Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 3 subscribers
  • Views 1726 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Unable to access one UTM from another.

RChadwick
I have UTM9 set up at my office, and now at my home. Mostly everything seems to be working OK, but I have a strange issue. First, I don't have any VPN's set up between the two sites.
If I try to access a web camera, or even the UTM9 management interface, located at my office, from my home network, it either fails, or sometimes works sporadically. If I access the office from my tablet with a cell connection, it works fine.

A few notes and weird symptoms that may or may not be relevant:
1) I just installed UTM9 at home. Everything pretty much seems to work, but I'm not 100% confident yet.
2) When I ran a test from Speedtest.net, Ping was usually extremely high, around 300ms, normally under 20ms.
3) I'm running UTM9 at home under ESXi 5 on an old Poweredge 1950. It's currently the only VM on the hardware, and the VM has 2GB RAM. There doesn't seem to be any swapping going on, and RAM is around 30% used.
4) Setting up Full NAT, so I could access local webservers and cameras locally, failed. I played with the settings, and found changing one parameter in the Full NAT config allowed it to work. This is likely a separate issue I'll ask about in another thread.
5) On my tablet, when I have Internet access, the Wifi icon turns blue. When it connects to the home network, it stays gray, even though I seem to have Internet access.


Any ideas?


This thread was automatically locked due to age.
  • 0
    Problems with NAT routing are often traced back to what I call Rule #3:

    Never create a Host/Network definition bound to a specific interface.
    Always leave all definitions with 'Interface: >'.



    If that didn't solve your issue, try what I call Rule #1 (enhanced):

    Whenever something seems strange, always check the Intrusion Prevention,
    Application Control and Firewall logs.


    Any luck with either of those?

    Cheers - Bob

  • 0
    Thanks for the response Bob.

    As for the first part of your response, do you mean NAT configurations on the home location, or the remote (Office) location? Either way, all extra NAT Configurations were done as per these posts:

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/t/40997

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/t/40988

    As for the second part, I disabled Intrusion Prevention and Network Visibility (Application Control I assume?) on both sites with no change. I will check logs ASAP.
  • 0
    1) Maybe one firewall rule for port 4444 is preventing you to access the office side, but if this is sporadically and the ping is high, I will advice to watch the MTU size of WAN interface
    2) The tablet stays grey because you didn't open the ports needed for google servers, google play. Find those ports in firewall log
  • 0
    OK, silly me. It was the firewall. I'm still getting the hang of UTM9. I added a rule to allow everything on the internal network out to the WAN, and almost everything seems to be working fine. Pings are down to under 20ms, and I can access the remote UTM fine. I'm sure someone will cringe with the rule allowing everything outgoing, and I intend to someday go back and figure out all the outgoing ports I need, but I don't have the time now. There isn't a nice wizard I missed that makes that easy, is there?

    Thanks again!
  • 0
    The rule must be any not WAN
    No there is no wizard about that, but you can watch the firewall live log in the future when you will decide to close "internal to any"
  • 0
    I disabled Intrusion Prevention

    Ahhh...  However, we also need to worry about any Anti-DoS Flooding activity that might be reported in that log file.

    figure out all the outgoing ports I need

    I usually start with two allow rules, one for "Wellknown Ports" (1:65535->1:1023) and another for "Higher Ports" (1:65535->1024:65535) and turn on the logging flags for awhile.  Then you can search the logfile for "accepted" to find which ports are used regularly.

    Rules with logging off:
    Put the Allow rule for DNS at the top.  Next would be the rules for gaming/real-time ports.  After that, uou might want a rule (or rules) for a bunch of regularly-used services.  For us, this is stuff like CIFS, Email Messaging, NETBIOS, NTP, SSH, Telnet, VNC, Web Surfing and WHOIS.

    You can do another search on "accepted" to see if you missed anything, and then disable logging until you're ready to work on the project again.  Eventually, you can turn off the general allow-all rules.  Your mileage may vary...

    Cheers - Bob