Naar de inhoud
Avanet

Configureer VLAN op Sophos Firewall en UniFi Switch

VLAN’s scheiden netwerken logisch van elkaar, ook al kunnen ze over dezelfde switches en kabels lopen. In een typische kleine of middelgrote omgeving zorgt de Sophos Firewall voor routering, firewallregels, DHCP en beveiligingsbeleid. De UniFi Switch transporteert de VLAN’s via tagging naar toegangspunten, clients, servers of andere switches.

Het artikel toont een praktische opstelling met Sophos Firewall als Gateway en UniFi als schakelplatform. De focus ligt niet alleen op het klikpad, maar ook op de typische fouten: onjuist Tagged/Untagged-gedrag, ontbrekende firewallregels, vergeten DHCP-server of een VLAN op de verkeerde ouderinterface.

Doelafbeelding

Voorbeeld:

  • VLAN Naam: Clients.
  • VLAN-ID: 100.
  • Subnet: 10.100.0.0/24.
  • Gateway tot Sophos Firewall: 10.100.0.1.
  • Zone op Sophos Firewall: Client of LAN.
  • UniFi Uplink naar firewall: VLAN 100 getagd toestaan.
  • Clientpoort op de switch: VLAN 100 niet getagd of ingesteld als Native VLAN.

In dit ontwerp is de Sophos Firewall de standaard Gateway van het VLAN. Clients in de VLAN krijgen een IP-adres van het nieuwe subnet, sturen hun verkeer naar de firewall en worden daar gecontroleerd via firewallregels, NAT, webbescherming, IPS of ander beleid.

Als de basisinterface en zoneplanning eerst moeten worden verduidelijkt, kan Sophos Firewall Zones en interfaces configureren helpen. Voor de toepassing van deze instructies wordt ervan uitgegaan dat de VLAN bewust is gepland als een eigen client-, gast-, server- of beheernetwerk.

Verduidelijk vooraf

Vóór de configuratie moet u deze punten bepalen:

  • Welk VLAN-ID wordt gebruikt?
  • Welk IP-subnet krijgt de VLAN?
  • Moet de Sophos Firewall DHCP bieden voor deze VLAN?
  • In welke Sophos-zone bevindt zich de VLAN?
  • Welke UniFi-poorten transporteren de VLAN getagd?
  • Welke UniFi-poorten voeren de VLAN ongetagd uit naar eindapparaten?
  • Kan de VLAN alleen toegang krijgen tot internet of ook tot interne servers?
  • Welke lokale firewalldiensten mogen vanuit deze zone toegankelijk zijn?

⚠️ Een VLAN scheidt alleen Laag 2. De Sophos Firewall beslist later of verkeer tussen VLAN’s is toegestaan ​​via routing, firewallregels en NAT. Een VLAN vervangt de reguliere planning niet.

Maak VLAN in UniFi Network

Afhankelijk van de UniFi Network-versie hebben individuele menu-items enigszins verschillende namen. Het principe blijft hetzelfde: de VLAN wordt aangemaakt als zijn eigen netwerk of als een netwerk dat alleen voor VLAN bestaat als de Sophos Firewall de Gateway en DHCP overneemt.

Menupad:

Settings > Networks

Werkwijze:

  1. Open Nieuw virtueel netwerk of Nieuw netwerk.
  2. Wijs een naam toe, bijvoorbeeld Clients.
  3. Selecteer Gateway van derden als router of Gateway als de Sophos Firewall de routering en DHCP overneemt.
  4. Voer VLAN-ID in, bijvoorbeeld 100.
  5. Laat de automatische UniFi-Gateway- of DHCP-functies uitgeschakeld wanneer de Sophos Firewall de leiding heeft.
  6. Opslaan.
    UniFi Network Instellingen met bestaande netwerken
    In de UniFi Network worden de VLAN’s eerst aangemaakt als netwerken of als VLAN-netwerken.
    UniFi Network met nieuwe VLAN en Gateway van derden
    Voor Gateway van derden blijft de Sophos Firewall de Gateway van het VLAN.

UniFi Stel de switchpoorten correct in

Het belangrijkste onderdeel is de poorttoewijzing. De schakelaars Sophos Firewall en UniFi moeten dezelfde VLAN-ID op dezelfde link zien.

