Vai al contenuto
Avanet

Configurare VLAN sugli switch Sophos Firewall e UniFi

Le VLAN separano logicamente le reti l’una dall’altra, anche se possono funzionare sugli stessi switch e cavi. In un tipico ambiente di piccole o medie dimensioni, Sophos Firewall si occupa del routing, delle regole del firewall, del DHCP e delle policy di sicurezza. Lo Switch UniFi trasporta le VLAN tramite tagging verso punti di accesso, client, server o altri switch.

L’articolo mostra una configurazione pratica con Sophos Firewall come Gateway e UniFi come piattaforma di commutazione. L’attenzione non è solo sul percorso del clic, ma anche sugli errori tipici: comportamento errato di Tagged/Untagged, regole del firewall mancanti, server DHCP dimenticato o VLAN sull’interfaccia madre sbagliata.

Immagine di destinazione

Esempio:

  • VLAN Nome: Clients.
  • VLANID: 100.
  • Sottorete: 10.100.0.0/24.
  • Da Gateway a Sophos Firewall: 10.100.0.1.
  • Zona su Sophos Firewall: Client o LAN.
  • UniFi Uplink al firewall: consente il tag VLAN 100.
  • Porta client sullo switch: VLAN 100 senza tag o impostata come Native VLAN.

In questo progetto, Sophos Firewall è il Gateway predefinito della VLAN. I client nel VLAN ottengono un indirizzo IP dalla nuova sottorete, inviano il loro traffico al firewall e vengono controllati lì tramite regole firewall, NAT, protezione web, IPS o altre policy.

Se è necessario chiarire prima l’interfaccia di base e la pianificazione delle zone, Sophos Firewall Configura zone e interfacce sarà di aiuto. Ai fini delle presenti istruzioni si presuppone che il VLAN sia deliberatamente progettato come propria rete client, ospite, server o di gestione.

Chiarire in anticipo

Prima della configurazione dovresti determinare questi punti:

  • Quale ID VLAN viene utilizzato?
  • Quale sottorete IP ottiene VLAN?
  • Sophos Firewall dovrebbe fornire DHCP per questo VLAN?
  • In quale zona Sophos si trova il VLAN?
  • Quali porte UniFi trasportano il tag VLAN?
  • Quali porte UniFi trasmettono il VLAN senza tag ai dispositivi finali?
  • Il VLAN può accedere solo a Internet o anche ai server interni?
  • Quali servizi firewall locali possono essere accessibili da questa zona?

⚠️ Un VLAN separa solo il livello 2. Il Sophos Firewall decide successivamente se il traffico tra VLAN è consentito tramite routing, regole firewall e NAT. Un VLAN non sostituisce la pianificazione regolare.

Crea VLAN in UniFi Network

A seconda della versione UniFi Network, le singole voci di menu hanno nomi leggermente diversi. Il principio rimane lo stesso: VLAN viene creato come rete propria o come rete solo VLAN se Sophos Firewall prende il controllo di Gateway e DHCP.

Percorso del menù:

Settings > Networks

Procedura:

  1. Apri Nuova rete virtuale o Nuova rete.
  2. Assegnare un nome, ad esempio Clients.
  3. Selezionare Gateway di terze parti come router o Gateway se Sophos Firewall assume il controllo del routing e del DHCP.
  4. Immettere l’ID VLAN, ad esempio 100.
  5. Lasciare le funzioni automatiche UniFi-Gateway o DHCP disabilitate quando è in carica il Sophos Firewall.
  6. Salva.
    UniFi Network Impostazioni con reti esistenti
    Nel UniFi Network le VLAN vengono prima create come reti o reti solo VLAN.
    UniFi Network con il nuovo VLAN e Gateway di terze parti
    Per Gateway di terze parti, Sophos Firewall rimane Gateway della VLAN.

UniFi Impostare correttamente le porte dello switch

La parte più importante è la mappatura delle porte. Gli switch Sophos Firewall e UniFi devono vedere lo stesso ID VLAN sullo stesso collegamento.

