Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 9550 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

RED50 - VLANs, DHCP Relay and VOIP Issues

DavidMoffatt
Afternoon all,

I've got a RED50 on the end of an ADSL line deployed in Standard/Unified Mode (uplink mode - DHCP Client), and we have a PC, an IP phone and a printer all connected to Switch Ports 1,2 and 3 respectively.

Essentially, I need the IP phone (plugged into LAN 2 on the RED50) to get a 172.16.82.x address (VLAN 20) assigned by the DHCP server at 172.16.80.15 (VLAN 10).​ The PC plugged into LAN1 on the RED50 needs to get a 172.16.84.x address (VLAN 40) also assigned through the same DHCP server. The printer (LAN3) needs a 172.16.85.x address (VLAN 50).

I've ​configured the UTM to relay DHCP requests to 172.16.80.15 from both the UTM Internal and RED50 interfaces, but I think that there is an issue with the Relay as when I set the RED interface to Dynamic IP, I don't get an address assigned.

The RED Interface on the UTM has been configured as follows:
Type - Ethernet VLAN
Dynamic IP - Yes
VLAN Tag - 40
(There are no changes to the defaults in the Advanced section)

The RED50 switch ports configuration is as follows:
LAN Port Mode - VLAN
LAN1 Mode - Tagged (Trunk Port)
LAN1 VIDs - 10,20,30,40,50,60
LAN2 Mode - Tagged
LAN2 VIDs - 20
LAN3 Mode - Tagged
LAN3 VIDs - 50
LAN4 Mode - Unused

I've got masquerading rules configured for the RED interface:
RED -> Internal
RED -> External

What am I missing here?

Any help much appreciated.

Thanks

DM_Evolved


This thread was automatically locked due to age.
  • 0
    We don't know much about the rest of the configuration of the UTM, but I'm confused by the masq rules.  Masq rules only should be needed with interfaces that have a default gateway.  Please click on [Go Advanced] below and attach a picture of these two masq rules.

    Which devices behind the RED are getting a correct IP from DHCP?  Please also attach pictures of your DHCP configuration.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Did you enter all interfaces involved in the DHCP Relay Interfaces configuration box?
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    Screenshots as requested.

    Both the RED Interface Network and the Internal Network have been added to the interfaces list.

    As it stands at the moment, none of the devices connected to the RED are getting any addresses from DHCP.
  • 0 in reply to DavidMoffatt
    Ok. A bit more info regarding the configuration of the UTM.

    There's a few basic rules set on the firewall, but I've got Any traffic coming from the RED Interface to the Internal networks allowed (and for the time being, vice versa).

    There's no IDS or ATP configured (yet). Web protection is enabled with Network Visibility, but no application control rules in place.

    Internal interface:
    Type - Ethernet
    IPv4 Address - 172.16.86.10
    Netmask - /25 (255.255.255.128)

    Static Route:
    Route Type - Interface Route
    Network - 172.16.80.0/21
    Interface - Internal


    Also, I went back into the configuration and changed the configuration of the RED50 and its interface to static addresses (172.16.86.129). The RED connects properly and establishes the tunnel. Still no DHCP addresses for the devices connected to the RED though.
  • 0
    If the masq rule for the Internal interface were needed once you got this working, that would indicate a config error somewhere - see #s 3-5 in Rulz.

    I assume that you have the "RED (Network)" in the masq rule for External.

    I was thinking more about the (Windows Server?) config for DHCP.  Was it correctly assigning IPs to VLANs on your internal LAN before you installed the RED?  Do you have the VLANs defined in the UTM?  What is the reason to use VLANs for this small office RED?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Rule #3.1: Other solutions to routing problems include:
    Devices in the LAN must have the IP of "Internal (Address)" as their default gateway.
    Endpoints in the LAN have a gateway of the core switch stack. This in turn passes all traffic to the UTM on pre-configured static routes.

    Never connect two NICs into the same, physical Ethernet segment unless bridging or creating a LAG. This isn't a problem.

    When adding an interface, don't forget the Masquerading rule for the new network behind the UTM. Does this not apply to the RED interface?

    The internal DHCP has been working fine for years without any issues.
    All the phones are on VLAN20 regardless of the location and are given 172.16.82.x addresses. The phone system is at 172.16.82.1. Hence the desire to keep the phones on the same VLAN.
  • 0
    You've made some incorrect assumptions about how UTM and RED work, so your solutions, although logical in your framework, are not going to function as desired.  Once you have a better understanding, your background and training will help you with the Sophos products.  For now, I suggest that you get an experienced UTM/RED person to help you with your design.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    I've simplified the scenario.

    I've now created the DHCP server on the UTM to provide IP addresses to the devices connected to the RED 50 (and removed the DHCP relay). I've also added in the DHCP options for the IP Phone (as per the internal DHCP scope).

    DHCP Options added:
    3 Router: 172.16.186.10
    4 Time: 172.16.80.46
    6 DNS Server: 172.16.80.46
    15 DNS Domain Name: ***.yyyyyyy.com
    156 Shoretel-VOIP: ftpservers=172.16.80.49,country=7,language=4,layer2tagging=1,vlanid=20

    The RED50 interface has been given a static address of 172.16.186.10.
    The LAN port mode on the RED50 has been changed back to Switch mode.

    Now the client PC is happily getting an IP address and can access devices on the internal LAN without any bother at all. But the IP Phone will not collect an address. Am I missing something in the configuration here, or is the issue more likely with the way the phone system is configured?
Unfiltered HTML