Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 2 subscribers
  • Views 25194 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VLAN setup on Sophos UTM 9 with Cisco SG500 layer 3 switch

siemprepeligroso
Hi,

I am new to the forum, so I apologize in advance in case of writing smth stupid.

Our goal, is to create 3 VLANs and seperate the networks between different departements.

 

VLAN1 (which is the default VLAN in the switch) - will be used for IT department and the management.

VLAN100 - will be used for business .

VLAN200 - will be used for guests who need to connect to the internet through WiFi.

 

I have created VLAN100 and VLAN200, and VLAN1 is there by default.

 

I want to use port 13 for VLAN200 and to connect the Wifi access-point there.

 
The uplink is in port 25.



I did plenty of reading on forums but did not come up to a final useful result.

As BAIfson has pointed out in his answer here: https://community.sophos.com/products/unified-threat-management/astaroorg/f/52/t/29039

There are to approaches for setting up VLANs in a given network, 

1) leave the router to do the routing
2) the layer 3 switch does the routing

I came across this post here: Sophos UTM VLAN Interfaces & Routing on a stick | Network Guy
In my opinion here the router is doing the routing and not the Layer 3 switch? Am I wrong? Can someone please confirm.

When looking at the posts in different forums, to achieve the case where the Layer 3 switch does the routing, something like "allowing multiple subnets in a single interface" has to be done in the router. How can I achieve this with the Sophos UTM 9?

What is the best practice for my scenario? And how can I achieve it?

Best regards,
D


This thread was automatically locked due to age.
Parents
  • 0
    Hello,

    So now the next 2 questions. What mode of NAT?   NAT, SNAT or DNAT?
    Under the Masquerading tab or NAT?

    In the Masquerading section / tab I made 2 additional entries.
    Network:  Vlan 10(network)
    Position 2
    Interface External (WAN)
    Use address: >
    Comment: vlan 10

    same for my VLan 20 under Masquerading.

    Firewall rule entry:
    Group:  left as is
    position: 7
    Sources:  Vlan 10 and vlan 20
    Services:  any
    Destinations: External WAN (Network)
       Now would I also include Internal LAN (network) assuming I want to talk to or route between Vlans? Or list the individual vlan interfaces?
    Action: allow


    See my next question is, how to set up the NAT part. Do I add the rule under Masquerading as described above or to I click on the NAT tab and create a NAT, SNAT or DNAT instead?

    Then for the firewall rules, Do I have it set correctly to allow Vlans to go out to the Internet? Then what about the other Vlans or to send traffic from one vlan to the other?
    How best to explain, or word the question to you all? I know I need a NAT rule and a outbound / in bound firewall rule, but as far as NAT, what kind of rule and made under what section of NAT? 

    If someone is using 2 or more vlans, could you provide an example of your NAT and firewall rules configuration? Once I know the correct format and where it needs to be configured at I can make and do all I want. Just needing to get the mechanics of it correct.

    A. make interface set for vlan
    B. add the DNS so the vlans can use the DNS of UTM
    C. Add the DHCP for it, each vlan its own I.P. scope
    D. Correctly configure the NAT
    E. correctly configure the firewall rules for out / in  traffic

    Chad
Reply
  • 0
    Hello,

    So now the next 2 questions. What mode of NAT?   NAT, SNAT or DNAT?
    Under the Masquerading tab or NAT?

    In the Masquerading section / tab I made 2 additional entries.
    Network:  Vlan 10(network)
    Position 2
    Interface External (WAN)
    Use address: >
    Comment: vlan 10

    same for my VLan 20 under Masquerading.

    Firewall rule entry:
    Group:  left as is
    position: 7
    Sources:  Vlan 10 and vlan 20
    Services:  any
    Destinations: External WAN (Network)
       Now would I also include Internal LAN (network) assuming I want to talk to or route between Vlans? Or list the individual vlan interfaces?
    Action: allow


    See my next question is, how to set up the NAT part. Do I add the rule under Masquerading as described above or to I click on the NAT tab and create a NAT, SNAT or DNAT instead?

    Then for the firewall rules, Do I have it set correctly to allow Vlans to go out to the Internet? Then what about the other Vlans or to send traffic from one vlan to the other?
    How best to explain, or word the question to you all? I know I need a NAT rule and a outbound / in bound firewall rule, but as far as NAT, what kind of rule and made under what section of NAT? 

    If someone is using 2 or more vlans, could you provide an example of your NAT and firewall rules configuration? Once I know the correct format and where it needs to be configured at I can make and do all I want. Just needing to get the mechanics of it correct.

    A. make interface set for vlan
    B. add the DNS so the vlans can use the DNS of UTM
    C. Add the DHCP for it, each vlan its own I.P. scope
    D. Correctly configure the NAT
    E. correctly configure the firewall rules for out / in  traffic

    Chad
Children
No Data
Unfiltered HTML