Typisch poortontwerp:

  • Uplink naar Sophos Firewall: Laat VLAN 100 taggen zodat de VLAN naar de firewall wordt getransporteerd.
  • Uplink naar een andere switch: Laat VLAN 100 taggen als de VLAN opnieuw moet worden gedistribueerd.
  • Access Point-poort: Sta toe dat VLAN 100 wordt getagd als een SSID deze VLAN gebruikt.
  • Clientpoort: Stel VLAN 100 in als native/Untagged VLAN zodat een apparaat zonder VLAN-tag direct in het juiste netwerk terechtkomt.

Wanneer een normale client-pc op een switchpoort is aangesloten, verzendt deze normaal gesproken ongelabeld. De switch wijst deze poort vervolgens toe aan de gewenste Native VLAN. Als een Access Point of een andere switch meerdere VLAN’s moet transporteren, moet de poort de getagde VLAN’s toestaan.

Typische fouten:

  • VLAN gemaakt op de UniFi-switch, maar niet toegestaan ​​op de uplink naar de firewall.
  • Clientpoort geconfigureerd met tags in plaats van untagged.
  • Access Point SSID gebruikt VLAN 100, maar de AP-poort ondersteunt VLAN 100 niet.
  • Native VLAN en Tagged VLAN zijn verward.
  • VLAN ID is anders op UniFi en Sophos.

Plan veranderingen zonder verlies van management

Er moet bijzondere aandacht worden besteed aan het aanbrengen van VLAN-wijzigingen in uplinks, schakelpoortprofielen of beheernetwerken. Een onjuiste Native VLAN of een ontbrekende Tagged VLAN op de uplink kan ervoor zorgen dat de switch, Access Point of firewall uit het beheernetwerk verdwijnen.

Voordat u productieve wijzigingen aanbrengt, moet u daarom kort vaststellen:

  • UniFi beheernetwerk: Het beheer VLAN mag niet verloren gaan bij het wijzigen van het poortprofiel.
  • Uplink naar Sophos Firewall: Wijzigingen aan deze poort hebben vaak tegelijkertijd invloed op meerdere VLAN’s.
  • Lokale toegang: Voor wijzigingen op afstand is een terugvalpad naar de switch en firewall vereist.
  • Testpoort: Nieuwe VLAN-profielen kunnen worden getest op een gereserveerde poort zonder productieve apparaten te verplaatsen.
  • Back-up: Met een beveiligde Sophos- en UniFi-configuratie kunt u sneller terug naar de laatst werkende versie.

We raden aan om nieuwe VLAN’s eerst op één testpoort te valideren. Alleen als DHCP, Gateway, DNS, firewallregel en Log Viewer overeenkomen, mag het poortprofiel worden uitgerold naar extra toegangspunten, switch-uplinks of clientpoorten.

Maak VLAN op de Sophos Firewall

De VLAN is gemaakt als een virtuele interface op de Sophos Firewall.

Menupad:

Network > Interfaces > Add interface > Add VLAN

Werkwijze:

  1. Wijs een naam toe, bijvoorbeeld Clients VLAN 100.
  2. Selecteer de fysieke poort, bridge of LAG waar de VLAN arriveert, getagd als Interface.
  3. Selecteer een zone, bijvoorbeeld Client, LAN, Guest of Server.
  4. Voer VLAN-ID in, bijvoorbeeld 100.
  5. Onder IPv4-configuratie selecteert u doorgaans Static.
  6. Stel het Gateway-adres van het VLAN in, bijvoorbeeld 10.100.0.1/24.
  7. Opslaan.
    Sophos Firewall Add VLAN Interfaceselectie
    De VLAN wordt gemaakt op de bovenliggende interface waarop de UniFi-switch de VLAN getagd naar de firewall verzendt.
    Sophos Firewall VLAN Interface met VLAN ID en IPv4-configuratie
    VLAN ID, zone en IP-adres moeten overeenkomen met het switch- en subnetontwerp.
    Sophos staat VLAN ID’s toe van 1 tot 4094. Hetzelfde VLAN ID kan niet meerdere keren op dezelfde fysieke interface worden gebruikt. Dezelfde VLAN ID kan technisch gezien opnieuw verschijnen op een andere bovenliggende interface, maar in de praktijk zou dit alleen moeten gebeuren als het netwerkontwerp duidelijk gedocumenteerd is.

