Zum Inhalt springen
Avanet

Sophos Firewall VLAN einrichten und testen

Sophos Firewall

Ein VLAN auf der Sophos Firewall ist mehr als eine VLAN ID. Damit das neue Netz wirklich funktioniert, müssen Parent Interface, Switch-Tagging, Zone, IP-Adresse, DHCP, DNS, Device Access, Firewall-Regeln und NAT zusammenpassen.

Der Artikel beschreibt den generischen Sophos-Firewall-Ablauf und die wichtigsten Betriebsentscheidungen rund um Segmentierung, Zone, DHCP, Regeln und Tests. Wenn es um eine konkrete Umsetzung mit UniFi Switches geht, passt der Artikel VLAN auf Sophos Firewall und UniFi Switch konfigurieren. Für Bridge-Sonderfälle nach SFOS 22 ist Sophos Firewall Bridge-VLANs nach SFOS 22 prüfen der bessere Einstieg.

Kurzantwort

Ein VLAN wird auf der Sophos Firewall unter Network > Interfaces > Add interface > Add VLAN erstellt. Danach braucht es meistens:

  • eine passende Zone
  • eine statische IP-Adresse als Gateway
  • DHCP-Server oder DHCP Relay
  • DNS-Design
  • Device Access für lokale Firewall-Dienste
  • Firewall-Regeln für Internet, interne Netze oder Server
  • Logging und einen kurzen Abnahmetest

Erst wenn ein Testclient IP-Adresse, Gateway, DNS, erlaubte Verbindungen, blockierte Verbindungen und passende Logeinträge zeigt, ist das VLAN sauber abgenommen.

Wann ein VLAN sinnvoll ist

VLANs trennen Layer-2-Netze logisch voneinander. Auf der Sophos Firewall werden sie oft verwendet, um mehrere Netze über denselben physischen Uplink oder ein LAG zu führen.

Typische Einsatzfälle:

  • Client-Netz und Servernetz trennen
  • Gäste-WLAN vom internen LAN isolieren
  • VoIP-Telefone in ein eigenes Netz legen
  • IoT, Kameras oder Drucker begrenzen
  • Management-Netz für Admin-PCs, Switches und Monitoring schaffen
  • DMZ oder Servernetz über einen gemeinsamen Switch-Uplink führen

Ein VLAN ersetzt aber keine Firewall-Regeln. Es sorgt für die technische Trennung auf Layer 2. Ob Traffic zwischen VLANs erlaubt ist, entscheidet danach die Sophos Firewall über Zonen, Routing, Firewall-Regeln, NAT und Security Policies.

VLAN-Architektur planen

Die wichtigste Frage ist nicht, wie man ein VLAN anlegt. Die wichtigere Frage ist, welche Sicherheitsbereiche es im Netzwerk geben soll. Viele Probleme entstehen, weil VLANs rein technisch erstellt werden: VLAN 10, VLAN 20, VLAN 30. Nach ein paar Monaten weiss niemand mehr, welche Kommunikation erlaubt sein soll und warum bestimmte Netze getrennt wurden.

Wir empfehlen, VLANs zuerst nach Risiko, Funktion und Betriebsverantwortung zu planen. Eine gute Ausgangsstruktur sieht oft so aus:

BereichTypische GeräteWarum trennen?
ManagementAdmin-PCs, Switches, Access Points, Monitoring, ControllerZugriff auf Verwaltungsoberflächen soll sehr eng kontrolliert sein.
ClientsArbeitsplatzgeräte, Notebooks, normale BenutzergeräteStandardnetz mit Internetzugriff und gezielten internen Freigaben.
ServerDomain Controller, Fileserver, ApplikationsserverServer sollten nicht direkt von jedem Client-Netz erreichbar sein.
GästeGäste-WLAN, externe GeräteKein Zugriff auf interne Systeme, meistens nur Internet.
IoT und KamerasKameras, Drucker, Sensoren, GebäudetechnikViele Geräte haben schwache Update- und Sicherheitsmodelle.
VoIPTelefone, PBX, SBCQoS, eigene DHCP-Optionen und klare Erreichbarkeit sind hilfreich.
BackupBackup-Server, Repositories, Immutable StorageSchutz vor Ransomware und lateraler Bewegung.
DMZÖffentlich erreichbare Systeme oder Reverse ProxiesGetrennter Bereich für exponierte Dienste.

