Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 2 subscribers
  • Views 25195 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VLAN setup on Sophos UTM 9 with Cisco SG500 layer 3 switch

siemprepeligroso
Hi,

I am new to the forum, so I apologize in advance in case of writing smth stupid.

Our goal, is to create 3 VLANs and seperate the networks between different departements.

 

VLAN1 (which is the default VLAN in the switch) - will be used for IT department and the management.

VLAN100 - will be used for business .

VLAN200 - will be used for guests who need to connect to the internet through WiFi.

 

I have created VLAN100 and VLAN200, and VLAN1 is there by default.

 

I want to use port 13 for VLAN200 and to connect the Wifi access-point there.

 
The uplink is in port 25.



I did plenty of reading on forums but did not come up to a final useful result.

As BAIfson has pointed out in his answer here: https://community.sophos.com/products/unified-threat-management/astaroorg/f/52/t/29039

There are to approaches for setting up VLANs in a given network, 

1) leave the router to do the routing
2) the layer 3 switch does the routing

I came across this post here: Sophos UTM VLAN Interfaces & Routing on a stick | Network Guy
In my opinion here the router is doing the routing and not the Layer 3 switch? Am I wrong? Can someone please confirm.

When looking at the posts in different forums, to achieve the case where the Layer 3 switch does the routing, something like "allowing multiple subnets in a single interface" has to be done in the router. How can I achieve this with the Sophos UTM 9?

What is the best practice for my scenario? And how can I achieve it?

Best regards,
D


This thread was automatically locked due to age.
Parents
  • 0
    Okay, still no go, but I can log into the UTM on vlan 10, nothing passes out to the Internet. 

    I think the instructions in the book is in a way poorly written.
    Yes it tells you how to set up the vlan interface, so what, what is missing is all the little step by step details, the A to Z as we will say. A full generic example setup is missing for wich one can follow by example and make needed changes to fit your own needs.

    So what are all the rules, and every little place that needs to be hit to make it pass traffic out to the Internet and or between the vlans?

    1. "vlan dot1q tag native" is applied on all Cisco switches in the global config.
    2. Trunk ports on switches have basic config for working trunk connections.
    commands on trunk ports on Cisco switches are:

    switchport trunk encapsulation dot1q
    switchport mode trunk

    3. Interface eth0 is set to vlan.
    4. all three vlans are set to ETH0 adapter
    5. DHCP is set on each Vlan with own subnet (192.168.2.0/24, 192.168.2.3.0/24 and 192.168.4.0/24)
    6. DNS has Vlan interfaces set so it can do DNS for them.

    Now what else am I missing? 
    7. Sounds like NAT, DNAT is missing?
    8. Firewall rules to let vlans out to internet?
    9. firewall rules to let each vlan send data to the other vlans as needed?

    I was hoping when setting up UTM from scratch as you loaded it from CD you had option to set the ETH0 to vlan to beging with, but no option to do so and no option in setup wizzard either. 

    I think I have steps 1 through 6 set correctly, and I am sure I need to do more with NAT and Firewall rules. I did find an example that spoke of the NAT and firewall rules and tried to follow it and modify it to my system and still not able to pass traffic in/out from the Internet.  Since all of network is now on vlan 10, I can reach all internal devices fine on the LAN side.

    Does anyone have a basic step by step example for say just routing one vlan out to the Internet they can share? Trying to make my NAT and firewall rules is not working out. I have experimented but not able to get the correct matches to make it work.

    Chad
  • 0 in reply to cmp828
    How what is the IP that you use for the VLAN interfaces in your UTM.

    My VLAN 200, has the 192.168.0.1/24 IP address, when I give the 192.168.0.1 IP to the VLAN interface for VLAN 200 in the UTM, I receive the "Duplicate IP address 192.168.0.1 from MAC 00:1a:8c:xx:xx:xx was detected on VLAN 200, port gi1/26", this MAC address belongs to the UTM?

    How do you implement the same case in your router?
Reply
  • 0 in reply to cmp828
    How what is the IP that you use for the VLAN interfaces in your UTM.

    My VLAN 200, has the 192.168.0.1/24 IP address, when I give the 192.168.0.1 IP to the VLAN interface for VLAN 200 in the UTM, I receive the "Duplicate IP address 192.168.0.1 from MAC 00:1a:8c:xx:xx:xx was detected on VLAN 200, port gi1/26", this MAC address belongs to the UTM?

    How do you implement the same case in your router?
Children
No Data
Unfiltered HTML