VLAN’s scheiden netwerken logisch van elkaar, ook al kunnen ze over dezelfde switches en kabels lopen. In een typische kleine of middelgrote omgeving zorgt de Sophos Firewall voor routering, firewallregels, DHCP en beveiligingsbeleid. De UniFi Switch transporteert de VLAN’s via tagging naar toegangspunten, clients, servers of andere switches.
Het artikel toont een praktische opstelling met Sophos Firewall als Gateway en UniFi als schakelplatform. De focus ligt niet alleen op het klikpad, maar ook op de typische fouten: onjuist Tagged/Untagged-gedrag, ontbrekende firewallregels, vergeten DHCP-server of een VLAN op de verkeerde ouderinterface.
Doelafbeelding
Voorbeeld:
VLAN Naam: Clients.
VLAN-ID: 100.
Subnet: 10.100.0.0/24.
Gateway tot Sophos Firewall: 10.100.0.1.
Zone op Sophos Firewall: Client of LAN.
UniFi Uplink naar firewall: VLAN 100 getagd toestaan.
Clientpoort op de switch: VLAN 100 niet getagd of ingesteld als Native VLAN.
In dit ontwerp is de Sophos Firewall de standaard Gateway van het VLAN. Clients in de VLAN krijgen een IP-adres van het nieuwe subnet, sturen hun verkeer naar de firewall en worden daar gecontroleerd via firewallregels, NAT, webbescherming, IPS of ander beleid.
Als de basisinterface en zoneplanning eerst moeten worden verduidelijkt, kan Sophos Firewall Zones en interfaces configureren helpen. Voor de toepassing van deze instructies wordt ervan uitgegaan dat de VLAN bewust is gepland als een eigen client-, gast-, server- of beheernetwerk.
Verduidelijk vooraf
Vóór de configuratie moet u deze punten bepalen:
Welk VLAN-ID wordt gebruikt?
Welk IP-subnet krijgt de VLAN?
Moet de Sophos Firewall DHCP bieden voor deze VLAN?
In welke Sophos-zone bevindt zich de VLAN?
Welke UniFi-poorten transporteren de VLAN getagd?
Welke UniFi-poorten voeren de VLAN ongetagd uit naar eindapparaten?
Kan de VLAN alleen toegang krijgen tot internet of ook tot interne servers?
Welke lokale firewalldiensten mogen vanuit deze zone toegankelijk zijn?
⚠️ Een VLAN scheidt alleen Laag 2. De Sophos Firewall beslist later of verkeer tussen VLAN’s is toegestaan via routing, firewallregels en NAT. Een VLAN vervangt de reguliere planning niet.
Maak VLAN in UniFi Network
Afhankelijk van de UniFi Network-versie hebben individuele menu-items enigszins verschillende namen. Het principe blijft hetzelfde: de VLAN wordt aangemaakt als zijn eigen netwerk of als een netwerk dat alleen voor VLAN bestaat als de Sophos Firewall de Gateway en DHCP overneemt.
Menupad:
Settings > Networks
Werkwijze:
Open Nieuw virtueel netwerk of Nieuw netwerk.
Wijs een naam toe, bijvoorbeeld Clients.
Selecteer Gateway van derden als router of Gateway als de Sophos Firewall de routering en DHCP overneemt.
Voer VLAN-ID in, bijvoorbeeld 100.
Laat de automatische UniFi-Gateway- of DHCP-functies uitgeschakeld wanneer de Sophos Firewall de leiding heeft.
Opslaan.In de UniFi Network worden de VLAN’s eerst aangemaakt als netwerken of als VLAN-netwerken.Voor Gateway van derden blijft de Sophos Firewall de Gateway van het VLAN.
UniFi Stel de switchpoorten correct in
Het belangrijkste onderdeel is de poorttoewijzing. De schakelaars Sophos Firewall en UniFi moeten dezelfde VLAN-ID op dezelfde link zien.
Typisch poortontwerp:
Uplink naar Sophos Firewall: Laat VLAN 100 taggen zodat de VLAN naar de firewall wordt getransporteerd.
Uplink naar een andere switch: Laat VLAN 100 taggen als de VLAN opnieuw moet worden gedistribueerd.
Access Point-poort: Sta toe dat VLAN 100 wordt getagd als een SSID deze VLAN gebruikt.
Clientpoort: Stel VLAN 100 in als native/Untagged VLAN zodat een apparaat zonder VLAN-tag direct in het juiste netwerk terechtkomt.
Wanneer een normale client-pc op een switchpoort is aangesloten, verzendt deze normaal gesproken ongelabeld. De switch wijst deze poort vervolgens toe aan de gewenste Native VLAN. Als een Access Point of een andere switch meerdere VLAN’s moet transporteren, moet de poort de getagde VLAN’s toestaan.
