Static Routing Successful, Internet Routing Insuccessful

I have been trying to get Astaro Essential up and running for a while now, and have been having difficulties getting it running. I perform the setup without problems, and set our static IP on the WAN, etc.

Our network is segmented into VLANs 1,2,3,5,6 with a central switch doing all the inter-VLAN routing. This is required as we have branch offices connected to our main office over a fibre provider. The default gateway for each VLAN is 192.168.VLAN#.1. The internet vlan is 3.

After inputting the static gateway routes into the routing table, I am able to do the following:

- Ping the firewall from a workstation PC in VLANs 1,2,5,6
- Ping workstations from firewall in VLANs 1,2,5,6
- Tracert/Reverse DNS/Ping google.ca from the firewall
- Able to check update status from firewall

Unable to:

- Surf internet from workstations, ping sites, etc
- Even if the workstation is configured to VLAN3
- Cannot ping google IPs from workstations, but can from firewall

When pinging a website from a workstation, it is unable to resolve the DNS. When putting the network back on the old firewall, it returns to normal, even after the firewall is put into factory settings and just basics are set. 

The main switch has routing tables set for each VLAN automatically, and I have added the following static line:

D: 0.0.0.0 S:0.0.0.0 Pref:60 Interface:3 Next Hop: 192.168.3.4

LAN interface is configured as: 192.168.3.4, 255.255.255.0, 192.168.3.1

Completely out of ideas as to where the problem is.  Thoughts?
Parents
  • Hi, stoneridge, and welcome to the User BB!

    First, it looks like you discovered that ping behavior is regulated on the 'ICMP' tab in 'Firewall'.  Is 'Firewall forwards pings' selected?

    Routing.  Astaro automatically creates routes between all of the networks defined on its interfaces.  It's difficult to tell if you have defined the VLANs on the Astaro or if you really do need the manual routes you created.  If the VLANs are there, then you likely can disable those manual routes.

    Firewall rules.  The default for the Astaro is to block all traffic.  Check the Live Log to see what rules you might need to add.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Thanks for the reply. 
    First, it looks like you discovered that ping behavior is regulated on the 'ICMP' tab in 'Firewall'.  Is 'Firewall forwards pings' selected?

    No it is not checked. The only settings checked on ICMP page are Firewall is "Ping visible" and "Ping from Firewall"

    Routing.  Astaro automatically creates routes between all of the networks defined on its interfaces.  It's difficult to tell if you have defined the VLANs on the Astaro or if you really do need the manual routes you created.  If the VLANs are there, then you likely can disable those manual routes.

    Without the static routing, I cannot ping from firewall to workstations, and vice versa. For example, I have added the following static route in the firewall:
    Firewall IP: 192.168.3.4
    Network: 192.168.2.0 255.255.255.0 Type: Network Interface: Any
    Gateway: Host, Interface any, 192.168.3.1

    Without it, I cannot ping/access web interface from my office (in VLAN2)

    Firewall rules.  The default for the Astaro is to block all traffic.  Check the Live Log to see what rules you might need to add.

    I have made a rule, and activated it, such that Any source, any destination, all ports, allow, just for testing purposes. Is there another section that may be blocking it?
Reply
  • Thanks for the reply. 
    First, it looks like you discovered that ping behavior is regulated on the 'ICMP' tab in 'Firewall'.  Is 'Firewall forwards pings' selected?

    No it is not checked. The only settings checked on ICMP page are Firewall is "Ping visible" and "Ping from Firewall"

    Routing.  Astaro automatically creates routes between all of the networks defined on its interfaces.  It's difficult to tell if you have defined the VLANs on the Astaro or if you really do need the manual routes you created.  If the VLANs are there, then you likely can disable those manual routes.

    Without the static routing, I cannot ping from firewall to workstations, and vice versa. For example, I have added the following static route in the firewall:
    Firewall IP: 192.168.3.4
    Network: 192.168.2.0 255.255.255.0 Type: Network Interface: Any
    Gateway: Host, Interface any, 192.168.3.1

    Without it, I cannot ping/access web interface from my office (in VLAN2)

    Firewall rules.  The default for the Astaro is to block all traffic.  Check the Live Log to see what rules you might need to add.

    I have made a rule, and activated it, such that Any source, any destination, all ports, allow, just for testing purposes. Is there another section that may be blocking it?
Children
No Data