Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 13 replies
  • Subscribers 0 subscribers
  • Views 2827 views
  • Users 0 members are here
Options
Suggested

[9.090][NOTABUG] UTM 9.1 wont allow computers to connect to internet

blknitro11
Hi all!

I'm sort of new to setting up Network security and working with these types of  solutions and have heard nothing but great things about it.  We use Sophos on my network at work and love it!

So i have an old laptop running UTM 9.1.  I have the built in Ethernet port as my internal connection, and a USB Ethernet port as my external.  Im trying to get this to run as a transparent device.  I have both interfaces setup and have read online that i needed to setup a masquerading rule to allow Internal(network) traffic to go through the External connection also a Firewall Rule to allow Internal(Network) traffic to access InternetIPv4 traffic on my external connection.  With this setup i still can not get internet access.  I was hoping to get some help here.  Thanks a bunch, I really appreciate the help!
Parents
  • 0
    Hi,

    1. is the UTM getting an IP address on the External NIC?

    2. can you ping anything on the internet from the UTM (make sure pings are allowed on the Network Protection - ICMP page)

    3. check the firewall and IPS logs.

    4. please post screenshots of your interfaces, NAT/Masquerading, and Firewall rules.

    Barry
  • 0 in reply to BarryG
    Hi,

    1. is the UTM getting an IP address on the External NIC?

    2. can you ping anything on the internet from the UTM (make sure pings are allowed on the Network Protection - ICMP page)

    3. check the firewall and IPS logs.

    4. please post screenshots of your interfaces, NAT/Masquerading, and Firewall rules.

    Barry


    So i just went ahead and reinstalled UTM 9.1 to start from scratch.

    1.  Yes the UTM has an IP from the external NIC

    2.  Yes i can ping anything on the internet from the UTM but i can not ping anything on the LAN from the UTM

    3.  Nothing shows up in either log.

    4.  Screenshots below




    let me know if you need any other info from me.  Thanks!
  • 0 in reply to blknitro11
    I can't see from your screenshots clearly but is your WAN
    192.168.1.62 and LAN
    192.168.1.61? 
    If that is the case then there is no where to route the traffic.

    I suggest you either change your external IP to 10.0.0.1 but since your gateway is is also in 192.168.1.x range, you will have to change internal IPs (maybe 192.168.0.x range). This is a little involved process and would require basic knowledge of basic IP scheming.

    You will probably get more help in the general section. This is BETA section for software bugs.

    If one of the mods could please move the thread to the appropriate section so the OP can get better help and support.
    Thanks
    Bill

    Edit:

    Your best option is turn off dhcp on your existing router, change the IP of the router to 10.0.0.254 subnet 255.255.255.0, change the IP of astaro EXTERANAL to 10.0.0.1 subnet 255.255.255.0 default gateway 10.0.0.254 . Everything will work as expected after that. (This maybe an easier option)
    You will not have connectivity to your router after this till you configure astaro so keep that in mind

    OR
    Reload astaro, setup your external IP exactly as you have it in the setup. Then during initial setup, run the wizard and set up your internal LAN with IP 192.168.0.1 subnetmask 255.255.255.0 Enable http proxy, dhcp, and that is all. Wait for IPS etc till you are more comfortable with the product. But this will require your internal computer IP to be changed for initial access. That is why I call it a little involved process.
  • 0 in reply to Billybob
    Never mind... I see you are not trying to NAT, you are trying to run it in bridge mode. You will have to enable bridging under Interface and routing->Briding and bridge the two networks. But that may still require some subnet mask tweaking.

    Regards
    Bill
  • 0 in reply to Billybob
    I can't see from your screenshots clearly but is your WAN
    192.168.1.62 and LAN
    192.168.1.61? 
    If that is the case then there is no where to route the traffic.

    I suggest you either change your external IP to 10.0.0.1 but since your gateway is is also in 192.168.1.x range, you will have to change internal IPs (maybe 192.168.0.x range). This is a little involved process and would require basic knowledge of basic IP scheming.

    You will probably get more help in the general section. This is BETA section for software bugs.

    If one of the mods could please move the thread to the appropriate section so the OP can get better help and support.
    Thanks
    Bill

    Edit:

    Your best option is turn off dhcp on your existing router, change the IP of the router to 10.0.0.254 subnet 255.255.255.0, change the IP of astaro EXTERANAL to 10.0.0.1 subnet 255.255.255.0 default gateway 10.0.0.254 . Everything will work as expected after that. (This maybe an easier option)
    You will not have connectivity to your router after this till you configure astaro so keep that in mind

    OR
    Reload astaro, setup your external IP exactly as you have it in the setup. Then during initial setup, run the wizard and set up your internal LAN with IP 192.168.0.1 subnetmask 255.255.255.0 Enable http proxy, dhcp, and that is all. Wait for IPS etc till you are more comfortable with the product. But this will require your internal computer IP to be changed for initial access. That is why I call it a little involved process.



    Currently DHCP is off on the router, but we have a DHCP server handing out IP's.  I would prefer to keep DHCP on this server.  Would that change the configuration that you have above?
Reply
  • 0 in reply to Billybob
    I can't see from your screenshots clearly but is your WAN
    192.168.1.62 and LAN
    192.168.1.61? 
    If that is the case then there is no where to route the traffic.

    I suggest you either change your external IP to 10.0.0.1 but since your gateway is is also in 192.168.1.x range, you will have to change internal IPs (maybe 192.168.0.x range). This is a little involved process and would require basic knowledge of basic IP scheming.

    You will probably get more help in the general section. This is BETA section for software bugs.

    If one of the mods could please move the thread to the appropriate section so the OP can get better help and support.
    Thanks
    Bill

    Edit:

    Your best option is turn off dhcp on your existing router, change the IP of the router to 10.0.0.254 subnet 255.255.255.0, change the IP of astaro EXTERANAL to 10.0.0.1 subnet 255.255.255.0 default gateway 10.0.0.254 . Everything will work as expected after that. (This maybe an easier option)
    You will not have connectivity to your router after this till you configure astaro so keep that in mind

    OR
    Reload astaro, setup your external IP exactly as you have it in the setup. Then during initial setup, run the wizard and set up your internal LAN with IP 192.168.0.1 subnetmask 255.255.255.0 Enable http proxy, dhcp, and that is all. Wait for IPS etc till you are more comfortable with the product. But this will require your internal computer IP to be changed for initial access. That is why I call it a little involved process.



    Currently DHCP is off on the router, but we have a DHCP server handing out IP's.  I would prefer to keep DHCP on this server.  Would that change the configuration that you have above?
Children
  • 0 in reply to blknitro11
    No that will work fine, the way that astaro works is that it completely separates your LAN from WAN. So if you have services running on the computers/routers that astaro considers as WAN side, they won't be able to communicate with LAN  machines.
    If you have another dhcp that won't become a part of the WAN with your new wiring, then that would work nicely with the above setup.
  • 0 in reply to Billybob
    No that will work fine, the way that astaro works is that it completely separates your LAN from WAN. So if you have services running on the computers/routers that astaro considers as WAN side, they won't be able to communicate with LAN  machines.
    If you have another dhcp that won't become a part of the WAN with your new wiring, then that would work nicely with the above setup.


    ok cool.

    So just to recap:

    Wiring:

    -----from modem/router to Eth1(EXTERNAL)
    -----Eth0(Internal) to LAN Switch


    IP Setup:

    -----Eth1: keep current IP
    -----Eth0: setup with 192.168.0.1
    -----Bridge the two connections

    Rule:

    -----Keep current Rules


    That about cover it?
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?