Design tipico della porta:

  • Uplink a Sophos Firewall: Consenti VLAN 100 contrassegnato in modo che VLAN venga trasportato al firewall.
  • Uplink a un altro switch: Consenti il ​​tag VLAN 100 se VLAN deve essere ridistribuito.
  • Porta Access Point: Consenti il ​​tag VLAN 100 se un SSID utilizza questo VLAN.
  • Porta client: Imposta VLAN 100 come nativa/Untagged VLAN in modo che un dispositivo senza tag VLAN finisca direttamente nella rete corretta.

Quando un normale PC client è connesso a una porta dello switch, normalmente invia senza tag. Lo switch mappa quindi questa porta sul Native VLAN desiderato. Se un Access Point o un altro switch deve trasportare più VLAN, la porta deve consentire le VLAN contrassegnate.

Errori tipici:

  • VLAN creato sullo switch UniFi, ma non consentito sull’uplink al firewall.
  • La porta client è configurata con tag anziché senza tag.
  • L’SSID Access Point utilizza VLAN 100, ma la porta AP non supporta VLAN 100.
  • Native VLAN e Tagged VLAN sono confusi.
  • L’ID VLAN è diverso su UniFi e Sophos.

Cambiamenti di pianificazione senza perdita di gestione

È necessario prestare particolare attenzione quando si apportano modifiche VLAN agli uplink, ai profili delle porte switch o alle reti di gestione. Un Native VLAN errato o un Tagged VLAN mancante sull’uplink possono causare la scomparsa dello switch, del Access Point o del firewall dalla rete di gestione.

Prima di apportare modifiche produttive, dovresti quindi determinare brevemente:

  • Rete di gestione UniFi: La gestione VLAN non deve essere persa quando si modifica il profilo della porta.
  • Uplink a Sophos Firewall: Le modifiche a questa porta spesso interessano più VLAN contemporaneamente.
  • Accesso locale: per le modifiche remote è richiesto un percorso di fallback verso lo switch e il firewall.
  • Porta di test: I nuovi profili VLAN possono essere testati su una porta riservata senza spostare i dispositivi produttivi.
  • Backup: con una configurazione protetta di Sophos e UniFi, puoi tornare più rapidamente all’ultima versione funzionante.

Si consiglia di convalidare prima le nuove VLAN su una singola porta di test. Solo quando DHCP, Gateway, DNS, regola firewall e Log Viewer corrispondono, il profilo della porta deve essere implementato su punti di accesso aggiuntivi, switch uplink o porte client.

Crea VLAN sul Sophos Firewall

Il VLAN viene creato come interfaccia virtuale sul Sophos Firewall.

Percorso del menù:

Network > Interfaces > Add interface > Add VLAN

Procedura:

  1. Assegnare un nome, ad esempio Clients VLAN 100.
  2. Selezionare la porta fisica, il bridge o il LAG a cui arriva il VLAN contrassegnato come Interfaccia.
  3. Selezionare la zona, ad esempio Client, LAN, Guest o Server.
  4. Immettere l’ID VLAN, ad esempio 100.
  5. In Configurazione IPv4 solitamente selezionare Static.
  6. Impostare l’indirizzo Gateway della VLAN, ad esempio 10.100.0.1/24.
  7. Salva.
    Sophos Firewall Add VLAN Selezione interfaccia
    Il VLAN viene creato sull’interfaccia principale su cui lo switch UniFi invia il tag VLAN al firewall.
    Sophos Firewall VLAN Interfaccia con ID VLAN e configurazione IPv4
    L’ID VLAN, la zona e l’indirizzo IP devono corrispondere al design dello switch e della sottorete.
    Sophos consente gli ID VLAN da 1 a 4094. Lo stesso ID VLAN non può essere utilizzato più volte sulla stessa interfaccia fisica. Tecnicamente lo stesso ID VLAN può apparire nuovamente su un’interfaccia madre diversa, ma in pratica ciò dovrebbe essere fatto solo se la progettazione della rete è chiaramente documentata.

Configura DHCP per VLAN

Se i client nel VLAN dovessero ricevere automaticamente gli indirizzi IP, è richiesto un server DHCP o un relè DHCP.

