Thread Info
  • State Verified Answer
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 5 replies
  • Subscribers 5 subscribers
  • Views 2391 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

RED 50 – tagged VLAN und LAN auf NIC red1 möglich?

Stefan Hofmann

Hallo zusammen,

ich habe nun schon einige Zeit im Internet recherchiert, leider keine passende Lösung/Erklärung für mein Problem gefunden.

Nun hoffe ich durch meinen Beitrag von Eurem Schwarmwissen zu profitieren Blush

 

Wir haben folgende Anforderung, eigentlich nichts Wildes, aber irgendwie komme ich nicht weiter:

IST-Zustand seit Ende 2017:

  • Kunde hat einen Standort A mit einer UTM SG210 mit einem internen LAN 192.168.200.0/24 auf eth0
  • Standort B ist über einen RED Tunnel (RED50, NIC reds1) an die UTM angebunden
    • Betriebsmodus: Standard/Vereint
    • NIC auf reds1 (Auto-created by RED): 192.168.201.0/24

SOLL-Zustand:

Nun soll an Standort B WLAN (WLAN APs & Controller ist nicht von Sophos) eingeführt werden, hier müssen zwei SSIDs ausgestrahlt werden. Ein internes WLAN welches in 192.168.201.0/24 geht und ein Gast-WLAN welches in ein VLAN kommen soll.

Ich möchte keine Bridge für die Netze über beide Standorte haben um den Traffic besser steuern zu können.

Nun wäre die Anforderung an den RED-Tunnel das vorhandene LAN 192.168.201.0/24 auf reds1, welches an der RED50 auf LAN1 ist, in seiner aktuellen Form zu behalten.

Zusätzlich wurde eine VLAN-NIC mit der ID 30 (Gast-WLAN) auf der UTM auf der NIC reds1 konfiguriert. Einstellungen für DNS, DHCP, NAT, Firewall Regeln etc. wurden alle gesetzt.

In der Konfiguration des RED-Tunnel habe ich aber nun mein Problem. Wenn ich nun den LAN-Port-Modus ändere auf VLAN und LAN1 auf untagged setze, muss ich eine LAN1-VID angeben. Port LAN1 der RED50 ist auf dem dortigen Switch auf Port1 (Untagged default VLAN 1).

Aktiviere ich die RED-Config so, erhalte ich nach dem Reboot der RED50 keinen Zugriff auf mein LAN 192.168.201.0/24.

Das VLAN 30 (Gast-WLAN) habe ich noch nicht in den Tunnel aufgenommen auf Grund meines ersten Problems.

Da ein RED-Tunnel eigentlich eine direkte Verbindung / langes LAN-Kabel darstellt, dachte ich hier wie wenn ich VLANs auf Switchen konfiguriert hätte: untagged wird das LAN 192.168.201.0/24 übertragen und tagged das VLAN 30 (WLAN-Gast)

 

Habe ich eine falsche Denke oder wie sieht die Config hier aus?

Hier noch kurz ein Screenshot meiner Config:

Vielen Dank für Eure Hilfe im Voraus.

Gruß

Stefan

 



This thread was automatically locked due to age.
Parents
  • 0

    Hallo Stefan,

    Die Screenshots weichen von der Erklärung irgendwie ab ... sind aber schlüssig.

    Du verwendest wie gehabt reds1 als "ethernet" .  (und damit ungetaggt im dafault vlan1)

    Zusätzlich konfigurierst du reds1 als "ethernet-vlan" mit ID30.

    An den Switchports des RED50 muss du einstellen, was da wie rauskommt. Wenn die AP's VLAN können und vorkonfiguriert sind ... könnte dein screenshot passen.

    Wenn du einen "accessport im VLAN30" möchtest must du für den entsprechenden port untagged 30 wählen.

    Kommt da noch eine Switch zwischen RED und AP? Der gleiche wie für das LAN?

    Dann Tagged 1,30 an den Switch übertragen.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Hallo Dirk,

    erstmal vielen Dank für deine Antwort.

    Ja, der Screenshot war dann meine zweite Idee die LAN-Interfaces auf der RED50 trennen.

    Die Erklärung von Bob das die VLAN ID1 in der UTM Intern für Wireless Protection reserviert ist, würde mein Verhalten nach der Änderung auf VLAN und Vergabe der P-VID 1 auf LAN1 erklären.

    Um nicht irgendwann nochmal eine Umstellung der VLAN IDs beim Kunden zu haben, werde ich gleich das bestehende Default-LAN  am Standort B mit einer anderen VLAN ID auf den Switches einrichten. Somit ist es für die Zukunft auch gleich sauber vorbereitet.

    Somit kann ich dann den LAN1 Port auf Taget setzen und die ensprechenden VLAN IDs zuweisen.

    Und nochmal zu deiner Frage zu kommen mit der Config auf den Switches an Standort B:

    Ja, auf den Switches ist bisher das default VLAN id 1 untagged auf allen Ports und das gast-WLAN mit VLAN ID 30 als tagged, genauso die WLAN Access Points. Funktioniert auch so, nur der RED Tunnel hat mir bisher die Probleme gemacht.

    Ich bin nächste Woche beim Kunden vor Ort und werde es so umsetzen.

    Schönes Wochenende noch.

Reply
  • 0 in reply to dirkkotte

    Hallo Dirk,

    erstmal vielen Dank für deine Antwort.

    Ja, der Screenshot war dann meine zweite Idee die LAN-Interfaces auf der RED50 trennen.

    Die Erklärung von Bob das die VLAN ID1 in der UTM Intern für Wireless Protection reserviert ist, würde mein Verhalten nach der Änderung auf VLAN und Vergabe der P-VID 1 auf LAN1 erklären.

    Um nicht irgendwann nochmal eine Umstellung der VLAN IDs beim Kunden zu haben, werde ich gleich das bestehende Default-LAN  am Standort B mit einer anderen VLAN ID auf den Switches einrichten. Somit ist es für die Zukunft auch gleich sauber vorbereitet.

    Somit kann ich dann den LAN1 Port auf Taget setzen und die ensprechenden VLAN IDs zuweisen.

    Und nochmal zu deiner Frage zu kommen mit der Config auf den Switches an Standort B:

    Ja, auf den Switches ist bisher das default VLAN id 1 untagged auf allen Ports und das gast-WLAN mit VLAN ID 30 als tagged, genauso die WLAN Access Points. Funktioniert auch so, nur der RED Tunnel hat mir bisher die Probleme gemacht.

    Ich bin nächste Woche beim Kunden vor Ort und werde es so umsetzen.

    Schönes Wochenende noch.

Children
No Data
Unfiltered HTML