Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 2 replies
  • Subscribers 0 subscribers
  • Views 1093 views
  • Users 0 members are here
Options
Suggested

[9.193] Traffic not going from subnet to subnet

rklomp
I have got a very strange problem where I cannot get communication between my two subnets 192.168.1.0/24 and 192.168.2.0/24

Testing using 2 hosts, 192.168.1.40 and 192.168.2.81 and trying to get a ssh connection.

I can see the packet going one way in the firewall log:
2014:02:02-00:07:10 gateway ulogd[4495]: id="2002" severity="info" sys="SecureNet" sub="packetfilter" name="Packet accepted" action="accept" fwrule="8" initf="eth1" outitf="eth0" srcmac="cc:5d:4e:8f:91:9b" dstmac="76:a5:7:3d:c2:1e" srcip="192.168.1.40" dstip="192.168.2.81" proto="6" length="52" tos="0x00" prec="0x00" ttl="126" srcport="49351" dstport="22" tcpflags="SYN" 

On the destination using tcpdump I can see the packet arriving and a return packet being send. On the firewall using tcpdump I can see the packet returning on the firewall, but It does not appear in the firewall log. It also does not arrive at the client.

I also noticed that the server can ping 192.168.1.254 the default gateway of the interface of the firewall in 192.168.1.0/24, but cannot ping the client on 192.168.1.40.

The same problem occurs when I try to connect to a RDP server from the same client to another server on the 192.168.2.0/24 lan. No traffic is returned to the client.

When I connect from the outside to the server it works correctly. 





outside            192.168.1.0/24                  192.168.2.0/24

   +                     +                               +

   |   +----------+      |                               |

   |   |          |      |                               |

   |---|   GW     |------|                               |

   |   |     1.254|      |                               |

   |   +----------+      |         +------------+        |       

   |                     |         |            |        |        +------------+

   +                     |---------|  FIREWALL  |--------|        |            |

                         |         |1.10     2.1|        |--------|   SERVER   |

       +----------+      |         +------------+        |        |    2.81    |

       |          |      |                               |        +------------+

       |  CLIENT  |------|                               |

       |   1.40   |      |                               |

       +----------+      +                               +


I am currently running 9.193-11, but cant verify if this has worked correctly in previous versions. At least it worked correctly in my previous firewall running 9.0

Maybe it is just a stupid config option I am missing...
Parents
  • 0
    Hi,  there's probably an incorrect Nat. 

    But check the ips and app control logs too. 

    Barry
  • 0 in reply to BarryG
    Hi,  there's probably an incorrect Nat. 

    This what I was thinking as well, but there is only one DNAT rule: Any->SSH->192.168.1.10(fw) is translated to 192.168.2.22. Disabling this rule does not fix it.
    I also have a disabled masquerading rule, but that should not do anything.


    But check the ips and app control logs too. 

    The IPS log is empty and app control is almost empty and shows nothing about this issue.


    Below you can see me trying to reach my windows server via rdp. In the image you can see tcpdump on the firewall. The first line is also in the firewall log. The rest is not. All traffic from 192.168.2.0/24 to 192.168.1.0/24 is allowed and logged.

    2014:02:02-09:55:20 gateway ulogd[24591]: id="2002" severity="info" sys="SecureNet" sub="packetfilter" name="Packet accepted" action="accept" fwrule="2" initf="eth1" outitf="eth0" srcmac="cc:5d:4e:8f:91:9b" dstmac="76:a5:7:3d:c2:1e" srcip="192.168.1.40" dstip="192.168.2.25" proto="6" length="52" tos="0x00" prec="0x00" ttl="126" srcport="49420" dstport="3389" tcpflags="SYN"
Reply
  • 0 in reply to BarryG
    Hi,  there's probably an incorrect Nat. 

    This what I was thinking as well, but there is only one DNAT rule: Any->SSH->192.168.1.10(fw) is translated to 192.168.2.22. Disabling this rule does not fix it.
    I also have a disabled masquerading rule, but that should not do anything.


    But check the ips and app control logs too. 

    The IPS log is empty and app control is almost empty and shows nothing about this issue.


    Below you can see me trying to reach my windows server via rdp. In the image you can see tcpdump on the firewall. The first line is also in the firewall log. The rest is not. All traffic from 192.168.2.0/24 to 192.168.1.0/24 is allowed and logged.

    2014:02:02-09:55:20 gateway ulogd[24591]: id="2002" severity="info" sys="SecureNet" sub="packetfilter" name="Packet accepted" action="accept" fwrule="2" initf="eth1" outitf="eth0" srcmac="cc:5d:4e:8f:91:9b" dstmac="76:a5:7:3d:c2:1e" srcip="192.168.1.40" dstip="192.168.2.25" proto="6" length="52" tos="0x00" prec="0x00" ttl="126" srcport="49420" dstport="3389" tcpflags="SYN"
Children
No Data
Unfiltered HTML