HGU en monopuesto para usar un Sophos XG230 como gestor neutro

Buenas tardes Itjdel

Te agradecemos que nos hicieras llegar tu consulta por este canal y para cualquier otra duda en el futuro, esperamos poder ayudarte. 

Un saludo

Griselda. 

Hola Itjdel

Agradecemos a Theliel su colaboración y nos alegra que su información te haya servido de ayuda. 

¿Podemos ayudarte en algo más? 

Por otra parte, si consideras que tu consulta está resuelta, te agradeceríamos que en el hilo que has abierto, pulsases en el botón “Aceptar como solución” del post en el que se te ha resuelto tu caso. Es importante para nosotros que vuestras consultas queden resueltas y para otros usuarios es útil utilizar estas respuestas para sus dudas.

Saludos.

Fernando.

Tras actualizar el firm del switch, todo esta funcionando bien ya.

Muchas gracias por tu ayuda!

Hola Theliel, de nuevo, gracias por tus aportaciones.

Efectivamente, se me fue lo de la capa 8... trabaja hasta capa 7...

El switch que tengo (Dlink DGS-1210-52) trabaja en capa 2 y para casa lo veo bastante bien, pero es verdad que un capa 3 ya te permite muchas cosas...

Voy a ver lo de acceder al HGU, pero tampoco es algo que me preocupa ya...

Lo que si estoy notando ahora, es que algunas veces, la TV se queda parada la imagen... si cambias se recupera... puede que ser el IGMP Snooping, que no lo tenga bien configurado en el switch?

Gracias

Buenas Itjdel 

En lo que respecta a los decos, me alegro que funcionase. Respecto a lo de darle Internet, en principio, si logras crear una regla default en el HGU para que lo envíe al Sophos, sí. Al margen de que siga pensando que es seguir complicado aun más toda la historia, cuando sería infinitamente más eficiente y simple como dije otro tipo de configuración, que sería más simple, sencilla y directa. Ahora, como poder funcionar, debería.

Respecto a IGMP, no he entendido bien lo que dices de que es "un UTM que trabaja en la capa 8", Más que nada porque al margen de otras cuestiones, no existe la capa 8. Tienes que irte a alguna literatura un tanto estrambótica que diga que es que la capa 8 es el usuario, pero vamos son memeces, el modelo OSI son 7, y en la actualidad realmente usamos el modelo TCP/IP que las simplificamos a 4, unificando en esencia las capa 1-2 y 5-7 de OSI. Eso sin contar que en el momento que hace un marcado PPPoE, por narices, está trabajando en capa 2 (TCPIP, 3 en OSI), con lo que como mínimo es un dispositivo de capa 2 (3).

Por otro lado, y de cualquier modo, no solo enruta tráfico y está haciendo NAT, sino que tendrá un Switch interno probablemente, con lo que en el momento que cualquiera de dos de sus puertos Ethernet estén en bridge (en el mismo dominio), automáticamente el tráfico Multicast es un problema, y por ende se requiere una buena gestión de IGMP.

Por último, respecto a la conexión al HGU a través de cualquier PC. De nuevo es complicar las cosas, ¿otro cable al HGU desde el Switch? Dios... Si no he entendido mal al final separaste el tráfico de los Decos (la red del HGU) con la red interna (la red del Sophos), con lo que los equipos que conectes están en otra red diferente no van a alcanzar al HGU. Es mucho más simple que eso, configura el Sophos para subir el tráfico por su interfaz WAN a la red del HGU y que enmascare el tráfico subido, nada más.

------

Y como consejo... no lo digo para nada con acritud ni a mal. Tener un buen Swich da mucha versatilidad a una red, y un elemento fundamental que por desgracia muchos desprecian. Pero querer solucionar a base de layer 2 de forma constante cuestiones que son la inmensa mayoría de layer 3, no le veo mucho sentido la verdad. Por cuestiones didácticas por supuesto, es como mejor se aprende, pero por estabilidad, simplicidad, rendimiento... muchas veces no es cuestión de que no se pueda, sino de si es o no lo más adecuado, y mantener además una estructura así consume además mucho más tiempo y dedicación, y propenso a problemas.

Saludos.

Hola Theliel.

Muchas gracias por tus aportes.

Al final lo he solucionado y en principio esta todo funcionando. Lo que hice fue separar en el switch la VLAN2 y añadir ahi los 3 decos y 1 cable que une el switch con el HGU. Ahora si veo la TV y sus grabaciones y demas...

Luego he creado una VLAN nueva para la red de cada (pc's, wifis, etc..) y ahi he conectado el Sophos para que de servicio de DHCP, DNS, Puerta enlace y firewall.

Y luego he creado la conexion PPPOE entre el HGU (modo bridge) y el Sophos XG y funcionando correctamente tambien.

En caso de en un futuro, querer usar Netflix en los decos, podria funcionar el crear una VLAN nueva que conecte el HGU al Switch, luego del Switch al Sophos (en la misma VLAN) y crear luego una regla que le diga que el trafico salga por la WAN del Sophos?

Por otro lado, lo que si veo que no me termina de funcionar bien, es el poder conectarme de nuevo al HGU por LAN (a 192.168.1.1)... he hecho una VLAN nueva y he conectado otro cable entre el switch y el HGU, y luego como el switch tiene activado la interconexion entre diferentes VLAN's de los puertos que se seleccionen, he añadido a eso, el puerto de mi PC y el latiguillo que he conectado el HGU, configurado en mi PC una IP 192.168.1.25 y no conecta... no llega hacer ping... seguramente si lo conecte a un puerto del Sophos y lo configure como LAN y luego le cree la regla que permita acceso a esa LAN desde la IP de mi pc, seguramente funcione, pero me ha quedado la duda en el tema del switch, sabrias que puede ser?

