Default Management Interface VLAN ID 1
Zitat von mpachmann am 24. Mai 2023, 20:40 UhrSophos Switches werden mit der Basiseinstellung Management Interface VLAN ID 1 ausgeliefert.
Bedeutet, dass ein Netzwerksegment, an der man die Switches konfigurieren möchte, VLAN ID 1 auch bereitgestellt werden muss.Im Falle einer XGs Firewall ist zu bedenken:
VLAN 1 is reserved for the physical LAN.
Note, you cannot change the native VLAN ID.Die in der Sophos Doku erwähnte "physical LAN" ist jedoch nicht die LAN Schnittstelle, sondern die Zone LAN.
Bedeutet, möchte man einen Sophos Switch in einer Zone einrichten und mit Central verbinden die nicht LAN ist (z.B.: onboarding IT Subnetz, Techniker Netzwerk mit Zone DMZ), können die Switches nicht mit Central kommunizieren, weil VLAN ID 1 nur in der LAN Zone verfügbar ist.
Wenn man Troubleshooting betreibt und versucht Packets zu sniffen oder per Diagnostic Tool vom Switch direkt zu pingen/tracerouten, findet man im sniff nichts-wie auch- und ping sowie tracert funktionieren klaglos, womit die FW Regeln korrekt sind und SNAT ebenfalls funktioniert.
Sophos Switches werden mit der Basiseinstellung Management Interface VLAN ID 1 ausgeliefert.
Bedeutet, dass ein Netzwerksegment, an der man die Switches konfigurieren möchte, VLAN ID 1 auch bereitgestellt werden muss.
Im Falle einer XGs Firewall ist zu bedenken:
VLAN 1 is reserved for the physical LAN.
Note, you cannot change the native VLAN ID.
Die in der Sophos Doku erwähnte "physical LAN" ist jedoch nicht die LAN Schnittstelle, sondern die Zone LAN.
Bedeutet, möchte man einen Sophos Switch in einer Zone einrichten und mit Central verbinden die nicht LAN ist (z.B.: onboarding IT Subnetz, Techniker Netzwerk mit Zone DMZ), können die Switches nicht mit Central kommunizieren, weil VLAN ID 1 nur in der LAN Zone verfügbar ist.
Wenn man Troubleshooting betreibt und versucht Packets zu sniffen oder per Diagnostic Tool vom Switch direkt zu pingen/tracerouten, findet man im sniff nichts-wie auch- und ping sowie tracert funktionieren klaglos, womit die FW Regeln korrekt sind und SNAT ebenfalls funktioniert.