VLAN hinter Sophos

Es gibt 12 Antworten in diesem Thema, welches 4.472 mal aufgerufen wurde. Der letzte Beitrag () ist von Tuxtom007.

    Ich baue um...

    Mein neues Setup ist Sophos XG - 48er Switch - CloudKey2pro und natürlich eine Hand voll AP´s.

    Die Sophos ist natürlich FW und DHCP.

    Jetzt schnall ich überhaupt nicht wie ich dann die Netzwerke im unifi erstelle bzw Vlan.

    Wenn ich "nur VLAN" nehme und den entspechenden Tag eintrage, kommt das irgendwie nciht durch. Die Sophos vergibt dann keine IP.

    Ich habe auch extra für jedes Netz eine separate Leitung als Trunk Port genommen.

    Irgend etwas mache ich noch falsch. Habt ihr da Hinweise wo ich stellen muss?


    Als Beipiel PC Netz vlan 10 und IOT 20. Beide lege ich unter Netzwerke als "Nur VLAN" mit dem entsprechenden VLAN Tag an.

    Wenn ich jetzt ein WLAN AP einrichte muss ich dem ja auch in ein Netzwerk packen. Da gibt es unter Dienste das Management-LAN und dann unter Netzwerk noch entsprechende Werte.

    Wie stelle ich denn ein welche WLAN Netze der AP darf/kann? Kann ich in einem WLAN Netz 2 VLAN aufnehmen oder ist das zu weit gedacht, weil den Datenverkehr ja die Sophos regelt?

    Einmal editiert, zuletzt von lutzerhase ()

    Ich habe jetzt gesehen das ich unter "Profile" die "Switchports" definieren kann.

    Wenn ich jetzt an dem Port wo der AP eingesteckt ist ein "Port-Profil" erstelle wo beide VLAN drin sind, kann dieser mit beiden Netzen sprechen. So mein Verständniss...

    Die Trunk Ports die vom Switch zur Sophos gehen bekommen nur das jeweilige Profil. Somit hab ich pro Profil eine Leitung = 1Gb. So mein Verständniss...

    Wenn ich jetzt vom PC auf die Kamera zugriefen möchte, muss ich in der Sophos entsprechende Regeln anlegen.


    Beantwortet das meine Frage oben von selbst, wenn ich das so mit den "Profilen" mache oder muss ich da noch etwas beachten?

    Die Profile teieln den Switch in virtuelle Switche auf oder?

    Im Prinzip brauche ich gar keinen pro Switch wenn ich nur VLAN anlege. Da er ja kein Routing übernehmen kann, dann musste ich ja auch wieder mit der Firewall Regel von unifi arbeiten. Das wäre doppelt...

    Einmal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von lutzerhase mit diesem Beitrag zusammengefügt.

    Keine externen Bilder lutzerhase .

    Du musst aber noch das VLAN zum Managen mit in den Trunk zum AP packen.

    Zitat


    Du musst aber noch das VLAN zum Managen mit in den Trunk zum AP packen.

    Das was die unifi Umgebung braucht meinst du? Also "LAN" wenn man nichts angelegt hat...

    Sonst bekommt der AP vom Controller keine IP und kann nicht verwaltet werden oder?



    Jetzt hab ich irgendwie alles gelöscht...

    Wie soll man den "Bilder" Knopf" benutzen? Was anderes hab ich nicht gefunden. Oder sind gar keine Bilder erwünscht?




    Zitat von lutzerhase

    Das, was die unifi Umgebung braucht meinst du? Also "LAN", wenn man nichts angelegt hat...

    Sonst bekommt der AP vom Controller keine IP und kann nicht verwaltet werden oder?

    Rrrrrrrichtig. Nur, dass die IP nicht vom Controller, sondern vom DHCP-Server des Gateway (USG/UDM - in Deinem Fall Sophos) kommt.

    Zitat von lutzerhase

    Jetzt hab ich irgendwie alles gelöscht...

    Wie soll man den "Bilder" Knopf" benutzen? Was anderes hab ich nicht gefunden. Oder sind gar keine Bilder erwünscht?

    Bilder sind immer erwünscht, aber nicht aus externer Quelle. Ich hatte Deinen Beitrag oben schon korrigiert - da war nix mehr zu tun.

    Du kannst Bilder aus der Zwischenablage einfügen (STRG+V) oder über Dateianhänge beim Erstellen / Ändern eines Beitrags anhängen.

