Sophos Firewall VLAN instellen en testen
Een VLAN op de Sophos Firewall is meer dan een VLAN ID. Om het nieuwe netwerk echt te laten werken, moeten de bovenliggende interface, switch-tagging, zone, IP-adres, DHCP, DNS, Device Access, firewallregels en NAT overeenkomen.
Het artikel beschrijft de generieke Sophos-firewallstroom en de belangrijkste operationele beslissingen rond segmentatie, zone, DHCP, regels en testen. Als het gaat om een concrete implementatie met UniFi-switches, dan past het artikel VLAN bij Sophos Firewall en configureer UniFi-switch. Voor speciale bruggevallen volgens SFOS 22 is Sophos Firewall Controleer brug-VLANs volgens SFOS 22 het betere begin.
Kort antwoord
Een VLAN wordt aangemaakt op de Sophos Firewall onder Network > Interfaces > Add interface > Add VLAN. Daarna heeft u meestal nodig:
- een geschikte zone
- een statisch IP-adres als gateway
- DHCP server of DHCP relay
- DNS ontwerp
- Device Access voor lokale firewalldiensten
- firewallregels voor internet, interne netwerken of servers
- Logging en een korte acceptatie test
Alleen als een testclient het IP-adres, de gateway, DNS, toegestane verbindingen, geblokkeerde verbindingen en de juiste loggegevens toont, wordt VLAN netjes geaccepteerd.
Wanneer een VLAN zinvol is, scheiden
VLANs Layer 2-netwerken logisch van elkaar. Op de Sophos Firewall worden ze vaak gebruikt om meerdere netwerken over dezelfde fysieke uplink of een LAG te routeren.
Typische toepassingen:
- Apart clientnetwerk en servernetwerk
- Isoleer gast WLAN van intern LAN
- Plaats VoIP telefoons in hun eigen netwerk
- Beperk IoT, camera’s of printers
- Beheernetwerk voor admin-pc’s, switches en monitoring creëer
- DMZ of hoofdservernetwerk via een gemeenschappelijke switch-uplink
Een VLAN vervangt echter de firewallregels niet. Het zorgt voor een technische scheiding op Laag 2. Of verkeer is toegestaan tussen VLANs wordt vervolgens bepaald door de Sophos Firewall via zones, routing, firewallregels, NAT en beveiligingsbeleid.
VLAN planningsarchitectuur
De belangrijkste vraag is niet hoe je een VLAN creëert. De belangrijkste vraag is welke beveiligingsgebieden er in het netwerk moeten zijn. Veel problemen ontstaan omdat VLANs puur technisch zijn gemaakt: VLAN 10, VLAN 20, VLAN 30. Na een paar maanden weet niemand meer welke communicatie moet worden toegestaan en waarom bepaalde netwerken zijn afgesloten.
Wij raden aan om VLANs eerst te plannen op basis van risico, functie en operationele verantwoordelijkheid. Een goede startstructuur ziet er vaak zo uit:
| Bereik | Typische apparaten | Waarom loskoppelen? |
|---|---|---|
| Beheer | Beheerders-pc’s, switches, toegangspunten, monitoring, controllers | De toegang tot beheerinterfaces moet zeer nauwlettend worden gecontroleerd. |
| Clients | Werkstationapparaten, notebooks, normale gebruikersapparaten | Standaardnetwerk met internettoegang en gerichte interne releases. |
| Server | Domeincontrollers, bestandsservers, applicatieservers | Servers mogen niet rechtstreeks toegankelijk zijn vanaf elk clientnetwerk. |
| Gasten | Gast WLAN, externe apparaten | Geen toegang tot interne systemen, meestal alleen internet. |
| IoT en camera’s | Camera’s, printers, sensoren, gebouwtechnologie | Veel apparaten hebben zwakke update- en beveiligingsmodellen. |
| VoIP | Telefoons, PBX, SBC | QoS, eigen DHCP opties en duidelijke toegankelijkheid zijn nuttig. |
| Back-up | Back-upservers, opslagplaatsen, onveranderlijke opslag | Bescherming tegen ransomware en zijdelingse verplaatsing. |
| DMZ | Publiek toegankelijke systemen of reverse proxy’s | Apart gebied voor blootgestelde services. |
Dit is geen rigide schema. Een klein kantoor heeft niet per se tien VLANs nodig. Een omgeving met meerdere locaties, servers, WLANs, camera’s, backupsystemen en externe toegang mag echter niet alles in één grote LAN stoppen.