Typische fouten:
VLAN gemaakt op de UniFi-switch, maar niet toegestaan op de uplink naar de firewall.
Clientpoort geconfigureerd met tags in plaats van untagged.
Access Point SSID gebruikt VLAN 100, maar de AP-poort ondersteunt VLAN 100 niet.
Native VLAN en Tagged VLAN zijn verward.
VLAN ID is anders op UniFi en Sophos.
Plan veranderingen zonder verlies van management
Er moet bijzondere aandacht worden besteed aan het aanbrengen van VLAN-wijzigingen in uplinks, schakelpoortprofielen of beheernetwerken. Een onjuiste Native VLAN of een ontbrekende Tagged VLAN op de uplink kan ervoor zorgen dat de switch, Access Point of firewall uit het beheernetwerk verdwijnen.
Voordat u productieve wijzigingen aanbrengt, moet u daarom kort vaststellen:
UniFi beheernetwerk: Het beheer VLAN mag niet verloren gaan bij het wijzigen van het poortprofiel.
Uplink naar Sophos Firewall: Wijzigingen aan deze poort hebben vaak tegelijkertijd invloed op meerdere VLAN’s.
Lokale toegang: Voor wijzigingen op afstand is een terugvalpad naar de switch en firewall vereist.
Testpoort: Nieuwe VLAN-profielen kunnen worden getest op een gereserveerde poort zonder productieve apparaten te verplaatsen.
Back-up: Met een beveiligde Sophos- en UniFi-configuratie kunt u sneller terug naar de laatst werkende versie.
We raden aan om nieuwe VLAN’s eerst op één testpoort te valideren. Alleen als DHCP, Gateway, DNS, firewallregel en Log Viewer overeenkomen, mag het poortprofiel worden uitgerold naar extra toegangspunten, switch-uplinks of clientpoorten.
Maak VLAN op de Sophos Firewall
De VLAN is gemaakt als een virtuele interface op de Sophos Firewall.
Menupad:
Network > Interfaces > Add interface > Add VLAN
Werkwijze:
Wijs een naam toe, bijvoorbeeld Clients VLAN 100.
Selecteer de fysieke poort, bridge of LAG waar de VLAN arriveert, getagd als Interface.
Selecteer een zone, bijvoorbeeld Client, LAN, Guest of Server.
Voer VLAN-ID in, bijvoorbeeld 100.
Onder IPv4-configuratie selecteert u doorgaans Static.
Stel het Gateway-adres van het VLAN in, bijvoorbeeld 10.100.0.1/24.
Opslaan.De VLAN wordt gemaakt op de bovenliggende interface waarop de UniFi-switch de VLAN getagd naar de firewall verzendt.VLAN ID, zone en IP-adres moeten overeenkomen met het switch- en subnetontwerp.Sophos staat VLAN ID’s toe van 1 tot 4094. Hetzelfde VLAN ID kan niet meerdere keren op dezelfde fysieke interface worden gebruikt. Dezelfde VLAN ID kan technisch gezien opnieuw verschijnen op een andere bovenliggende interface, maar in de praktijk zou dit alleen moeten gebeuren als het netwerkontwerp duidelijk gedocumenteerd is.
DHCP instellen voor de VLAN
Als clients in de VLAN automatisch IP-adressen moeten ontvangen, is een DHCP-server of DHCP-relay vereist.
Op de Sophos Firewall bevindt DHCP zich onder:
Network > DHCP
Typische DHCP-waarden:
Interface: Clients VLAN 100.
Bereikbegin: 10.100.0.50.
Einde bereik: 10.100.0.200.
Gateway: 10.100.0.1.
DNS-server: Firewall-IP of interne DNS-server.
Domeinnaam: intern zoekdomein, indien nodig.
Als de Sophos Firewall als DNS-resolver voor deze VLAN moet worden gebruikt, moet DNS ook worden toegestaan onder Beheer > Apparaattoegang voor de betreffende zone. DHCP-opties voor specifieke apparaten worden beschreven in artikel Sophos Firewall DHCP-opties (SFOS).
Maak firewallregels
Na VLAN en DHCP ontbreekt meestal de juiste firewallregel. Zonder regel kan de client een IP-adres krijgen, maar kan hij niet automatisch communiceren met internet of andere netwerken.
Typische eerste regel van internet:
Rule name: Clients_to_WAN.
Source zones: Client of LAN.
Source networks and devices: netwerkobject van het VLAN, bijvoorbeeld net_Clients_10.100.0.0_24.
Destination zones: WAN.
Destination networks: Any.
Services: HTTP, HTTPS, DNS, NTP of opzettelijk gedefinieerde services.
Log firewall traffic: geactiveerd.
