Thread Info
  • State Not Answered
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 47 replies
  • Subscribers 4 subscribers
  • Views 60076 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Netgear VLAN Switch config guide

BarryG
This is not Astaro-specific, but seeing as the Netgear 'Smart' VLAN switches are good choices for home and small-office use, and as I and other Astaro users have found it rather confusing to configure, I'm posting it here.

I have a Netgear GS108T 8-port 'smart' switch, which supports VLANs and gigE. All of their 'smart' models are probably similar to configure.

Astaro stuff:
First, make sure your NIC in your firewall supports VLANs according to the Astaro HCL, or ask on these forums if you're unsure.

Setup the VLANs as New Interfaces (Ethernet VLAN) in Astaro.


Netgear specific stuff:

1. In the switch configuration, make sure you're using 802.1Q, not Port-Based VLANs on the VLAN Configuration page.

2. Make sure the firewall is the Trunk for ALL VLANs you're using.

3. Configure ALL 3 sections of the VLAN Configuration section:

a. create an ID and Name for each

b. On the VLAN Membership page, 
For each VLAN,
Untag (U) each port that is part of that VLAN
and
Trunk (T) the firewall port

4. On the Port PVID page, Set the PVID (VLAN ID) for each port.
This was confusing for me, as I thought it only applied to Port-based VLANs (wrong).


Notes on my config:

I have the firewall on port1, which I also have as VLAN1, but that VLAN is not actually used for anything (you can see it's Untagged for all ports). I did this more to keep from messing up VLAN1 (the default VLAN) in case I needed it for troubleshooting, and because it is unclear what to do with a Trunk.

VLAN 13 is my trusted LAN

VLAN 10 is my DMZ for my webserver.

VLAN 11 is my untrusted LAN for guests and WiFi. I have my WiFi AP plugged into this VLAN, and am using the AP as a switch for my printer, etc. as well as for wireless.


Reasons to use VLANs at home:

You can have an External connection, plus multiple LANs and/or DMZs with only 2 NICs in the firewall. 
It may even be possible to have only 1 NIC, although this would be slightly less secure as you're putting your switch on the internet.
For me, this allows me to go from a tower pc to a (very low power) mini-ITX system without spending an extra $100+ for a motherboard with an option for a 3-port 'daughterboard' or other expensive setup. 

Also, it allows me to get a fanless Atom system with 2 Intel gigE NICs as opposed to a VIA with Realtek NICs. 
(My Atom system is still in progress as the NICs won't work _at least_ until Astaro 7.402 is out, but I've ordered the hardware anyways.)

The 'smart' 8-port switch was only about $45 more than a base-model Netgear gigE switch, cheaper than extra NICs would have been, and I wanted to upgrade to gigE anyways.

Pics of my Netgear config attached.

Barry


This thread was automatically locked due to age.
  • 0 in reply to RFCat_vk_01
    OK, you're right... I guess that means setting up a 1 NIC system with VLANs might be impossible then, except possibly by configuring on a 2 NIC system and restoring a backup.

    Barry
  • 0 in reply to BarryG
    Probably depends on how good your command line skills are. Me, not a hope.

    Thank you for a very interesting thread, I suggest that it be made a sticky, at least your config part.

    Ian M
  • 0 in reply to RFCat_vk_01
    I can't tell you where I read it, but Astaro specifically cautions against trying to have the internal and external interfaces assigned to vlans on the same port.  They warn that it's more possible for the switch to experience confusion in its ARP table.

    Cheers - Bob
    PS I just happened accross the following in th V7.3 Guide:
    The firewall must be the only point of contact between internal and external networks. All data must pass through the security system. We strongly recommend against connecting both internal and external interfaces to one hub or switch, except if the switch is configured as a VLAN switch. There might be wrong ARP resolutions (Address Resolution Protocol), also known as "ARP clash", which cannot be administered by all operating systems (for example, such as those from Microsoft). Therefore, one physical network segment has to be used for each firewall network interface.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi Bob, FWIW, I don't think that's the same thing as only having one Interface with VLANs, and it says "except if the switch is configured as a VLAN switch".