Das ist kein starres Schema. Ein kleines Büro braucht nicht zwingend zehn VLANs. Eine Umgebung mit mehreren Standorten, Servern, WLANs, Kameras, Backup-Systemen und externen Zugängen sollte aber nicht alles in ein grosses LAN legen.

Mikrosegmentierung realistisch einordnen

Mikrosegmentierung bedeutet nicht, dass jedes einzelne Gerät ein eigenes VLAN braucht. In der Praxis ist der bessere Start meistens eine saubere Makrosegmentierung: Clients, Server, Management, Gäste, IoT, Backup und DMZ werden getrennt. Danach kann man besonders kritische Systeme feiner segmentieren.

Beispiele für feinere Segmentierung:

  • Domain Controller in ein eigenes Server-Subnetz legen.
  • Backup-Systeme nur von wenigen Quellen erreichbar machen.
  • Kamera-Netz nur zum NVR oder VMS erlauben.
  • Drucker nur über Printserver oder definierte Client-Netze erreichbar machen.
  • Management-VLAN nur für Admin-Geräte und Monitoring öffnen.

Wichtig ist: Jede zusätzliche Trennung erzeugt auch Betriebsaufwand. Es braucht Regeln, Logs, Tests, Dokumentation und jemanden, der die Ausnahmen pflegt. Gute Segmentierung ist nicht möglichst kompliziert, sondern nachvollziehbar und überprüfbar.

Vorbereitung für ZTNA und moderne Zugriffe

Eine saubere VLAN-Struktur hilft später auch bei ZTNA, VPN, SASE oder anderen Zugriffskonzepten. Wenn interne Anwendungen bereits in klaren Server- oder Applikationsnetzen liegen, kann man Zugriffe gezielter veröffentlichen und muss nicht ein komplettes flaches LAN freigeben.

Für ZTNA ist besonders hilfreich:

  • Applikationsserver sind in bekannten Servernetzen.
  • Management-Zugriffe sind vom normalen Client-Traffic getrennt.
  • DNS-Namen und interne Routen sind sauber dokumentiert.
  • Firewall-Regeln zeigen, welche Benutzer- oder Standortgruppen welche Ziele benötigen.
  • Alte pauschale LAN to LAN oder Any to Any Regeln werden abgebaut.

Wenn später Sophos ZTNA eingesetzt wird, passt der Einstieg über Sophos ZTNA Gateway planen und erstellen. Die VLAN-Planung ist dafür nicht zwingend Voraussetzung, macht den späteren Betrieb aber deutlich sauberer.

Wie viele VLANs braucht man?

Es gibt keine fixe richtige Anzahl. Man sollte VLANs dort erstellen, wo eine eigene Sicherheitsentscheidung nötig ist.

FrageWenn ja, spricht das für ein eigenes VLAN
Braucht das Netz andere Firewall-Regeln?Eigene Zone oder mindestens eigenes VLAN-Objekt planen.
Soll Device Access anders sein?Eigene Zone ist oft sinnvoll.
Gibt es andere DHCP-Optionen?Eigenes VLAN ist meistens sauberer.
Soll Traffic separat geloggt oder überwacht werden?Eigenes VLAN verbessert Auswertung und Troubleshooting.
Haben Geräte ein deutlich anderes Risiko?Trennung ist sinnvoll, zum Beispiel IoT, Gäste, Backup.
Gibt es andere Verantwortliche?Ein eigenes VLAN erleichtert Betrieb und Dokumentation.

Man sollte aber nicht jedes kleine Sonderthema sofort in ein neues VLAN zwingen. Wenn zwei Client-Netze exakt dieselben Regeln, dieselbe Web Policy und denselben Device Access bekommen, kann eine gemeinsame Zone mit klaren Netzwerkobjekten ausreichen.

Vorab planen

Vor dem Anlegen sollte das VLAN kurz dokumentiert werden. Das muss kein grosser Netzplan sein, aber die wichtigsten Werte sollten feststehen.