DHCP instellen voor de VLAN

Als clients in de VLAN automatisch IP-adressen moeten ontvangen, is een DHCP-server of DHCP-relay vereist.

Op de Sophos Firewall bevindt DHCP zich onder:

Network > DHCP

Typische DHCP-waarden:

  • Interface: Clients VLAN 100.
  • Bereikbegin: 10.100.0.50.
  • Einde bereik: 10.100.0.200.
  • Gateway: 10.100.0.1.
  • DNS-server: Firewall-IP of interne DNS-server.
  • Domeinnaam: intern zoekdomein, indien nodig.

Als de Sophos Firewall als DNS-resolver voor deze VLAN moet worden gebruikt, moet DNS ook worden toegestaan ​​onder Beheer > Apparaattoegang voor de betreffende zone. DHCP-opties voor specifieke apparaten worden beschreven in artikel Sophos Firewall DHCP-opties (SFOS).

Maak firewallregels

Na VLAN en DHCP ontbreekt meestal de juiste firewallregel. Zonder regel kan de client een IP-adres krijgen, maar kan hij niet automatisch communiceren met internet of andere netwerken.

Typische eerste regel van internet:

  • Rule name: Clients_to_WAN.
  • Source zones: Client of LAN.
  • Source networks and devices: netwerkobject van het VLAN, bijvoorbeeld net_Clients_10.100.0.0_24.
  • Destination zones: WAN.
  • Destination networks: Any.
  • Services: HTTP, HTTPS, DNS, NTP of opzettelijk gedefinieerde services.
  • Log firewall traffic: geactiveerd.

U moet aparte regels maken voor toegang tot interne servers en alleen de vereiste bestemmingen en services toestaan. Een gast of IoT VLAN mag doorgaans geen toegang krijgen tot het server- of beheernetwerk.

De details over de regelvolgorde, Source Zone, bestemmingszone, beveiligingsfuncties en logboekregistratie kunt u vinden in Sophos Firewall-regels begrijpen en correct configureren.

Controleer Device Access

Device Access bestuurt lokale services van de firewall zelf, niet het verkeer dat door de firewall gaat. Dit is belangrijk voor nieuwe VLAN’s.

Voorbeelden:

  • Clients moeten de firewall als DNS-server gebruiken: sta DNS toe voor de zone.
  • Monitoring moet de firewall pingen: sta specifiek Ping/Ping6 toe.
  • Normale clients, gasten of IoT-apparaten mogen geen toegang krijgen tot WebAdmin of SSH.
  • Beheertoegang moet plaatsvinden via een speciaal beheerdersnetwerk of via Local Service ACL uitzonderingsregels.

Sophos Firewall Toegang beveiligen: Device Access correct configureren helpt bij nauwkeurige verharding.

Testen en validatie

Na het configureren moet je niet alleen controleren of een client internet heeft. Een kort, reproduceerbaar testplan is beter:

  1. Sluit de client aan op de aangewezen UniFi-poort.
  2. Controleer of de client een IP-adres krijgt van de juiste VLAN.
  3. Controleer de standaard Gateway en DNS-server.
  4. Ping firewall-IP in VLAN als ping is toegestaan.
  5. Test de internettoegang.
  6. Test de toegang tot interne netwerken die moet worden toegestaan.
  7. Test de toegang tot interne netwerken die geblokkeerd moeten worden.
  8. Controleer in de Sophos Logviewer welke firewallregel overeenkomt.
  9. Beheer de gebruiksteller van de regel.

Als een regel niet werkt zoals verwacht, helpt Sophos Firewall Testregel met Log Viewer en Packet Capture.

Typische fouten

  • VLAN mag niet worden getagd op de UniFi-uplink naar de firewall: Clients ontvangen geen IP-adres of bereiken de firewall niet.
  • VLAN bevindt zich op de verkeerde bovenliggende interface op de Sophos: De Sophos Firewall ziet het verkeer niet.
  • Clientpoort is getagd in plaats van untagged: Normale clients komen niet in de VLAN terecht.
  • DHCP ontbreekt: De client krijgt geen IP-adres of een APIPA-adres.
  • DNS Device Access ontbreekt: De client kan IP’s bereiken, maar kan geen namen omzetten.
  • Firewallregel ontbreekt: De client krijgt een IP-adres, maar het verkeer wordt geblokkeerd.
  • Regel te breed toestaan: VLAN-scheiding is praktisch weer verwijderd.
  • Verkeerde zone geselecteerd: Regel, Device Access of webbeleid worden anders van kracht dan verwacht.
  • Native VLAN op Trunk onduidelijk: Niet-getagd verkeer komt in het verkeerde netwerk terecht.