    Barry
  • 0 in reply to BarryG
    Thanks, Barry, I had read right past that.  I have to admit that it confused me that there might be a problem with ARP tables, but I figured that Astaro understood better than I.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    checking if anyone is out there?  i am new the vlan world.  i configured by gs108t like you did barry.  the trouble i am having is when i connect my laptop to a port in the gs108t, i am not getting a valid ip address.  is there a step that i am missing.  

    justin
  • 0
    Hi, did you configure Astaro's DHCP server for each VLAN?

    Barry
  • 0 in reply to BarryG
    This reply is for Barry from a different thread:

    That's close to the setup I want. I currently have the 108T but my wireless is through a Cisco Aironet 1200, I want to setup two SSID's, one that is trusted by my wired network and one that is an untrusted guest wlan (internet only access). I'm not sure how to configure the port on the 108T to allow both the trusted and untrusted WLAN's the appropriate access. The Aironet assigns a VLAN to each SSID. For example SSID "Corporate" is VLAN 7 and SSID "Guest" is VLAN 9. What should the VLAN setup be on the port the Aironet is plugged into on the 108T?
  • 0
    Hi,
    I'm guessing you want to set that port as a Trunk for all the VLANs on the Aironet, but I'm not certain how the Aironet works.

    Barry
  • 0
    This is not Astaro-specific, but seeing as the Netgear 'Smart' VLAN switches are good choices for home and small-office use, and as I and other Astaro users have found it rather confusing to configure, I'm posting it here.

    I have a Netgear GS108T 8-port 'smart' switch, which supports VLANs and gigE. All of their 'smart' models are probably similar to configure.

    Astaro stuff:
    First, make sure your NIC in your firewall supports VLANs according to the Astaro HCL, or ask on these forums if you're unsure.

    Setup the VLANs as New Interfaces (Ethernet VLAN) in Astaro.


    Netgear specific stuff:

    1. In the switch configuration, make sure you're using 802.1Q, not Port-Based VLANs on the VLAN Configuration page.

    2. Make sure the firewall is the Trunk for ALL VLANs you're using.

    3. Configure ALL 3 sections of the VLAN Configuration section:

    a. create an ID and Name for each

    b. On the VLAN Membership page, 
    For each VLAN,
    Untag (U) each port that is part of that VLAN
    and
    Trunk (T) the firewall port

    4. On the Port PVID page, Set the PVID (VLAN ID) for each port.
    This was confusing for me, as I though it only applied to Port-based VLANs (wrong).


    Notes on my config:

    I have the firewall on port1, which I also have as VLAN1, but that VLAN is not actually used for anything (you can see it's Untagged for all ports). I did this more to keep from messing up VLAN1 (the default VLAN) in case I needed it for troubleshooting, and because it is unclear what to do with a Trunk.

    VLAN 13 is my trusted LAN

    VLAN 10 is my DMZ for my webserver.

    VLAN 11 is my untrusted LAN for guests and WiFi. I have my WiFi AP plugged into this VLAN, and am using the AP as a switch for my printer, etc. as well as for wireless.


    Reasons to use VLANs at home:

    You can have an External connection, plus multiple LANs and/or DMZs with only 2 NICs in the firewall. 
    It may even be possible to have only 1 NIC, although this would be slightly less secure as you're putting your switch on the internet.
    For me, this allows me to go from a tower pc to a (very low power) mini-ITX system without spending an extra $100+ for a motherboard with an option for a 3-port 'daughterboard' or other expensive setup. 

    Also, it allows me to get a fanless Atom system with 2 Intel gigE NICs as opposed to a VIA with Realtek NICs. 
    (My Atom system is still in progress as the NICs won't work _at least_ until Astaro 7.402 is out, but I've ordered the hardware anyways.)

    The 'smart' 8-port switch was only about $45 more than a base-model Netgear gigE switch, cheaper than extra NICs would have been, and I wanted to upgrade to gigE anyways.

    Pics of my Netgear config attached.

    Barry


    Hello Barry,
    Thanks for this detailed description, but I have a problem with the Astaro side setup of the VLANs. Is it right that I first have to remove the Interface (it had already an IP) before I can assign a new VLAN? Can you post your setup please.

    Thanks,
    Andreas.
Unfiltered HTML