FeldBeispiel
VLAN NameClients
VLAN ID100
Subnetz10.100.0.0/24
Gateway auf Sophos Firewall10.100.0.1
Parent InterfacePort3 oder LAG1
ZoneClient, LAN, Guest, Server oder DMZ
DHCPSophos Firewall, DHCP Relay oder externer Server
DNSFirewall, interne DNS-Server oder bewusst anderes Design
ZweckArbeitsplatz-Clients mit Internetzugriff

Besonders wichtig ist die Zone. Diese Einstellung beeinflusst später Firewall-Regeln, Device Access, Web Policies, IPS, Logs und Troubleshooting. Für die grundsätzliche Zonenplanung passt Sophos Firewall Zonen und Interfaces konfigurieren.

Parent Interface und Switch-Tagging verstehen

Das Parent Interface ist der physische Port, die Bridge oder das LAG, auf dem die Sophos Firewall die getaggten VLAN-Pakete empfängt. Die VLAN ID auf der Sophos Firewall muss exakt zu dem passen, was der Switch auf diesem Link sendet.

Typische Designs:

DesignBeschreibung
Physischer Port als TrunkEin Switch-Uplink transportiert mehrere VLANs tagged zur Firewall.
LAG als TrunkMehrere physische Ports bilden ein LAG, darauf liegen mehrere VLAN-Interfaces.
Access-Port ohne VLAN-TagEin Endgerät hängt untagged in einem VLAN; das Tagging passiert am Switch, nicht am Client.
Bridge mit VLANsSonderfall, besonders bei Migrationen oder transparenten Designs sorgfältig prüfen.

Wenn ein normaler Client-PC direkt an einem Switch-Port hängt, sendet er normalerweise untagged. Der Switch ordnet diesen Port dann einem VLAN zu. Die Sophos Firewall sieht das VLAN erst auf dem Uplink, wenn der Switch das VLAN tagged zur Firewall transportiert.

Einzelne Ports oder VLAN-Trunk über LAG?

Man kann theoretisch pro VLAN einen eigenen physischen Firewall-Port verwenden. Das ist bei sehr kleinen Installationen verständlich, skaliert aber schlecht. Ports werden knapp, die Verkabelung wird unübersichtlich und Änderungen an Zonen, Switches oder HA werden später mühsamer.

In produktiven Umgebungen ist meistens ein Trunk-Design sauberer:

  1. Die Sophos Firewall wird mit einem oder mehreren Core-Switches verbunden.
  2. Ein physischer Port oder ein LAG transportiert mehrere VLANs tagged.
  3. Auf der Firewall werden pro VLAN eigene VLAN-Interfaces auf diesem Parent Interface erstellt.
  4. Die Firewall bleibt Default Gateway für die VLANs und entscheidet über Routing und Security Policies.

Unsere bevorzugte Variante ist oft ein LAG mit zwei schnellen Uplinks, zum Beispiel 2x SFP+, sofern Firewall und Switches das sinnvoll unterstützen. Darauf laufen dann die VLANs als getaggte Interfaces. Das bringt nicht automatisch doppelte Geschwindigkeit für eine einzelne Session, aber mehr Redundanz, mehr Reserven und ein klareres Design als viele einzelne Kupferports pro VLAN.

DesignVorteilNachteil
Pro VLAN ein eigener Firewall-Portleicht zu verstehen, wenig VLAN-Wissen nötigskaliert schlecht, viele Ports, unübersichtliche Verkabelung
Ein Trunk-Port mit VLANseinfach, sauber, wenige KabelUplink ist Single Point of Failure
LAG mit VLAN-Trunkredundant, sauber, gut skalierbarSwitch und Firewall müssen LAG/LACP korrekt unterstützen
Routing auf Core-Switchsehr performant in grossen NetzenFirewall sieht internen Ost-West-Traffic nicht mehr vollständig

Für viele KMU- und Mittelstandsnetzwerke ist Firewall als Default Gateway für die VLANs die bessere Sicherheitsentscheidung. Dann läuft interner Traffic zwischen VLANs über die Sophos Firewall und kann mit Firewall-Regeln, IPS, Web Policies, Logging und späteren Security-Funktionen kontrolliert werden. Routing auf dem Core-Switch kann sinnvoll sein, wenn sehr hoher interner Ost-West-Durchsatz nötig ist. Dann muss man aber bewusst akzeptieren, dass die Firewall nicht mehr jede interne Kommunikation sieht.