Por otro lado, el Sophos no tiene IGMP porque no es un router... es un UTM que trabaja en capa 8

Buenas Itjdel JonayDelgadoHernández 

Repito que el acceso a Internet no tiene nada que ver con que funcione la guía o grabaciones. Una cosa sería problema de acceso a internet que lo puede tener personas que usan netflix por ejemplo desde el propio deco, que sí requiere que el deco tenga internet. Otra cosa es problema de grabaciones/guia que suele ser o de rutas o de DNS.

Si los Decos estuviesen conectados al HGU físicamente, no tendrían que tener ningún problema de guía/grabaciones, tan solo no tendrían acceso a Internet, que como digo solo es necesario para Netflix a través del Deco y ahora quizás Disney+, este último no lo se aun con seguridad pq no lo he probado. Eso implica que separando en el Switch el tráfico pro VLAN interna del Sophos tendrían que funcionar bien casi todo.

En cualquier caso, el HGU envía tráfico Multicast hacia abajo, y a menos que el Sophos literalmente lo bloquee todo, y por ende este solo sea accesible desde el Switch con la VLAN creada a tal efecto, o te puede dejar seca toda la red, es una barbaridad a día de hoy tener un Router que no soporte IGMP Snooping, más que nada por los problemas que puede acarrear.

IGMP Proxy es necesario solo dependiendo de lo que se quiera/pretenda. En el escenario que dije anteriormente de que el tráfico caiga del HGU al Sophos y de este al Switch y listo, si se requiere IGMP Proxy, porque el Router tiene que bajar el tráfico IGMP que es el que gestiona los grupos multicast, IGMP Proxy en esencia lo que hace es posible que el Router intercambie el tráfico IGMP de una red a otra, es decir, del HGU a su red local. IGMP Snooping es difernete, es imperativo en una red si hay tráfico Multicast. Si todo el tráfico multicast en tu caso se queda confinado en el Switch y los decos, SEPARANDO ANTES por VLAN el tráfico, no es necesario IGMP Snooping en el Router, aunque si sería necesario IGMP Snooping en el Switch para evitar saturaciones, ya que los decos pueden ver diferentes canales cada uno, y sin Snooping (repito, en el Switch y con las VLAN creadas para separar el tráfico del Sophos) todos los decos serían bombardeados con el tráfico de todos.

Hola Theliel  y gracias por tu contestacion!

El Sophos no permite IGMP Snooping ni IGMP Proxy.

Puedo configurar en el switch la VLAN2, conectar ahi un puerto del HGU y identificar los puertos de los 3 decos que tengo, y meterlos en la VLAN2 del switch, pero aun asi no funcionaria la parte de internet de los decos verdad? es obligatorio que el IGMP lo gestione el Sophos?

Gracias

Buenas JonayDelgadoHernández 

En primer lugar, si no he entendido mal, ¿tienes conectado al Switch tanto el Sophos como el HGU? No es ni mucho menos lo más adecuado a menos que separes el Switch en dos VLAN para que el tráfico esté bien diferenciado el que es del HGU y el que es del Sophos, encima puedes provocar un loop.

Por otro lado, el DHCP del HGU debe de tenerlo habilitado sin problemas, ¿imagino que lo quitarías precisamente por tenerlo metido al Switch? El servidor condicional DHCP para los Decos es necesario de cualquier modo, y al margen de, ya digo que no es nada recomendable inyectar en el Switch el tráfico de los dos Router sin separar por VLAN.

En lo relativo a la IP 192.168.144.1, es la IP de enlace del servidor PPPoE, puedes verla como la puerta de enlace de la interfaz WAN al servidor PPPoE de Movistar. Para el caso, te es indiferente su existencia, el equipo la necesita porque al iniciar el descubrimiento PPP la recibe para poder conectarse al servidor remoto.

En lo que respecta a Internet, al estar el HGU en medio-bridge, el HGU cede internet al Router de abajo. con lo que el HGU se queda sin Internet en principio. Esto es un problema para quienes tienen contratado Netflix y quieren verlo por el deco, por ejemplo, o conectar simplemente cualquier equipo al HGU. Se puede solucionar de forma sencilla, simplemente basta con crear una ruta estática en el HGU para que redirija el tráfico por defecto al Router de abajo, al Sophos, y en el Sophos configurarlo para que acepte todo el tráfico que caiga del Router de arriba por la interfaz física WAN (no PPPoE).

En lo relativo a que no puedes ver grabaciones/guías, no es por no tener internet, esto se debe a dos motivos en particular, (cualquiera de los dos o los dos). O un problema de rutas, o los Decos no tienen asignados el servidor condicional DNS que requieren. En caso de que tengas el servidor DHCP totalmente deshabilitado en el HGU, ya tienes el problema, los Decos usan el servidor DNS normal, y ese no vale.

El problema de base, en mi opinión, es que complicas enormemente todo. Lo más sencillo sería como digo usar el HGU simplemente como medio-bridge sin carga alguna (solo el Sophos conectado a él), y que el Sophos gestione todo lo demás. Internet por medio de la conexión PPPoE, y aunque el HGU siga gestionando VoIP/IPTV, si el Router es decente, se puede configurar perfectamente para que suba el tráfico IPTV hacia el HGU sin ningún tipo de problema, de modo que todos los decos que se quieran se pueden conectar al Switch al igual que cualquier otro dispositivo de la red, y como enlace ascendente SOLO el Sophos.

En lo que respecta a la configuración del Sophos es simple, dos o tres rutas estáticas como mucho, un servidor DNS condicional (trivial con DNSmasq), y enmascaramiento del tráfico hacia el HGU. Por supuesto imperativo IGMP Proxy e IGMP Snooping tanto en el Sophos como en el Switch.