U moet aparte regels maken voor toegang tot interne servers en alleen de vereiste bestemmingen en services toestaan. Een gast of IoT VLAN mag doorgaans geen toegang krijgen tot het server- of beheernetwerk.
VLAN mag niet worden getagd op de UniFi-uplink naar de firewall: Clients ontvangen geen IP-adres of bereiken de firewall niet.
VLAN bevindt zich op de verkeerde bovenliggende interface op de Sophos: De Sophos Firewall ziet het verkeer niet.
Clientpoort is getagd in plaats van untagged: Normale clients komen niet in de VLAN terecht.
DHCP ontbreekt: De client krijgt geen IP-adres of een APIPA-adres.
DNS Device Access ontbreekt: De client kan IP’s bereiken, maar kan geen namen omzetten.
Firewallregel ontbreekt: De client krijgt een IP-adres, maar het verkeer wordt geblokkeerd.
Regel te breed toestaan: VLAN-scheiding is praktisch weer verwijderd.
Verkeerde zone geselecteerd: Regel, Device Access of webbeleid worden anders van kracht dan verwacht.
Native VLAN op Trunk onduidelijk: Niet-getagd verkeer komt in het verkeerde netwerk terecht.
Problemen oplossen
Als de VLAN niet werkt, controleer dan van Laag 1 tot Laag 7:
Kabel en link: Toont de UniFi-poort de link en de verwachte snelheid?
UniFi-poortprofiel: Is VLAN 100 getagd toegestaan op de uplink?
Clientpoort: Is VLAN 100 niet-gelabeld/native ingesteld voor normale clients?
Sophos Interface: Is de VLAN zichtbaar, aangesloten en in de juiste zone onder Netwerk > Interfaces?
DHCP: Is er een DHCP-server of relais voor de VLAN?
Gateway: Is de Sophos VLAN-IP de standaard Gateway?
Device Access: Is DNS of Ping toegestaan voor de zone, indien nodig?
Firewallregels: Zijn Source Zone, Source Network, Destination Zone en Services correct?
Log Viewer: Wordt het verkeer toegestaan, onderbroken of getroffen door een andere regel?
Packet Capture: Komen pakketten aan op de juiste interface en met de verwachte VLAN-configuratie?
In moeilijk te begrijpen gevallen is Packet Capture vaak cruciaal. Als er geen pakketten bij de Sophos Parent Interface aankomen, ligt het probleem meestal aan de UniFi-kant, de kabel, het poortprofiel, het Tagged/Untagged-ontwerp of de verkeerde uplink.
Controlelijst
VLAN ID is hetzelfde op UniFi en Sophos.
UniFi Via uplink naar de Sophos Firewall kan de VLAN worden getagd.
De poort van het eindapparaat is niet getagd/native in de juiste VLAN voor normale clients.
Sophos VLAN bevindt zich op de juiste ouderinterface.
Sophos VLAN heeft de geplande zone en Gateway-IP.
DHCP of DHCP Relay is ingesteld.
DNS is correct ingesteld en toegestaan bij gebruik van de firewall via Device Access.
Firewallregel voor internettoegang is aanwezig en vastgelegd.
Interne toegang is alleen toegestaan daar waar dit echt nodig is.
Log Viewer en Packet Capture zijn getest voor een testclient.
Veelgestelde vragen
Heeft elke VLAN een eigen Sophos-zone nodig?
Nee. Meerdere VLAN’s kunnen zich in dezelfde zone bevinden als ze hetzelfde vertrouwensniveau, dezelfde firewallregels en Device Access krijgen. Heeft een VLAN echter andere rechten of een ander risico, dan is een aparte zone vaak overzichtelijker.
Moet DHCP op de Sophos Firewall draaien?
Niet noodzakelijkerwijs. DHCP kan ook op een interne server draaien of worden doorgegeven. Het enige belangrijke is dat clients in de VLAN een geschikt IP-adres, Gateway en DNS-configuratie ontvangen.
Waarom werkt internet maar geen toegang tot interne servers?
Meestal is er geen geschikte firewallregel tussen de zone VLAN en de serverzone, of valt de regel onder een algemenere blokkeer- of toestaatregel. In de Log Viewer kun je zien aan welke regel daadwerkelijk wordt voldaan.
Waarom krijgt de klant geen IP-adres?
Veelvoorkomende oorzaken zijn een onjuist UniFi-poortprofiel, een ongecodeerde uplink naar de Sophos Firewall, een VLAN op de verkeerde bovenliggende interface of een ontbrekende DHCP-server.
Moet een gast VLAN DNS gebruiken via de Sophos Firewall?
Dit kan handig zijn als u wilt dat de firewall DNS voor de gast VLAN levert of filtert. Vervolgens moet DNS worden toegestaan voor de overeenkomstige zone onder Device Access. Als alternatief kunt u externe DNS-servers via DHCP distribueren.