Als Faustregel:

  • Sicherheitsorientiert und übersichtlich: VLAN-Gateways auf der Sophos Firewall.
  • Sehr hohe interne Performance: Routing auf Core-Switch prüfen, aber Security-Zonen und ACLs sauber ergänzen.
  • Neue Installationen: VLANs über Trunk oder LAG zur Firewall führen, nicht pro VLAN einen einzelnen Port verschwenden.
  • Kleine Standorte: Ein einzelner Trunk-Port kann reichen, wenn Redundanz nicht gefordert ist.

Häufige Missverständnisse:

  • Das VLAN ist auf der Firewall erstellt, aber der Switch-Uplink transportiert es nicht.
  • Das VLAN ist am Access-Port tagged, obwohl der Client untagged erwartet.
  • Die VLAN ID stimmt auf Switch und Firewall nicht überein.
  • Das VLAN wurde auf dem falschen Parent Interface angelegt.
  • Das Parent Interface wurde als normaler Access-Port statt als Trunk betrieben.

VLAN-Interface erstellen

Menüpfad:

Network > Interfaces > Add interface > Add VLAN

Vorgehen:

  1. Name vergeben, zum Beispiel Clients VLAN 100.
  2. Als Interface das Parent Interface auswählen, zum Beispiel Port3 oder LAG1.
  3. Network zone bewusst wählen.
  4. VLAN ID eintragen, zum Beispiel 100.
  5. Unter IPv4 configuration meistens Static verwenden.
  6. IP-Adresse und Subnetzmaske eintragen, zum Beispiel 10.100.0.1/24.
  7. Speichern.

Für interne VLANs ist die Firewall-IP meistens das Default Gateway der Clients. Wenn ein anderes System routet oder die Firewall nur bestimmte Netze sieht, muss dieses Design ausdrücklich dokumentiert werden. Sonst sucht man später bei Firewall-Regeln, obwohl der Client die Sophos Firewall gar nicht als Gateway verwendet.

DHCP und DNS einrichten

Nach dem VLAN-Interface braucht es eine Entscheidung zur Adressvergabe.

VarianteWann sinnvoll
DHCP auf Sophos Firewalleinfache Standorte, Client-, Gäste-, IoT- oder VoIP-Netze
DHCP Relayzentraler Windows-DHCP-Server oder bestehende DHCP-Infrastruktur
Externer DHCP-Server im VLANSpezialfall, wenn ein Server direkt im VLAN zuständig ist
Statische IPskleine Server-, Management- oder Infrastruktur-Netze

DHCP auf der Sophos Firewall wird unter Network > DHCP erstellt. Wichtig sind Interface, Range, Gateway, DNS-Server und Suchdomain. Sonderoptionen wie PXE, VoIP oder herstellerspezifische Werte sind in Sophos Firewall DHCP Options konfigurieren beschrieben.

Beim DNS-Design sollte man klar entscheiden, ob Clients die Sophos Firewall als DNS-Forwarder verwenden oder direkt interne DNS-Server fragen. Wenn die Firewall als DNS-Forwarder dient, müssen interne Domains oft über DNS Request Routes auf Sophos Firewall an die richtigen DNS-Server weitergeleitet werden.

Device Access prüfen

Device Access steuert lokale Dienste der Sophos Firewall. Das ist nicht dasselbe wie eine Firewall-Regel zwischen VLANs.

Typische Beispiele:

  • Clients sollen die Firewall als DNS-Server verwenden: DNS für die Zone erlauben.
  • Troubleshooting soll Ping auf die Firewall erlauben: Ping/Ping6 bewusst freigeben.
  • Normale Client-, Gäste- oder IoT-VLANs sollen keinen WebAdmin- oder SSH-Zugriff haben.
  • Management-Zugriff sollte über ein eigenes Admin-Netz oder Local Service ACL Exception Rules laufen.

