Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 2 subscribers
  • Views 25173 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VLAN setup on Sophos UTM 9 with Cisco SG500 layer 3 switch

siemprepeligroso
Hi,

I am new to the forum, so I apologize in advance in case of writing smth stupid.

Our goal, is to create 3 VLANs and seperate the networks between different departements.

 

VLAN1 (which is the default VLAN in the switch) - will be used for IT department and the management.

VLAN100 - will be used for business .

VLAN200 - will be used for guests who need to connect to the internet through WiFi.

 

I have created VLAN100 and VLAN200, and VLAN1 is there by default.

 

I want to use port 13 for VLAN200 and to connect the Wifi access-point there.

 
The uplink is in port 25.



I did plenty of reading on forums but did not come up to a final useful result.

As BAIfson has pointed out in his answer here: https://community.sophos.com/products/unified-threat-management/astaroorg/f/52/t/29039

There are to approaches for setting up VLANs in a given network, 

1) leave the router to do the routing
2) the layer 3 switch does the routing

I came across this post here: Sophos UTM VLAN Interfaces & Routing on a stick | Network Guy
In my opinion here the router is doing the routing and not the Layer 3 switch? Am I wrong? Can someone please confirm.

When looking at the posts in different forums, to achieve the case where the Layer 3 switch does the routing, something like "allowing multiple subnets in a single interface" has to be done in the router. How can I achieve this with the Sophos UTM 9?

What is the best practice for my scenario? And how can I achieve it?

Best regards,
D


This thread was automatically locked due to age.
Parents
  • 0
    Hello and thank you all for assistance. It is up and working. Step by step what I did.

    1. configure interface to be Vlan. In my Case it is eth0 since eth1 is my WAN

    2. Add vlans to the interface. In my case 10,20, & 30

    vlan 10 example:
    Type: Ethernet vlan
    Hardware: eth0 selected
    Vlan tag: 10
    IPv4 address 192.168.2.1
    netmask /24
    Note: each Vlan is given its own IP subnet and I.P. scope in DHCP and the I.P. of the vlan is always on the ***.***.***.1 (at least in my case and examples) so my vlan 20 interface is on 192.168.3.1 and for vlan 30 it is on 192.168.4.1.
    3. Configure DHCP scopes for each Vlan

    choose different subnet for each vlan, vlan 10 is on 192.168.2.0/24, vlan 20 is on 192.168.3.0/24, and vlan 30 is on 192.168.4.0/24 and so forth. 
    So under DHCP create the DHCP scope.
    interface: vlan 10
    Range start: 192.168.2.100
    range end: 192.168.2.254
    DNS server 1:  192.168.2.1     (I am using the UTM for DNS)
    DNS server 2 : left blank
    Default gateway: 192.168.2.1
    Domain: left blank
    Lease time: 68400

    (note, default gateway for each vlan is the I.P. for the Vlan interface, example vlan 20 gateway is  192.168.3.1 and vlan 30 gateway is 192.168.4.1

    4. Click on NAT secition under network Protection.
    Creat the Masquerading rule or rules for each vlan.
    As provided in the post, thank you Balfson,this example could be used:
    "You also could do '{192.168.0.0/21} -> External' in a single masq rule. The firewall rule should look like 'Allow : {192.168.0.0/21} -> Any -> Internet'."
    I made rules for each Vlan, encase I wanted to make some non routed out I could disable them.  
    so for my masquerading rule:
    network: (green icon)vlan 10 (network)
    interface: media comm   (this is your WAN interface, my eth1 is label as media comm   which is my isp.)
    use address: >
    comment: vlan 10

    The settings are basically the same, just do it for each vlan needed or use the single rule provided by Balfson.

    5. set the firewall rule.
    I assume you can make one rule that lists all the vlans in it or make individual rules for each vlan. I made one for each vlan.

    Group: I left alone
    Position: happens to be 2
    Sources:blue icon for vlan 10
    ( I assume in this box you can all all the vlan interfaces to allow out to the Internet)
    Services: any
    Destination: any
    action: allow
    Comment: vlan 10
    time period: always
    Log traffic is checked


    I hope this helps for future people setting up the vlan mode.
    Again I read and as noted in the fourms for UTM, Vlan 0 and vlan 1 can not be used on your network, UTM uses them. I usually need a full complete example to follow when configuring for the first time, so if I have a full example of a working model to follow i can usually figure out what to change in each step and figure out how to set it up on my UTM.  
    IF I understand correctly, in UTM, if you have several outside Internet I.P. addresses to use on your WAN interface, you would use a SNAT for each Vlan, and SNAT rules to be used for their our WAN I.P. I have just one WAN I.P. to use, so I need to Masquerade all VLAN I.P. scopes out / over my one WAN address.
  • 0 in reply to cmp828
    @cmp92000

    Who is taking care of the routing task in your network? The sophos router, or the Cisco switch (if Layer 3 mode is enabled)?
Reply Children
No Data
Unfiltered HTML