Sophos UTM VLAN vs. UniFi VLAN

Es gibt 10 Antworten in diesem Thema, welches 1.501 mal aufgerufen wurde. Der letzte Beitrag () ist von stellwagenc.

    Hallo zusammen,


    ich habe mich soeben hier registriert, weil ich bei einem Problem absolut nicht weiterkomme. Da ich hier bereits viele Hilfreiche Tipps gefunden habe, hoffe ich das mir jemand weiterhelfen kann.

    Folgende Ausgangsbasis


    Firewall

    • Sophos UTM mit home use Lizenz


    Unifi Hardware

    • Switch USW Enterprise 8 PoE
    • Switch USW Flex
    • Switch USW Lite 16 PoE
    • AccessPoint U6-IW
    • AccessPoint U6-Mesh
    • AccessPoint U6-Pro


    Für meine Server nutze ich das VLAN 10. Alles andere läuft aktuell über das native default Netzwerk (VLAN 1).

    Aktuell ist es so konfiguriert:
    Sophos LAN -> Port 1 USW Enterprise (nativ VLAN 1)

    Sophos DMZ -> Port 2 USW Enterprise (nativ DMZ VLAN 10)

    USW Lite 16 PoE -> Port 3 USW Enterprise (nativ VLAN 1)
    Server #1 -> Port 7 USW Enterprise (nativ DMZ VLAN 10)

    Server #2 -> Port 7 USW Enterprise (nativ DMZ VLAN 10)

    Da in Zukunft aber noch min. 2 VLANs dazu kommen sollen, muss ich die VLANs an der Sophos über eine Schnittstelle routen. Bisher nutze ich dafür zwei Schnittstellen, um die Netze zu trennen (LAN und DMZ). Zukünftig soll VLAN1 (untagged) und VLAN 10, 20 und 30 (tagged) über die LAN-Schnittstelle geroutet werden.

    Also lege ich am Switch bzw. im Unifi Controller alle VLANs an. Konfiguriere Port 1 am USW Enterprise als Trunk. Die anderen Ports können erstmal so bleiben.

    So möchte ich es haben:

    Sophos LAN -> Port 1 USW Enterprise (VLAN 1 untagged, VLAN 10, 20 und 30 tagged)

    USW Lite 16 PoE -> Port 3 USW Enterprise (VLAN 1 untagged)

    Server #1 -> Port 7 USW Enterprise (VLAN 10 untagged)

    Server #2 -> Port 7 USW Enterprise (VLAN 10 untagged)


    Fakt ist: es funktioniert nicht. Ich bekomme keine Pings zu den Servern oder anderen Geräten die ich ins VLAN stecke und Geräte können keine IP beziehen. Die Firewall-Regeln passen, denn wenn das DMZ (VLAN 10) über eine eigene Schnittstellen läuft, funktioniert alles problemlos. Aber sobald alle VLANs an der Sophos über eine Schnittstelle geroutet werden, geht das DMZ bzw. VLAN10 nicht mehr.

    Ist das Sophos VLAN mit Unifi einfach nicht kompatibel oder übersehe ich etwas?

    Vorab vielen Dank für eure Unterstützung

    Viele Grüße
    Christopher

    Ich hab zwar meine sophos sg kürzlich an den Nagel gehängt. Sophos hat sie ja abgekündigt. Aber generell hatte ich keine Probleme mit VLANs zwischen sophos sg,XG und unifi.


    (Allerdings meide ich VLAN 1. Untagged bedeutet ja nicht VLAN 1)

    VLAN 1 sollte auf beiden Seiten (den Ports auf der sophos und dem unifi Switch entweder gleich tagged oder untangged sein)

    Aber wenn ich Dich richtig verstanden habe klappt das ja.


    DHCP hast Du auch an für beide Netze und die Geräte in den VLANs kommen auch alle an die SG bzw. ins Internet ?


    Mit UTM meinst Du ja die SG oder ?

    Danke für deine Antwort. Das native ungetaggte Netz (VLAN1) funktioniert immer problemlos und ist auch nicht mein Sorgenkind.

    DHCP ist auf der Sophos Firewall aktiv und nein, die Clients können auch nicht nach außen kommunizieren. Als gebe es die Netze einfach nicht.

    UTM ist der Vorgänger der SG.




    2 Mal editiert, zuletzt von stellwagenc ()

    Ah genau, ist die selbe Software wie sie auf der SG läuft.

    Ok die Ansicht von der Unifi ist mir noch nicht über den Weg gelaufen. Ist die vom Legacy Interface?


    Aber wenn ich es richtig sehe ist auf der UTM das Interface untagged und die tagged Interfaces deaktiviert. Auf dem Switch ist port 2 untagged vlan 1. Hängt der UTM DMZ Port am Switch port 2 ? Weil dann würde ich vermuten das es sie keine Verbindung bekommt.

    Die Ansicht von Unifi ist die ganze neue Early Access 8.0.2 Controller Version. Ziemlich schön gelöst mit dem VLAN Viewer.

    Die Interface sind aktuell deaktiviert, weil es eben nicht funktioniert. Port 2 am Switch ist aktuell die Firewall mit dem DMZ Interface, weil nur das aktuell funktioniert. Wunsch wäre eben, dass alles über den Trunk an Port 1 reinkommt.

