Static Routing Successful, Internet Routing Insuccessful

I have been trying to get Astaro Essential up and running for a while now, and have been having difficulties getting it running. I perform the setup without problems, and set our static IP on the WAN, etc.

Our network is segmented into VLANs 1,2,3,5,6 with a central switch doing all the inter-VLAN routing. This is required as we have branch offices connected to our main office over a fibre provider. The default gateway for each VLAN is 192.168.VLAN#.1. The internet vlan is 3.

After inputting the static gateway routes into the routing table, I am able to do the following:

- Ping the firewall from a workstation PC in VLANs 1,2,5,6
- Ping workstations from firewall in VLANs 1,2,5,6
- Tracert/Reverse DNS/Ping google.ca from the firewall
- Able to check update status from firewall

Unable to:

- Surf internet from workstations, ping sites, etc
- Even if the workstation is configured to VLAN3
- Cannot ping google IPs from workstations, but can from firewall

When pinging a website from a workstation, it is unable to resolve the DNS. When putting the network back on the old firewall, it returns to normal, even after the firewall is put into factory settings and just basics are set. 

The main switch has routing tables set for each VLAN automatically, and I have added the following static line:

D: 0.0.0.0 S:0.0.0.0 Pref:60 Interface:3 Next Hop: 192.168.3.4

LAN interface is configured as: 192.168.3.4, 255.255.255.0, 192.168.3.1

Completely out of ideas as to where the problem is.  Thoughts?
  • Hi, stoneridge, and welcome to the User BB!

    First, it looks like you discovered that ping behavior is regulated on the 'ICMP' tab in 'Firewall'.  Is 'Firewall forwards pings' selected?

    Routing.  Astaro automatically creates routes between all of the networks defined on its interfaces.  It's difficult to tell if you have defined the VLANs on the Astaro or if you really do need the manual routes you created.  If the VLANs are there, then you likely can disable those manual routes.

    Firewall rules.  The default for the Astaro is to block all traffic.  Check the Live Log to see what rules you might need to add.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Thanks for the reply. 
    First, it looks like you discovered that ping behavior is regulated on the 'ICMP' tab in 'Firewall'.  Is 'Firewall forwards pings' selected?

    No it is not checked. The only settings checked on ICMP page are Firewall is "Ping visible" and "Ping from Firewall"

    Routing.  Astaro automatically creates routes between all of the networks defined on its interfaces.  It's difficult to tell if you have defined the VLANs on the Astaro or if you really do need the manual routes you created.  If the VLANs are there, then you likely can disable those manual routes.

    Without the static routing, I cannot ping from firewall to workstations, and vice versa. For example, I have added the following static route in the firewall:
    Firewall IP: 192.168.3.4
    Network: 192.168.2.0 255.255.255.0 Type: Network Interface: Any
    Gateway: Host, Interface any, 192.168.3.1

    Without it, I cannot ping/access web interface from my office (in VLAN2)

    Firewall rules.  The default for the Astaro is to block all traffic.  Check the Live Log to see what rules you might need to add.

    I have made a rule, and activated it, such that Any source, any destination, all ports, allow, just for testing purposes. Is there another section that may be blocking it?
  • It was my very first question 'Firewall forwards pings' must be checked.

    Without the static routing, I cannot ping from firewall to workstations, and vice versa.

    OK, so that means the addresses on your other VLAN interfaces are not the default gateway for the devices in each VLAN.  In that case, then I understand why you do need the routes.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hi Stoneridge

    No client surfing, but pings from firewall possible?

    I assume, routing is done ok as pinging between ASG an clients seems to work. But did you also create a Masquerading rule under network security / NAT for EACH VLAN in your network which should have Internet Access ?

    / Sascha
  • OK, so that means the addresses on your other VLAN interfaces are not the default gateway for the devices in each VLAN.  In that case, then I understand why you do need the routes.


    So, any thoughts as to why the internet isn't being routed?
  • So, any thoughts as to why the internet isn't being routed?


    If I understood that scenario right, your core switch does intrasite routing, and ASG is connected via a transfer network to the core switch. In this scenario it's normal to have static routes on ASG, that arriving packets from Internet will find their way home, as the default gateway on ASG points towards internet, and not the core switch [:)]

    Was the Masquerading hint helpful ?
  • If I understood that scenario right, your core switch does intrasite routing, and ASG is connected via a transfer network to the core switch. In this scenario it's normal to have static routes on ASG, that arriving packets from Internet will find their way home, as the default gateway on ASG points towards internet, and not the core switch [:)]

    Was the Masquerading hint helpful ?


    Sorry, you must have posted about masquerading while I was typing my reply. i never saw it. I have not changed the masquerading settings at all. I will give it a go and see if that works.

    Thanks.
  • Unable to:

    - Surf internet from workstations, ping sites, etc
    - Even if the workstation is configured to VLAN3
    - Cannot ping google IPs from workstations, but can from firewall

    When pinging a website from a workstation, it is unable to resolve the DNS. When putting the network back on the old firewall, it returns to normal, even after the firewall is put into factory settings and just basics are set. 


    Sascha, I had thought about masquerading in the Astaro, but figured that that was being done by his edge router.  It's difficult to "see" without a diagram, but I now interpret from what we do know that the 192.168.x.1 default gateways all (except .3.) are on the core switch.  It seems like everything would be simplified by putting all of the .1 addresses on the edge router, getting rid of the manual routes in the core switch and the Astaro and configuring two Astaro interfaces as bridged with the six VLANs defined on br0.

    That said, the easiest thing to do to make things work at this point would be your masquerading suggestion.

    Again, the pinging problem appears to be that 'Firewall forwards pings' must be checked.

    How do you know the issue with Internet access is the failure to get DNS?  Are there blocked packets in the Firewall log?  Was this issue fixed when you enabled masquerading for the VLANs (except .3.)?

    Cheers -  Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Yay! Masquerading has solved the issue. Thanks for your help guys. I look forward to demoing Astaro before I buy