Classificeer micro-segmentatie realistisch
Micro-segmentatie betekent niet dat elk afzonderlijk apparaat zijn eigen VLAN nodig heeft. In de praktijk is de betere start meestal schone macrosegmentatie: clients, servers, beheer, gasten, IoT, back-up en DMZ zijn gescheiden. Vooral kritische systemen kunnen dan fijner worden gesegmenteerd.
Voorbeelden voor fijnere segmentatie:
- Plaats de domeincontroller in zijn eigen serversubnet.
- Maak back-upsystemen alleen toegankelijk vanuit een paar bronnen.
- Cameranetwerk alleen toestaan voor NVR of VMS.
- Maak printers alleen toegankelijk via printservers of gedefinieerde clientnetwerken.
- Management-VLAN alleen geopend voor beheerdersapparaten en monitoring.
Belangrijk: elke extra scheiding brengt ook exploitatiekosten met zich mee. Het heeft regels, logs, tests, documentatie nodig en iemand die de uitzonderingen onderhoudt. Een goede segmentatie is niet zo ingewikkeld mogelijk, maar juist begrijpelijk en controleerbaar.
Voorbereiding voor ZTNA en moderne toegang
Een schone VLAN-structuur helpt later ook bij ZTNA, VPN, SASE of andere toegangsconcepten. Als interne applicaties zich al in duidelijke server- of applicatienetwerken bevinden, kan de toegang specifieker worden gepubliceerd en hoeft u geen volledig platte LAN vrij te geven.
Voor ZTNA is het bijzonder nuttig:
- applicatieservers bevinden zich in bekende servernetwerken.
- Beheertoegang is gescheiden van normaal clientverkeer.
- DNS namen en interne routes zijn duidelijk gedocumenteerd.
- Firewallregels laten zien welke gebruikers- of locatiegroepen welke doelen vereisen.
- De oude forfaitaire
LAN to LAN- ofAny to Any-regels worden afgeschaft.
Als Sophos ZTNA later wordt gebruikt, kunt u aan de slag via Plan en creëer Sophos ZTNA gateway. VLAN planning is hiervoor geen noodzakelijke vereiste, maar maakt de latere werkzaamheden wel veel schoner.
Hoeveel VLANs heb je nodig?
Er is geen vast correct nummer. U moet VLANs aanmaken als uw eigen beveiligingsbeslissing noodzakelijk is.
| Vraag | Zo ja, duidt dit op een eigen VLAN |
|---|---|
| Heeft het netwerk andere firewallregels nodig? | Plan uw eigen zone of in ieder geval uw eigen VLAN object. |
| Moet Device Access anders zijn? | Je eigen zone is vaak zinvol. |
| Zijn er andere DHCP opties? | Je eigen VLAN is meestal schoner. |
| Moet het verkeer afzonderlijk worden geregistreerd of gecontroleerd? | Eigen VLAN verbetert de evaluatie en probleemoplossing. |
| Hebben apparaten een significant ander risico? | Scheiding is zinvol, bijvoorbeeld IoT, gasten, back-up. |
| Zijn er andere verantwoordelijke partijen? | Uw eigen VLAN maakt bediening en documentatie eenvoudiger. |
Maar je moet niet elk klein speciaal onderwerp meteen in een nieuwe VLAN forceren. Als twee clientnetwerken exact dezelfde regels, hetzelfde webbeleid en dezelfde Device Access krijgen, kan een gemeenschappelijke zone met duidelijke netwerkobjecten voldoende zijn.
Plan vooraf
Voordat u de VLAN maakt, moet deze kort worden gedocumenteerd. Dit hoeft geen groot netwerkplan te zijn, maar de belangrijkste waarden moeten wel duidelijk zijn.
| Veld | Voorbeeld |
|---|---|
| VLAN Naam | Clients |
| VLAN ID | 100 |
| Subnet | 10.100.0.0/24 |
| Gateway op Sophos Firewall | 10.100.0.1 |
| Bovenliggende interface | Port3 of LAG1 |
| Zone | Client , LAN, Guest , Server of DMZ |
| DHCP | Sophos Firewall, DHCP Relay of externe server |
| DNS | Firewall, interne DNS server of bewust ander ontwerp |
| Doel | Werkstationclients met internettoegang |
De zone is bijzonder belangrijk. Deze instelling heeft later invloed op de firewallregels, Device Access, webbeleid, IPS, logboeken en probleemoplossing. Sophos Firewall Zones en interfaces configureren is geschikt voor basiszoneplanning.