Der genaue Ablauf steht in Sophos Firewall Zugriff absichern: Device Access richtig konfigurieren.

Firewall-Regeln und NAT ergänzen

Ein neues VLAN braucht danach passende Firewall-Regeln. Ohne Regel kann ein Client zwar eine IP-Adresse bekommen, aber nicht automatisch ins Internet oder in andere interne Netze.

Eine einfache erste Internet-Regel könnte so aussehen:

FeldBeispiel
Rule nameClients_to_WAN
Source zonesClient oder LAN
Source networksVLAN-Netz, zum Beispiel 10.100.0.0/24
Destination zonesWAN
Destination networksAny
Servicesbewusst benötigte Dienste, nicht automatisch Any
Log firewall trafficaktiviert

Für interne Zugriffe sollten separate Regeln erstellt werden. Ein Gäste-, IoT- oder Kamera-VLAN sollte nicht pauschal ins Server- oder Management-Netz dürfen. Die Regelplanung ist in Sophos Firewall-Regeln verstehen und sicher konfigurieren ausführlicher beschrieben.

NAT ist nicht für jeden VLAN-Verkehr nötig. Für normalen Internetzugriff wird häufig die bestehende MASQ- oder SNAT-Regel verwendet. Zwischen internen VLANs ist NAT meistens falsch, weil Zielsysteme dann nicht mehr die echte Client-IP sehen. Die Einordnung steht in NAT auf Sophos Firewall verstehen: SNAT, DNAT, MASQ, PAT.

Abnahmetest

Ein VLAN ist erst dann fertig, wenn der Paketfluss bewiesen ist. Ein einzelner Ping reicht dafür nicht.

Sinnvoller Testablauf:

  1. Testclient an den vorgesehenen Switch-Port oder die vorgesehene SSID hängen.
  2. Prüfen, ob der Client eine IP-Adresse aus dem richtigen VLAN erhält.
  3. Gateway, DNS-Server und Suchdomain prüfen.
  4. Firewall-IP im VLAN pingen, falls Ping erlaubt ist.
  5. DNS-Auflösung für interne und externe Namen testen.
  6. Erlaubten Internetzugriff testen.
  7. Erlaubten internen Zugriff testen, falls vorgesehen.
  8. Bewusst nicht erlaubten internen Zugriff testen und Block im Log Viewer prüfen.
  9. Im Log Viewer Rule ID, Source zone, Destination zone und NAT ID kontrollieren.
  10. Bei Unklarheit Packet capture auf dem VLAN-Interface verwenden.

Für die Auswertung mit Log Viewer, Policy Test und Packet Capture passt Sophos Firewall Regel testen mit Log Viewer, Policy Test und Packet Capture.

Typische Fehler

FehlerSymptomNächster Check
VLAN nicht am Switch-Uplink erlaubtClient bekommt keine IP oder erreicht das Gateway nichtTrunk/Tagged VLAN am Switch prüfen
Falsches Parent InterfaceFirewall sieht den Traffic nichtVLAN-Interface und physische Verkabelung vergleichen
Client-Port tagged statt untaggedNormale Clients landen nicht im VLANAccess-Port- oder Native-VLAN-Profil prüfen
DHCP fehlt oder falscher DHCP antwortetClient bekommt keine oder falsche IPDHCP-Leases und Packet Capture auf UDP 67/68 prüfen
DNS Device Access fehltIP-Traffic funktioniert, Namensauflösung nichtDevice Access und Client-DNS prüfen
Falsche Zone gewähltRegeln oder Policies greifen nicht wie erwartetInterface-Zone und Firewall-Regeln vergleichen
Firewall-Regel fehltClient hat IP, aber Traffic wird blockiertLog Viewer und Rule ID prüfen
NAT zwischen internen VLANsZielsysteme sehen falsche Source-IPNAT-Regeln prüfen und interne NAT-Ausnahmen planen

Wenn eine Regel nicht matched, liegt das Problem oft bei Zone, Source Network, Gateway oder Switch-Tagging. Der Artikel Sophos Firewall Regel greift nicht: Ursachen prüfen hilft bei der Abgrenzung.