Sul Sophos Firewall, DHCP è sotto:

Network > DHCP

Valori DHCP tipici:

  • Interfaccia: Clients VLAN 100.
  • Inizio gamma: 10.100.0.50.
  • Fine gamma: 10.100.0.200.
  • Gateway: 10.100.0.1.
  • Server DNS: Firewall-IP o server DNS interno.
  • Nome del dominio: dominio di ricerca interno, se richiesto.

Se il Sophos Firewall deve essere utilizzato come risolutore DNS per questo VLAN, anche il DNS deve essere consentito in Amministrazione > Accesso al dispositivo per la zona appropriata. Le opzioni DHCP per dispositivi specifici sono descritte nell’articolo Opzioni DHCP Sophos Firewall (SFOS).

Crea regole firewall

Dopo VLAN e DHCP, in genere manca la regola firewall appropriata. Senza una regola, il client può ottenere un indirizzo IP, ma non può comunicare automaticamente con Internet o altre reti.

Prima regola tipica di Internet:

  • Rule name: Clients_to_WAN.
  • Source zones: Client o LAN.
  • Source networks and devices: oggetto di rete della VLAN, ad esempio net_Clients_10.100.0.0_24.
  • Destination zones: WAN.
  • Destination networks: Any.
  • Services: HTTP, HTTPS, DNS, NTP o servizi deliberatamente definiti.
  • Log firewall traffic: attivato.

Dovresti creare regole separate per l’accesso ai server interni e consentire solo le destinazioni e i servizi richiesti. In genere, un ospite o un IoT VLAN non dovrebbe essere autorizzato ad accedere al server o alla rete di gestione.

I dettagli sull’ordine delle regole, Source Zone, zona di destinazione, funzionalità di sicurezza e registrazione sono disponibili in Comprensione e configurazione corretta delle regole Sophos Firewall.

Controlla Device Access

Device Access controlla i servizi locali del firewall stesso, non il traffico attraverso il firewall. Questo è importante per le nuove VLAN.

Esempi:

  • I client devono utilizzare il firewall come server DNS: consentire DNS per la zona.
  • Il monitoraggio dovrebbe eseguire il ping del firewall: consentire specificamente Ping/Ping6.
  • I client normali, gli ospiti o i dispositivi IoT non dovrebbero accedere a WebAdmin o SSH.
  • L’accesso alla gestione deve avvenire da una rete amministrativa dedicata o tramite le regole di eccezione Local Service ACL.

Sophos Firewall Protezione dell’accesso: configurare correttamente Device Access aiuta per un rafforzamento preciso.

Test e validazione

Dopo la configurazione non dovreste solo verificare se un client dispone di Internet. È meglio un piano di test breve e riproducibile:

  1. Collegare il client alla porta UniFi designata.
  2. Controllare se il client ottiene un indirizzo IP dal VLAN corretto.
  3. Controllare il Gateway predefinito e il server DNS.
  4. Eseguire il ping del firewall-IP in VLAN se il ping è consentito.
  5. Testare l’accesso a Internet.
  6. Testare l’accesso alle reti interne che dovrebbero essere consentite.
  7. Testare l’accesso alle reti interne che dovrebbero essere bloccate.
  8. Nel Visualizzatore log di Sophos verificare quale regola del firewall corrisponde.
  9. Controlla il contatore di utilizzo della regola.

Se una regola non funziona come previsto, Sophos Firewall Prova regola con Log Viewer e Packet Capture aiuta.

Errori tipici

  • Non è consentito taggare VLAN sull’uplink UniFi al firewall: i client non ricevono un indirizzo IP o non raggiungono il firewall.
  • VLAN si trova sull’interfaccia madre sbagliata su Sophos: Sophos Firewall non vede il traffico.
  • La porta client è contrassegnata anziché senza tag: I client normali non finiscono nel VLAN.
  • DHCP mancante: il client non ottiene un indirizzo IP o un indirizzo APIPA.
  • DNS Device Access mancante: il client può raggiungere gli IP ma non può risolvere i nomi.
  • Regola firewall mancante: Il client ottiene un indirizzo IP, ma il traffico è bloccato.
  • Regola di consenso troppo ampia: La separazione VLAN è stata praticamente rimossa di nuovo.
  • Zona sbagliata selezionata: La regola, Device Access o la politica web hanno effetto in modo diverso dal previsto.
  • Native VLAN su Trunk non chiaro: il traffico senza tag finisce nella rete sbagliata.