Parent Interface en Switch Tagging begrijpen
De Parent Interface is de fysieke poort, bridge of LAG waarop de Sophos Firewall de getagde VLAN pakketten ontvangt. De VLAN ID op de Sophos Firewall moet exact overeenkomen met wat de switch op deze link verzendt.
Typische ontwerpen:
| Ontwerp | Beschrijving |
|---|---|
| Fysieke poort als trunk | Een switch-uplink transporteert verschillende VLANs die zijn getagd naar de firewall. |
| LAG als trunk | Verschillende fysieke poorten vormen een LAG, waarop zich meerdere VLAN interfaces bevinden. |
| Toegangspoort zonder VLAN tag | Een eindapparaat blijft ongelabeld hangen in een VLAN; het taggen gebeurt op de switch, niet op de client. |
| Bridge met VLANs | Speciaal geval, controleer zorgvuldig, vooral op migraties of transparante ontwerpen. |
Als een normale client-pc rechtstreeks op een switchpoort is aangesloten, verzendt deze normaal gesproken ongelabeld. De switch wijst deze poort vervolgens toe aan een VLAN. De Sophos Firewall ziet alleen de VLAN op de uplink wanneer de switch de getagde VLAN naar de firewall transporteert.
Individuele poorten of VLAN trunk via LAG?
U kunt in theorie uw eigen fysieke firewallpoort gebruiken per VLAN. Dit is begrijpelijk voor zeer kleine installaties, maar schaalt slecht. Poorten worden schaars, de bekabeling wordt verwarrend en wijzigingen aan zones, schakelaars of HA worden later vervelender.
In productieve omgevingen is het trunkontwerp doorgaans overzichtelijker:
- De Sophos Firewall is aangesloten op een of meer kernschakelaars.
- Een fysieke poort of een LAG transporteert meerdere getagde VLANs.
- Op de firewall worden voor elke VLAN aparte VLAN-interfaces op deze bovenliggende interface gemaakt.
- De firewall blijft de standaardgateway voor de VLANs en beslist over het routerings- en beveiligingsbeleid.
Onze voorkeursvariant is vaak een LAG met twee snelle uplinks, bijvoorbeeld 2x SFP+, zolang de firewall en switches dit ondersteunen. De VLANs draaien er vervolgens op als getagde interfaces. Dit betekent niet automatisch de dubbele snelheid voor een enkele sessie, maar biedt wel meer redundantie, meer reserves en een helderder ontwerp dan veel individuele koperpoorten per VLAN.
| Ontwerp | Voordeel | Nadeel |
|---|---|---|
| Pro VLAN eigen firewallpoort | gemakkelijk te begrijpen, weinig VLAN kennis vereist | schaalt slecht, veel poorten, verwarrende bekabeling |
| Een trunkpoort met VLANs | eenvoudig, schoon, weinig kabels | Uplink is single point of fail |
| LAG met VLAN trunk | redundant, schoon, gemakkelijk schaalbaar | Switch en firewall moeten LAG/LACP correct worden ondersteund |
| Routing op core switch | zeer performant in grote netwerken | Firewall ziet het interne oost-west-verkeer niet langer volledig |
Voor veel MKB- en middelgrote netwerken is Firewall als standaardgateway voor de VLANs de betere beveiligingsbeslissing. Het interne verkeer tussen VLANs loopt dan via de Sophos Firewall en kan worden gecontroleerd met firewallregels, IPS, webbeleid, loggen en latere beveiligingsfuncties. Routering op de kernschakelaar kan nuttig zijn als een zeer hoge interne oost-westdoorvoer vereist is. Maar dan moet je bewust accepteren dat de firewall niet meer elke interne communicatie ziet.
Als vuistregel:
- Veiligheidsgericht en duidelijk: VLAN gateways op de Sophos Firewall.
- Zeer hoge interne prestaties: Controleer de routering op de kernswitch, maar voeg beveiligingszones en ACL’s netjes toe.
- Nieuwe installaties: Leid VLANs naar de firewall via trunk of LAG, verspil geen enkele poort per VLAN.
- Kleine sites: Een enkele trunkpoort kan voldoende zijn als er geen redundantie vereist is.
Veelvoorkomende misvattingen:
- De VLAN wordt aangemaakt op de firewall, maar de uplink van de switch transporteert deze niet.
- De VLAN is getagd op de toegangspoort, hoewel de client verwacht dat deze niet is getagd.
- De VLAN ID komt niet overeen op switch en firewall.