Problemen oplossen

Als de VLAN niet werkt, controleer dan van Laag 1 tot Laag 7:

  1. Kabel en link: Toont de UniFi-poort de link en de verwachte snelheid?
  2. UniFi-poortprofiel: Is VLAN 100 getagd toegestaan ​​op de uplink?
  3. Clientpoort: Is VLAN 100 niet-gelabeld/native ingesteld voor normale clients?
  4. Sophos Interface: Is de VLAN zichtbaar, aangesloten en in de juiste zone onder Netwerk > Interfaces?
  5. DHCP: Is er een DHCP-server of relais voor de VLAN?
  6. Gateway: Is de Sophos VLAN-IP de standaard Gateway?
  7. Device Access: Is DNS of Ping toegestaan ​​voor de zone, indien nodig?
  8. Firewallregels: Zijn Source Zone, Source Network, Destination Zone en Services correct?
  9. Log Viewer: Wordt het verkeer toegestaan, onderbroken of getroffen door een andere regel?
  10. Packet Capture: Komen pakketten aan op de juiste interface en met de verwachte VLAN-configuratie?

In moeilijk te begrijpen gevallen is Packet Capture vaak cruciaal. Als er geen pakketten bij de Sophos Parent Interface aankomen, ligt het probleem meestal aan de UniFi-kant, de kabel, het poortprofiel, het Tagged/Untagged-ontwerp of de verkeerde uplink.

Controlelijst

  • VLAN ID is hetzelfde op UniFi en Sophos.
  • UniFi Via uplink naar de Sophos Firewall kan de VLAN worden getagd.
  • De poort van het eindapparaat is niet getagd/native in de juiste VLAN voor normale clients.
  • Sophos VLAN bevindt zich op de juiste ouderinterface.
  • Sophos VLAN heeft de geplande zone en Gateway-IP.
  • DHCP of DHCP Relay is ingesteld.
  • DNS is correct ingesteld en toegestaan ​​bij gebruik van de firewall via Device Access.
  • Firewallregel voor internettoegang is aanwezig en vastgelegd.
  • Interne toegang is alleen toegestaan ​​daar waar dit echt nodig is.
  • Log Viewer en Packet Capture zijn getest voor een testclient.

Veelgestelde vragen

Heeft elke VLAN een eigen Sophos-zone nodig?

Nee. Meerdere VLAN’s kunnen zich in dezelfde zone bevinden als ze hetzelfde vertrouwensniveau, dezelfde firewallregels en Device Access krijgen. Heeft een VLAN echter andere rechten of een ander risico, dan is een aparte zone vaak overzichtelijker.

Moet DHCP op de Sophos Firewall draaien?

Niet noodzakelijkerwijs. DHCP kan ook op een interne server draaien of worden doorgegeven. Het enige belangrijke is dat clients in de VLAN een geschikt IP-adres, Gateway en DNS-configuratie ontvangen.

Waarom werkt internet maar geen toegang tot interne servers?

Meestal is er geen geschikte firewallregel tussen de zone VLAN en de serverzone, of valt de regel onder een algemenere blokkeer- of toestaatregel. In de Log Viewer kun je zien aan welke regel daadwerkelijk wordt voldaan.

Waarom krijgt de klant geen IP-adres?

Veelvoorkomende oorzaken zijn een onjuist UniFi-poortprofiel, een ongecodeerde uplink naar de Sophos Firewall, een VLAN op de verkeerde bovenliggende interface of een ontbrekende DHCP-server.

Moet een gast VLAN DNS gebruiken via de Sophos Firewall?

Dit kan handig zijn als u wilt dat de firewall DNS voor de gast VLAN levert of filtert. Vervolgens moet DNS worden toegestaan ​​voor de overeenkomstige zone onder Device Access. Als alternatief kunt u externe DNS-servers via DHCP distribueren.