    Zitat von lutzerhase

    Das was die unifi Umgebung braucht meinst du? Also "LAN" wenn man nichts angelegt hat...

    Sonst bekommt der AP vom Controller keine IP und kann nicht verwaltet werden oder?

    Ich habe derzeit genau das selbe Problem, allerdings mit ner OPNSense als Firewall, DHCP usw.


    Die Clients in den VLAN bekommen keine IP's, nur das Management-LAN funktionert.


    Kannt du mal kurz beschreiben, was du nun am Ende gemacht hast. - würde mich mal interessiert.

    Zitat von Tuxtom007

    Ich habe derzeit genau das selbe Problem, allerdings mit ner OPNSense als Firewall, DHCP usw.


    Die Clients in den VLAN bekommen keine IP's, nur das Management-LAN funktionert.


    Kannt du mal kurz beschreiben, was du nun am Ende gemacht hast. - würde mich mal interessiert.

    Auch, wenn ich vielleicht nicht gemeint war: Bei UniFi ist das Management-LAN im Trunk als NATIVE konfiguriert und alle anderen VLANS TAGGED. Das sollte die Sophos auch können.

    @Tuxtom007 ich habe weiter noch gar nichts gemacht, ist bisher nur Theorie. Erst wenn ich eins zwei Puzzle Teile mehr habe, teste ich.

    Ich habe den super Komfort, dass ich das System erst in Ruhe aufbauen kann und dann erst als Echtsystem nutzen werde. Der einzige der drängelt ist mein Schweinehund.

    Ich habe auch schon die Sophos Seite gecheckt, da muss man die VLANs ja extra anlegen, dass finde ich wieder bei unifi super einfach.


    In der Netzwerk Theorie ist das ja alles einfach, nur die Knöpfchen muss man finden :winking_face:

    Meine dumme Vermutung ist das auf dem Weg vom Switch zur Sophos das Tag verloren geht oder wie auch immer. Also aus Tagged dann Untagged und die Sophos wartet auf Tagged ....
    Da hab ich bestimmt noch eine Denkblockade. Wenn ich dem Port im Unifi Switch das VLAN zuweise, dann ist es doch immer Tagged oder?
    Mein PC, Handy usw. kann das ja auch nicht und ich kann in dem VLAN arbeiten. Also gibt der Switch das Tag mit weiter oder nicht?

    Dem Unifi Switch ist es ja egal, der bekommt gesagt Port xy darf das netzwerk mit diesem Vlan Tag. Und 1 ist ja das Standard was auch fürs Management genommen wird.

    Einmal editiert, zuletzt von lutzerhase ()

    Zitat von lutzerhase

    Meine dumme Vermutung ist das auf dem Weg vom Switch zur Sophos das Tag verloren geht oder wie auch immer. Also aus Tagged dann Untagged und die Sophos wartet auf Tagged ....

    Da hab ich bestimmt noch eine Denkblockade. Wenn ich dem Port im Unifi Switch das VLAN zuweise, dann ist es doch immer Tagged oder?
    Mein PC, Handy usw. kann das ja auch nicht und ich kann in dem VLAN arbeiten. Also gibt der Switch das Tag mit weiter oder nicht?

    Dem Unifi Switch ist es ja egal, der bekommt gesagt Port xy darf das netzwerk mit diesem Vlan Tag. Und 1 ist ja das Standard was auch fürs Management genommen wird.

    Es ist genau andesrum, dass es dann auf dem Access-Port untagged ist, denn Du bekommst am Client von einem VLAN nix mehr mit.

    Wenn Du einen Trunk auf einen Port legst, dann kann ein NATIVE VLAN konfiguriert werden, welches UNTAGGED ist und alle anderen VLANs im Trunk sind dann TAGGED.

    Auch UniFi macht das zum Glück nicht anders.

    Wie praktisch, hab gerade ein neues Video von "Mactelecom Networks" gesehen, der genau das Thema mit VLan zwischen PfSense ( OPNSense basiert ja darauf ) und Unifi Switchen behandelt.

    Vielleicht hilft es dir auch.


    Im Grund habe ich alles richtig gemacht, aber der macht die Konfig in der neue GUI, nur Name, VLan-ID und DHCP-Server und fertig, das dem Switchport zugewiesen

    Ich hab DHCP-Server auf None gesetzt, das wird der Fehler sein.


    Youtube-Video