- De VLAN is aangemaakt op de verkeerde bovenliggende interface.
- De ouderinterface werd gebruikt als normale toegangspoort in plaats van als trunk.
Maak een VLAN interface
Menupad:
Network > Interfaces > Add interface > Add VLAN
Procedure:
- Naam toewijzen, bijvoorbeeld
Clients VLAN 100. - Selecteer de bovenliggende interface als Interface, bijvoorbeeld
Port3ofLAG1. - Netwerkzone bewust selecteren.
- Voer VLAN ID in, bijvoorbeeld
100. - Gebruik onder IPv4-configuratie meestal
Static. - Voer het IP-adres en het subnetmasker in, bijvoorbeeld
10.100.0.1/24. - Opslaan.
Voor interne VLANs is het firewall-IP doorgaans de standaardgateway van de clients. Als een ander systeem routert of de firewall alleen bepaalde netwerken ziet, moet dit ontwerp expliciet worden gedocumenteerd. Anders zul je later naar firewallregels zoeken, ook al gebruikt de client de Sophos Firewall niet als gateway.
DHCP en DNS ingesteld
Na de VLAN-interface is een beslissing nodig om adressen toe te wijzen.
| Variant | Indien nuttig |
|---|---|
| DHCP op Sophos Firewall | eenvoudige locaties, client, gast, IoT of VoIP netwerken |
| DHCP Relay | centrale Windows DHCP server of bestaande DHCP infrastructuur |
| Externe DHCP server in de VLAN | Speciaal geval waarin een server direct verantwoordelijk is in de VLAN |
| Statische IP’s | kleine server-, beheer- of infrastructuurnetwerken |
DHCP op de Sophos Firewall wordt aangemaakt onder Network > DHCP. Interface, bereik, gateway, DNS server en zoekdomein zijn belangrijk. Speciale opties zoals PXE, VoIP of fabrikantspecifieke waarden worden beschreven in Sophos Firewall DHCP Opties configureren.
Bij het ontwerpen van de DNS moet u duidelijk beslissen of clients de Sophos Firewall als DNS forwarders gebruiken of rechtstreeks om interne DNS-servers vragen. Wanneer de firewall fungeert als een DNS forwarder, moeten interne domeinen vaak worden doorgestuurd naar de juiste DNS servers via DNS Request Routes on Sophos Firewall.
Device Access check
Device Access bestuurt de lokale diensten van de Sophos Firewall. Dit is niet hetzelfde als een firewallregel tussen VLANs.
Typische voorbeelden:
- Clients moeten de firewall gebruiken als een DNS server: sta
DNStoe voor de zone. - Probleemoplossing zou ping op de firewall moeten toestaan: schakel bewust
Ping/Ping6in. - Normale client, gast of IoT VLANs mogen geen WebAdmin of SSH toegang hebben.
- Beheertoegang moet plaatsvinden via een speciaal beheerdersnetwerk of via lokale service-ACL-uitzonderingsregels.
De exacte procedure staat in Sophos Firewall Beveiligde toegang: configureer Device Access correct.
firewallregels en NAT vullen
aan. Een nieuwe VLAN heeft dan passende firewallregels nodig. Zonder regel kan een client een IP-adres krijgen, maar niet automatisch op internet of andere interne netwerken.
Een eenvoudige eerste internetregel zou er als volgt uit kunnen zien:
| Veld | Voorbeeld |
|---|---|
| Regelnaam | Clients_to_WAN |
| Bronzones | Client of LAN |
| Bronnetwerken | VLAN netwerk, bijvoorbeeld 10.100.0.0/24 |
| Bestemmingszones | WAN |
| Bestemmingsnetwerken | Any |
| Diensten | bewust vereiste diensten, niet automatisch Any |
| Registratie van firewallverkeer | geactiveerd |
Voor interne toegang moeten aparte regels worden opgesteld. Een gast, IoT of camera VLAN mag niet overal in het server- of beheernetwerk worden toegelaten. Regelplanning wordt gedetailleerder beschreven in Sophos Firewall-Regels veilig begrijpen en configureren.
NAT is niet nodig voor elk VLAN-verkeer. Voor normale internettoegang wordt vaak de bestaande MASQ- of SNAT-regel gebruikt. Tussen interne VLANs is NAT meestal verkeerd omdat doelsystemen dan niet langer het echte client-IP zien. De classificatie is in NAT begrijp Sophos Firewall: SNAT, DNAT, MASQ, PAT.