    Ah nettes neues UI, aber auch etwas technisch ..


    Ist mir zwar klar ist blöd aber kannst Du nicht funktioniert näher beschreiben ?

    Generell sieht es für mich nicht verkehrt aus und wenn das EA kein Bug hat sollte es funktionieren.

    Wenn das DMZ auf dem nativ Port funktioniert sieht es für mich auch nicht nacheinem FW Problem aus.


    Evt ein Problem bei der Umstellung ? Für das VLAN DMZ is z.B. ein anderes Netzwerk hinterlegt sind diese alle Neu b.z. wurden diese native getestet?

    Zitat von stellwagenc

    st das Sophos VLAN mit Unifi einfach nicht kompatibel oder übersehe ich etwas?

    Nur ums zu sagen alle beide machen 802.1q und ich würde es seltsam finden wenn im Jahre 2023 da noch einer kommt

    und VLT oder ISL macht. Das Funktioniert auch recht gut...



    Bei dir sieht es wie swag und co schon sagte eigentlich gut aus. Ich habe zwar keine Aktien in Sophos kenne es aber, dass

    viele Geräte on fly Änderungen an fundamentalen Port Zuweisungen nicht mögen und einen sauberen reboot benötigen um das

    umzusetzen. evt.... reboot tut gut ?


    Zitat von stellwagenc

    Sophos LAN -> Port 1 USW Enterprise (VLAN 1 untagged, VLAN 10, 20 und 30 tagged)

    ETH0 ist auch Port1 bei der Dir? Nicht das du da die Portzuweisungen durcheinander hast.

    Habe das Problem gefunden - es lag an der Sophos UTM.

    Die Sophos UTM ist virtualisiert und gibt über die virt. Netzwerkarte die VLANs nicht getagged mit.


    Hier gibt es eine Lösung dafür:

    UTM9 Hyper-V VLAN - German Forum - UTM Firewall - Sophos Community


    Danach hat es sofort funktioniert :smiling_face:

    Habe zum Test nun eine VM nacheinander die verschiedenen VLAN IDs gegeben und die IP-Adresse wurde sofort bezogen.

    Microsoft.... :face_with_rolling_eyes:

    Hier ein Bild der Powershell Befehle und der Erklärung dazu:


    Wenn die VM über mehrere Netzwerkkarten verfügt, heißt die Hardware immer "Netzwerkkarte". Daher muss diese Bezeichnung zur exakten Zuweisung der VLAN IDs umbenannt werden (hier in TrunkNic). Danach können die VLAN IDs zugewiesen werden.

    Zitat von stellwagenc

    Habe das Problem gefunden - es lag an der Sophos UTM.

    Die Sophos UTM ist virtualisiert und gibt über die virt. Netzwerkarte die VLANs nicht getagged mit.

    Das die UTM virtualisiert ist stand hier zum ersten Mal. :o

    Microsoft könnte was Netzwerk und Hyper-V angeht, noch einiges verbessern. Aber man wirft ja lieber mit spätestens jeder 2. Server Version bestehende Dinge über Bord und macht alles neu und anders. Ok das macht Microsoft prinzipiell gerne und überall.


    Bin das letzte mal über solche unschönen Änderungen gestolpert, als es auf einmal hieß "NIC Teaming ist obsolete und wenn ich einen VSwitch auf das Team Packen will, dann isses unsupportet". Und SET (Switch Embedded Teaming) ging dann auch erstmal nicht dank der Einschränkungen.

    Zitat von razor

    Das die UTM virtualisiert ist stand hier zum ersten Mal. :o

    Ich hätte auch nicht gedacht, dass es hier zu Problemen kommt, daher war es meiner Meinung nach irrelevant. Aber so kann man sich täuschen :face_with_rolling_eyes:


    Zitat von DoPe

    Microsoft könnte was Netzwerk und Hyper-V angeht, noch einiges verbessern. Aber man wirft ja lieber mit spätestens jeder 2. Server Version bestehende Dinge über Bord und macht alles neu und anders. Ok das macht Microsoft prinzipiell gerne und überall.


    Bin das letzte mal über solche unschönen Änderungen gestolpert, als es auf einmal hieß "NIC Teaming ist obsolete und wenn ich einen VSwitch auf das Team Packen will, dann isses unsupportet". Und SET (Switch Embedded Teaming) ging dann auch erstmal nicht dank der Einschränkungen.

    Ich nutze bei Kunden nur noch VMSwitch bzw. VMSwitchTeam. Das funktioniert zumindest für den Anwendungszweck meiner Kunden, absolut zulässig.

    Privat brauche ich das nicht. Mein Server hat 5 Netzwerkkarten (4x Firewall & 1x Host/VMs).

    Aber auch hier bin ich mit Microsoft schön auf die Schnauze gefallen. Hyper-V in Windows Server kann keine E-Cores. Installierst du Windows Server mit einer Alder Lake CPU (oder jünger) und fügst danach die Rolle Hyper-V dazu, bootet der Server nicht mehr. Werden die E-Cores deaktiviert, geht es wieder. Bei Windows 11 funktioniert es aber, daher ist mein Host aktuell auf Windows 11 Basis mit Hyper-V. Da funktionieren die E-Cores... Dafür funktioniert Veeam Backup & Replication nicht mit Windows 11.... Naja, irgendeinen Tod muss man sterben.