv4, IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 90:06:28:07:fe:e5, length 308
18:00:32.969742 Port1.20, IN: IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 90:06:28:07:fe:e5, length 308
18:00:49.971713 Port1, IN: ethertype IPv4, IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 90:06:28:07:fe:e5, length 308
18:00:49.971713 Port1.20, IN: IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 90:06:28:07:fe:e5, length 308

Könnt ihr das Problem entdecken?

Viele Grüße

Marc

Also das mit den VLANs ist für unsere Azubis auch immer erstmal schwierig zu verstehen.

Leider kochen die verschiedenen Hersteller hierbei so ihre eigenen Süppchen und benutzen dann auch noch unterschiedliche Bezeichnungen für die gleiche Sache.

Ich versuche es mal aufzuhellen: (ich verwende hier die Cisco-Begriffe)

Ein Switchport kann entweder ein "Access"-Port sein oder ein "Trunk"-Port (hat nichts mit LAG zu tun! Der Begriff Trunk wird hier nur im Zusammenhang mit VLANs verwendet.)

Ein "Access"-Port hat genau EIN VLAN, das man ihm zuweisen kann und das wird nicht getaggt (UNTAGGED). Also müssen daran angeschlossene Endgeräte sich nicht um VLANs kümmern, sie sehen genau das VLAN, das ihnen zugeordnet ist.

Ein "Trunk"-Port transportiert zunächst einmal ALLE VLANs, die auf dem Switch definiert sind. Eines der VLANs kann man als "UNTAGGED" definieren, alle anderen sind "TAGGED". Wie man das definiert, unterscheidet sich von Hersteller zu Hersteller.
Die Endgeräte an einem "Trunk"-Port, die keine VLANs definiert haben, sehen nur das "UNTAGGED" VLAN, bzw. können mit den "TAGGED" Paketen nichts anfangen.
Ein Gerät, das VLAN-Definitionen kennt oder aktiviert hat, kann dagegen mit den VLAN-Tags etwas anfangen. Dies kann dann ein anderer Switch sein (mit einem "Trunk"-Port) oder, wie in diesem Fall, ein Port der Sophos Firewall.

Sobald man auf der Sophos-Firewall einen Anschluss vom Typ "VLAN" definiert, ordnet man dem physischen Port (= "UNTAGGED" VLAN) ein weiteres VLAN zu (= "TAGGED" VLAN). Das können auch mehrere VLANs auf demselben physischen Port sein.

Welche der o.g. Begriffe aus der Theorie jetzt zur Nomenklatur bei Unifi passen, kann ich aber nicht sagen, da ich mich mit diesen Switchen nicht auskenne.

Ich würde dir aber empfehlen, nicht das "UNTAGGED" VLAN zu nutzen, sondern beide LANs zu taggen, die du nutzen willst.

Also VLAN 20 = BERUF und VLAN 30 = FAMILY, dann wird das Verhalten des Unifi-Switch vielleicht durchschaubarer.

VLAN1 dann nur noch für das Management der Hardware verwenden.

Hallo  Philipp Rusch,  

 vielen Dank für die Antwort.   

 Ich habe auch schon 2 VLAN.  

 1. VLAN 10 für Gäste 2. VLAN 20 für BERUF  

 Beide VLAN's bekommen über DHCP keine IP, wenn ich Windows oder Android nutze.  

 Wenn sich mein iPhone mit dem VLAN 20 (Beruf) verbindet, dann erhalte ich eine IP und auf der Sophos sieht der Dump wie folgt aus:  

SFVH_SO01_SFOS 20.0.0 GA-Build222# tcpdump -ni any port 67 or port 68
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on any, link-type LINUX_SLL (Linux cooked v1), capture size 262144 bytes
18:57:12.955617 Port1, IN: ethertype IPv4, IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from da:0a:2f:53:0e:af, length 300
18:57:12.955617 Port1.20, IN: IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from da:0a:2f:53:0e:af, length 300
18:57:13.973423 Port1, IN: ethertype IPv4, IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from da:0a:2f:53:0e:af, length 300
18:57:13.973423 Port1.20, IN: IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from da:0a:2f:53:0e:af, length 300
^C
4 packets captured
4 packets received by filter
0 packets dropped by kernel

 Ich verstehe trotz der langen Erklärung nicht, warum es nur unter iOS und MacOS funktioniert.  

 In der VLAN-Konfiguration von Sophos sehe nichts, was ich noch ändern könnte:  

In UniFi gibt es für das WLAN sehr viele Einstellungen, aber auch da wüsste ich nicht, was ich da noch ändern soll:

Aber jede Einstellung würde mir derzeit nicht erklären, warum nur Apple Produkte über DHCP eine IP bekommen.

Das Netzwerk selbst funktioniert ja, wenn ich unter Windows eine statische IP zuweise.

Viele Grüße

Marc

Das hat damit wahrscheinlich gar nichts zu tun, das ist ein Seiteneffekt.

Wir sollten uns auf denSwitch und dessen Portkonfiguration konzentrieren.

Ich versuche mich mal an den Unifi Bezeichnungen:

"Native VLAN" - hier stellst du für den Port ein, welches VLAN "UNTAGGED" anliegen soll.

"Tagged VLAN Management" - hiermit regelst du offenbar, ob es ein normaler "Access"-Port ist dann wird der auf "Block All" eingestellt, was ich dir für alle normalen Endgeräte empfehle.
Wenn das dagegen auf "Allow All" eingestellt wird, dann hast du damit einen "Trunk"-Port definiert. Dennoch muss man dann hier genau darauf achten, welches VLAN an diesem Port als "Native VLAN" gilt.

Da man hier leicht durcheinander kommt, habe ich meine Empfehlung ausgeprochen, nur UNTAGGED VLANs zu verwenden und keine anderen VLANs auf denselben Port zu legen, so weit es Endgeräte betrifft.

Wie ist denn der WLAN Accesspoint an den Switch angeschlossen?

Bitte mal die Details der Konfiguration der VLAN-Ports auf der Sophos Firewall posten.

Dasselbe für die DHCP-Server Konfigurationen.

Das VLAN, an welchem es DHCP-Probleme gibt, ist ja das sauber getaggte.
Mann sieht auch am TCP-Dump die pakete sehr schön "doppelt" ... einmal mit TAG am physikatischen interface und einmal ohne tag im VLAN.
Aus meiner Sicht alles OK.

Gibt es für das Windows-Gerät evtl. eine DHCP-Reservierung ... in irgend einem VLAN?
Per default gibt es dann nämlich keine 2. IP für die gleiche MAC-Adresse ...

Stichwort: dhcp static-entry-scope global

support.sophos.com/.../KBA-000004069