Thread Info
  • State Verified Answer
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 5 replies
  • Subscribers 5 subscribers
  • Views 2390 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

RED 50 – tagged VLAN und LAN auf NIC red1 möglich?

Stefan Hofmann

Hallo zusammen,

ich habe nun schon einige Zeit im Internet recherchiert, leider keine passende Lösung/Erklärung für mein Problem gefunden.

Nun hoffe ich durch meinen Beitrag von Eurem Schwarmwissen zu profitieren Blush

 

Wir haben folgende Anforderung, eigentlich nichts Wildes, aber irgendwie komme ich nicht weiter:

IST-Zustand seit Ende 2017:

  • Kunde hat einen Standort A mit einer UTM SG210 mit einem internen LAN 192.168.200.0/24 auf eth0
  • Standort B ist über einen RED Tunnel (RED50, NIC reds1) an die UTM angebunden
    • Betriebsmodus: Standard/Vereint
    • NIC auf reds1 (Auto-created by RED): 192.168.201.0/24

SOLL-Zustand:

Nun soll an Standort B WLAN (WLAN APs & Controller ist nicht von Sophos) eingeführt werden, hier müssen zwei SSIDs ausgestrahlt werden. Ein internes WLAN welches in 192.168.201.0/24 geht und ein Gast-WLAN welches in ein VLAN kommen soll.

Ich möchte keine Bridge für die Netze über beide Standorte haben um den Traffic besser steuern zu können.

Nun wäre die Anforderung an den RED-Tunnel das vorhandene LAN 192.168.201.0/24 auf reds1, welches an der RED50 auf LAN1 ist, in seiner aktuellen Form zu behalten.

Zusätzlich wurde eine VLAN-NIC mit der ID 30 (Gast-WLAN) auf der UTM auf der NIC reds1 konfiguriert. Einstellungen für DNS, DHCP, NAT, Firewall Regeln etc. wurden alle gesetzt.

In der Konfiguration des RED-Tunnel habe ich aber nun mein Problem. Wenn ich nun den LAN-Port-Modus ändere auf VLAN und LAN1 auf untagged setze, muss ich eine LAN1-VID angeben. Port LAN1 der RED50 ist auf dem dortigen Switch auf Port1 (Untagged default VLAN 1).

Aktiviere ich die RED-Config so, erhalte ich nach dem Reboot der RED50 keinen Zugriff auf mein LAN 192.168.201.0/24.

Das VLAN 30 (Gast-WLAN) habe ich noch nicht in den Tunnel aufgenommen auf Grund meines ersten Problems.

Da ein RED-Tunnel eigentlich eine direkte Verbindung / langes LAN-Kabel darstellt, dachte ich hier wie wenn ich VLANs auf Switchen konfiguriert hätte: untagged wird das LAN 192.168.201.0/24 übertragen und tagged das VLAN 30 (WLAN-Gast)

 

Habe ich eine falsche Denke oder wie sieht die Config hier aus?

Hier noch kurz ein Screenshot meiner Config:

Vielen Dank für Eure Hilfe im Voraus.

Gruß

Stefan

 



This thread was automatically locked due to age.
  • 0

    Hallo Stefan,

    Herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Frowning2)

    First, VLAN1 is reserved in UTM for Wireless Protection, so you will want to choose a different tag.  Hat das geholfen?

    You might also want to read Switch Port VLAN tagging for a RED 50.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0

    Hallo Stefan,

    Die Screenshots weichen von der Erklärung irgendwie ab ... sind aber schlüssig.

    Du verwendest wie gehabt reds1 als "ethernet" .  (und damit ungetaggt im dafault vlan1)

    Zusätzlich konfigurierst du reds1 als "ethernet-vlan" mit ID30.

    An den Switchports des RED50 muss du einstellen, was da wie rauskommt. Wenn die AP's VLAN können und vorkonfiguriert sind ... könnte dein screenshot passen.

    Wenn du einen "accessport im VLAN30" möchtest must du für den entsprechenden port untagged 30 wählen.

    Kommt da noch eine Switch zwischen RED und AP? Der gleiche wie für das LAN?

    Dann Tagged 1,30 an den Switch übertragen.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to BAlfson

    Hi Bob,

    diesen Hinweis, von Dir, hatte ich in einem anderen Beitrag auch schon gesehen :-)  Das würde das Verhalten nach dem Umschalten des LAN-Port Mode auf der RED50 auch erklären. Ich werde dann für das Default-LAN an Standort B einen anderen VLAN Tag verwenden.

    Ich werde nächste Woche beim Kunden vor Ort sein und es so umsetzen.

    Vielen Dank.

  • 0 in reply to dirkkotte

    Hallo Dirk,

    erstmal vielen Dank für deine Antwort.

    Ja, der Screenshot war dann meine zweite Idee die LAN-Interfaces auf der RED50 trennen.

    Die Erklärung von Bob das die VLAN ID1 in der UTM Intern für Wireless Protection reserviert ist, würde mein Verhalten nach der Änderung auf VLAN und Vergabe der P-VID 1 auf LAN1 erklären.

    Um nicht irgendwann nochmal eine Umstellung der VLAN IDs beim Kunden zu haben, werde ich gleich das bestehende Default-LAN  am Standort B mit einer anderen VLAN ID auf den Switches einrichten. Somit ist es für die Zukunft auch gleich sauber vorbereitet.

    Somit kann ich dann den LAN1 Port auf Taget setzen und die ensprechenden VLAN IDs zuweisen.

    Und nochmal zu deiner Frage zu kommen mit der Config auf den Switches an Standort B:

    Ja, auf den Switches ist bisher das default VLAN id 1 untagged auf allen Ports und das gast-WLAN mit VLAN ID 30 als tagged, genauso die WLAN Access Points. Funktioniert auch so, nur der RED Tunnel hat mir bisher die Probleme gemacht.

    Ich bin nächste Woche beim Kunden vor Ort und werde es so umsetzen.

    Schönes Wochenende noch.

  • +1

    Hallo,

    hier noch kurz die Auflösung der Thematik:

    Die wichtige Info, welche ich in keiner Hilfe bzw. HowTo von Sophos gefunden habe  (evtl. habe ich es auch überlesen) ist, dass sobald der LAN-Port-Mode auf VLAN geändert wird, darf die Art der LAN-Schnittstelle (wurde bei der Ersteinrichtung des RED-Tunnels 2017 durch den Assistenten erstellt) der UTM nicht mehr ETHERNET sein, sondern muss auf ETHERNET-VLAN mit der entsprechenden VLAN-ID geändert werden. Erst dann funktionierte die Kommunikation wieder.

    D.h. abschließend sind nun die beiden Netzwerke für den Standort B als ETHERNET-VLAN und der VLAN-ID auf dem Interface reds1 gebunden und das alles ohne Bridge.

    Die VLAN Tags wurden nochmal überdacht und geändert für eine bessere/übersichtlichere Organisation. Die VLANs sollten auf Kundenwunsch auf zwei Schnittstellen der RED50 aufgeteilt werden.

    und vielen Dank für Eure Hilfe.

    Gruß

Unfiltered HTML