Risoluzione dei problemi

Se VLAN non funziona, dovresti controllare dal Livello 1 al Livello 7:

  1. Cavo e collegamento: La porta UniFi mostra il collegamento e la velocità prevista?
  2. Profilo porta UniFi: Il tag VLAN 100 è consentito sull’uplink?
  3. Porta client: VLAN 100 è impostato senza tag/nativo per i client normali?
  4. Sophos Interface: VLAN è visibile, connesso e nella zona corretta in Rete > Interfacce?
  5. DHCP: Esiste un server DHCP o un relè per il VLAN?
  6. Gateway: Sophos VLAN-IP è il Gateway predefinito?
  7. Device Access: Il DNS o il ping sono consentiti per la zona, se necessario?
  8. Regole firewall: Source Zone, Source Network, Zona di destinazione e Services sono corretti?
  9. Log Viewer: Il traffico è consentito, interrotto o interessato da un’altra regola?
  10. Packet Capture: I pacchetti arrivano sull’interfaccia corretta e con la configurazione VLAN prevista?

Nei casi difficili da comprendere, Packet Capture è spesso cruciale. Se nessun pacchetto arriva alla Sophos Parent Interface, il problema è solitamente sul lato UniFi, sul cavo, sul profilo della porta, sul design Tagged/Untagged o sull’uplink sbagliato.

Lista di controllo

  • L’ID VLAN è lo stesso su UniFi e Sophos.
  • UniFi L’uplink al Sophos Firewall consente di taggare il VLAN.
  • La porta del dispositivo finale non è contrassegnata/nativa nel VLAN corretto per i client normali.
  • Sophos VLAN si trova sull’interfaccia principale corretta.
  • Sophos VLAN ha la zona schedulata e Gateway-IP.
  • Il DHCP o il relè DHCP sono impostati.
  • Il DNS è impostato in modo appropriato e consentito quando si utilizza il firewall tramite Device Access.
  • La regola del firewall per l’accesso a Internet è presente e registrata.
  • L’accesso interno è consentito solo dove realmente necessario.
  • Log Viewer e Packet Capture sono stati testati per un client di prova.

Domande frequenti

Ciascun VLAN necessita di una propria zona Sophos?

No. Più VLAN possono trovarsi nella stessa zona se vengono assegnati lo stesso livello di affidabilità, regole firewall e Device Access. Tuttavia, se un VLAN ha diritti diversi o un rischio diverso, una zona separata è spesso più chiara.

DHCP deve essere eseguito sul Sophos Firewall?

Non necessariamente. DHCP può anche essere eseguito su un server interno o essere inoltrato. L’unica cosa importante è che i client nel VLAN ricevano un indirizzo IP, Gateway e una configurazione DNS adeguati.

Perché Internet funziona ma non si accede ai server interni?

Nella maggior parte dei casi non esiste una regola firewall appropriata tra la zona VLAN e la zona server oppure la regola è soggetta a una regola di blocco o autorizzazione più generale. Nel Log Viewer puoi vedere quale regola è effettivamente soddisfatta.

Perché il client non ottiene un indirizzo IP?

Le cause più comuni sono un profilo di porta UniFi errato, un uplink senza tag a Sophos Firewall, un VLAN sull’interfaccia principale errata o un server DHCP mancante.

Un ospite VLAN dovrebbe utilizzare il DNS su Sophos Firewall?

Ciò può essere utile se si desidera che il firewall fornisca o filtri il DNS per l’ospite VLAN. Quindi il DNS deve essere consentito per la zona corrispondente in Device Access. In alternativa, puoi distribuire server DNS esterni tramite DHCP.