Betriebscheck

Für produktive VLANs sollte nicht nur die Erstkonfiguration stimmen. Entscheidend ist, dass spätere Admins nachvollziehen können, warum das VLAN existiert und welche Regeln dazu gehören.

Dokumentieren sollte man:

  • VLAN ID, Name und Subnetz
  • Parent Interface und Switch-Uplink
  • Zone und Sicherheitszweck
  • DHCP-Quelle und DNS-Server
  • erlaubte Zielzonen und Dienste
  • NAT-Entscheidung
  • zuständiger Owner
  • Testclient oder Testverfahren
  • Datum der letzten Regelprüfung

Bei grösseren Umgebungen lohnt sich zusätzlich eine einfache Zugriffsmatrix. Eine solche Matrix zeigt, welche VLANs miteinander sprechen dürfen und welche bewusst getrennt bleiben.

Eine einfache Zugriffsmatrix kann so aussehen:

VonNachEntscheidung
ClientsInterneterlaubt mit Web Policy, DNS Protection und Logging
ClientsServernur definierte Applikationsports
GästeInternblockiert
IoTInternetnur benötigte Ziele und Ports
IoTServernur zu NVR, Printserver oder Managementsystemen
ManagementInfrastrukturerlaubt für Admin-Protokolle
BackupServergezielt erlaubt, Rückrichtung stark begrenzen

Diese Matrix ist oft wichtiger als die VLAN-Liste selbst. Dadurch wird verhindert, dass später wieder pauschale Regeln entstehen, die die Segmentierung faktisch aushebeln.

Häufige Fragen

Wie richtet man ein VLAN auf Sophos Firewall ein?

Man erstellt unter Network > Interfaces > Add interface > Add VLAN ein neues VLAN-Interface, wählt das richtige Parent Interface, setzt VLAN ID, Zone und IP-Adresse und ergänzt danach DHCP, Device Access, Firewall-Regeln und Tests.

Braucht jedes VLAN eine eigene Zone?

Nicht zwingend. Eine eigene Zone ist sinnvoll, wenn ein VLAN eine andere Vertrauensstufe, andere Device-Access-Regeln oder eigene Firewall-Policies braucht. Mehrere VLANs mit identischer Policy können auch in derselben Zone liegen.

Sollte Routing zwischen VLANs über die Firewall oder den Switch laufen?

Für sicherheitsrelevante Netze ist Routing über die Sophos Firewall meistens besser, weil Regeln, Logs und Security Policies zentral greifen. Routing auf dem Core-Switch kann bei sehr hohem Ost-West-Traffic sinnvoll sein, muss dann aber mit ACLs, Monitoring und klarer Dokumentation abgesichert werden.

Ist ein LAG mit mehreren VLANs besser als ein Port pro VLAN?

Für die meisten produktiven Umgebungen ist ein VLAN-Trunk über ein LAG sauberer. Man spart Ports, reduziert Kabel, erhöht Redundanz und kann viele VLANs kontrolliert über dieselbe Firewall-Anbindung führen. Ein Port pro VLAN ist eher für sehr kleine oder temporäre Setups geeignet.

Warum bekommt der Client keine IP-Adresse im VLAN?

Häufig ist das VLAN am Switch-Uplink nicht tagged erlaubt, der Client-Port ist falsch zugeordnet, DHCP fehlt oder ein anderer DHCP-Server antwortet. Ein Packet Capture auf DHCP 67/68 hilft oft schneller als erneutes Klicken im WebAdmin.

Muss zwischen internen VLANs NAT aktiviert werden?

Meistens nein. Zwischen internen VLANs sollte normalerweise geroutet und über Firewall-Regeln erlaubt oder blockiert werden. NAT zwischen internen Netzen erschwert Logs, Rückwege und Troubleshooting.

Warum funktioniert Internet, aber kein Zugriff auf interne Server?

Dann gibt es wahrscheinlich eine funktionierende LAN-to-WAN-Regel, aber keine passende Regel vom VLAN in die Serverzone. Source Zone, Destination Zone, Source Network, Zielobjekt, Service und Rule ID im Log Viewer prüfen.