Acceptatietest
Een VLAN is pas gereed als de pakketstroom is bewezen. Een enkele ping is niet genoeg.
Nuttige testsequentie:
- Sluit de testclient aan op de beoogde switchpoort of SSID.
- Controleer of de client een IP-adres ontvangt van de juiste VLAN.
- Controleer gateway, DNS server en zoekdomein.
- Ping firewall IP in VLAN als ping is toegestaan.
- DNS Testresolutie voor interne en externe namen.
- Test toegestane internettoegang.
- Test toegestane interne toegang, indien aanwezig.
- Test opzettelijk niet-toegestane interne toegang en vink blokkering in Log Viewer aan.
- In Log Viewer Controleer regel-ID, bronzone, bestemmingszone en NAT ID.
- Indien onduidelijk, gebruik dan Packet capture op de VLAN interface.
Voor de evaluatie met Log Viewer, Beleidstest en Packet Capture, is Sophos Firewall Testregel met Log Viewer, Beleidstest en Packet Capture geschikt.
Typische fouten
| Fout | Symptoom | Volgende controle |
|---|---|---|
| VLAN niet toegestaan op de switch uplink | Client krijgt geen IP of bereikt de gateway niet | Controleer trunk/tagged VLAN op de switch |
| Verkeerde ouderinterface | Firewall ziet het verkeer niet | Vergelijk VLAN interface en fysieke bekabeling |
| Clientpoort getagd in plaats van niet getagd | Normale clients komen niet terecht in VLAN | Controleer toegangspoort of native VLAN profiel |
| DHCP ontbrekende of onjuiste DHCP antwoorden | Client krijgt geen of verkeerd IP | DHCP leases en controleer Packet Capture voor UDP 67/68 |
| DNS Device Access ontbreekt | IP-verkeer werkt, naamresolutie niet | Device Access en Controleer client DNS |
| Verkeerde zone geselecteerd | Regels of beleid werken niet zoals verwacht | Vergelijk interfacezone- en firewallregels |
| Firewallregel ontbreekt | Client heeft IP, maar verkeer is geblokkeerd | Log Viewer en regel-ID controleer |
| NAT tussen interne VLANs | doelsystemen zien onjuiste bron-IP | controleer NAT regels en plan interne NAT uitzonderingen |
Als een regel niet overeenkomt, ligt het probleem vaak bij het taggen van zones, bronnetwerken, gateways of switches. Het artikel Sophos Firewall regel is niet van toepassing: controleer de oorzaken helpt bij het onderscheid.
Operationele controle
Voor productieve VLANs moet niet alleen de initiële configuratie correct zijn. Het is van cruciaal belang dat latere beheerders kunnen begrijpen waarom de VLAN bestaat en welke regels daarbij horen.
U moet documenteren:
- VLAN ID, naam en subnet
- Bovenliggende interface en switch-uplink
- Zone en beveiligingsdoel
- DHCP bron en DNS server
- toegestane doelzones en services
- NAT beslissing
- verantwoordelijke eigenaar
- testclient of testprocedure
- datum van de laatste regelcontrole
Voor grotere omgevingen is een eenvoudige toegangsmatrix ook de moeite waard. Zo’n matrix laat zien welke VLANs met elkaar mogen praten en welke bewust gescheiden blijven.
Een eenvoudige toegangsmatrix kan er als volgt uitzien:
| Van | Na | Beslissing |
|---|---|---|
| Clients | Internet | toegestaan met webbeleid, DNS Bescherming en logboekregistratie |
| Clients | Server | alleen gedefinieerde toepassingen poorten |
| Gasten | Intern | geblokkeerd |
| IoT | Internet | alleen vereiste doelen en poorten |
| IoT | Server | alleen voor NVR, printserver of beheersystemen |
| Beheer | Infrastructuur | toegestaan voor beheerdersprotocollen |
| Back-up | Server | specifiek toegestaan, beperkte omgekeerde richting sterk |
Deze matrix is vaak belangrijker dan de VLAN-lijst zelf. Dit voorkomt dat er later algemene regels ontstaan die de segmentatie feitelijk teniet doen.
Veelgestelde vragen
Hoe stel je een VLAN in op Sophos Firewall?
Heeft elke VLAN een eigen zone nodig?
Moet routering tussen VLANs via de firewall of de switch gaan?
Is een LAG met meerdere VLANs beter dan één poort per VLAN?
Waarom krijgt de client geen IP-adres in VLAN?
67/68 helpt vaak sneller dan nogmaals klikken in WebAdmin.