Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 3 subscribers
  • Views 22368 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Unable to access https:// :4444 from seconday network

stealthmatt_01
Hello all,

Edit: this has been resolved the cause was an incorrect MTU setting on the interface

This is doing my head in, we are trying to setup a second network to connect to our UTM 220. However, no matter what we do we can't connect to the management interface of the UTM using SSL address.

So our UTM has a WAN, LAN 1 and now LAN 2

Everything is working fine and we connect to the management interface from both the WAN and LAN. However, when trying to connect to it from LAN 2 it first shows the certificate error (as with LAN 1) but gets held up just keeps trying. 

Google chrome shows after 1 minute or so "Error 101 (net::ERR_CONNECTION_RESET): The connect was reset." or "Error 103 (net::ERR_CONNECTION_ABORTED): Unknown error."

I have set to allow any network access in the management interface. This new network I have created a new NAT rule and included it in the firewall rule for web access.

The strange thing is when I go to http:// :4444 (not HTTPS) I get a HTTP error from the UTM saying to go to https://

Also I can browse the web with out web protection. When I enable web protection it attempts to go to the https://proxy address and it wont go any further.

I am doing my head in...
Firmware version: 9.006-5

Firewall logs show that its accepted the connection on port 4444 and no firewall blocks.


This thread was automatically locked due to age.
  • 0
    I have logged a ticket with Sophos. However, of recent I have been very disappointed with Sophos support.

    ticket 3823725
  • 0
    Do you have any DNATs configured to try and reroute 4444 on that interface?

    Can you please show us the NAT rule that you mentioned creating?

    If you enable the web proxy in transparent mode, what happens then?

    Are clients on LAN 2 able to ping google.com and other addresses?

    What are the network ranges for LAN 1 and LAN 2?

    Try upgrading to 9.100-16 and see if this solves the problem?
  • 0 in reply to jeff.welling
    Do you have any DNATs configured to try and reroute 4444 on that interface?


    Sorry we only have masquerading NAT rules 

    Can you please show us the NAT rule that you mentioned creating?


    see picture below -This is how out LAN 1 is setup - I would thought it work the same way? 

    If you enable the web proxy in transparent mode, what happens then?


    The proxy mode is already in full transparent mode. However, even when I turn off web protectio - and it allows me to access the net. I still have not been ever able to access the gateway address with :4444 from lan 2 (only lan 1 and wan interface) - and yes its set to allow any networks.

    I also created a firewall rule to allow any > any > any to see if it was a firewall issue. It is not [:(]

    Are clients on LAN 2 able to ping google.com and other addresses?


    yes, we can ping, tracert, and dns resolve

    What are the network ranges for LAN 1 and LAN 2?


    LAN 1 is 10.72.0.0/16 and LAN 2 is 172.16.0.0/16

    Try upgrading to 9.100-16 and see if this solves the problem?


    eeek not at this stage - there is still bugs they are working out. besides this should work.... as its a basic setup.
  • 0
    9.1 does have many bugs associated with it, but it also fixes a long list of issues with 9.006 which is the version you're on, and Support will likely tell you the same thing anyway, may as well beat them to the punch.

    So you can access the net from LAN 2, just not WebAdmin.  Tres interesting. That tells me it's not a network overlap issue.

    On the interface for LAN 2 on the UTM, try a tcpdump for the IP address of a host that's going to try to connect to WebAdmin.  Include the -n option to avoid name lookups, and the -v option to get a bit more information about what's going on, and you'll probably also want to filter for port 4444 to make sure you're not getting any noise.  Then, try and connect from that host, and once it fails, try posting the output from the tcpdump here. We don't need a full pcap file, just the output from tcpdump should help.

    If you reboot the appliance, does the issue persist?
  • 0
    What if you try to access the IP address on the LAN 2 interface on the UTM, from LAN 1?

    For example, if LAN 1 is 192.168.1.0/24 and LAN 2 is 192.168.2.0/24, from a machine on LAN1 are you able to load WebAdmin at https://192.168.2.1:4444 ?
  • 0
    Actually when i spoke to support she said it was good I am 9.006-5 because it is more stable than 9.1 at present.

    To be clear I can't access the internet when Web Protection (Transparent proxy) is enabled. Only when I disabled web protection all together can I access the internet.

    However, even with web protection off I can still not access the HTTPS address of the UTM. To me this is also the cause why I can't access the net with web protection on because its trying to go to the https:// address of the UTM once again.

    If I connect to the http:// instead of https:// it does display a webpage from the UTM. Which confirms I can access the UTM in some form.
  • 0 in reply to stealthmatt_01
    Further your questions, it appears that the UTM is routing traffic between LAN 1 and LAN 2 [:(] we did not want this to happen and wanted the networks to be separate. How can I stop the UTM from doing this?
  • 0
    The default policy in the UTM is to drop, so you must have accepted that traffic in a firewall rule somewhere, double check your firewall configuration.
  • 0
    Well our firewall rules allow the LAN 1 and LAN 2 > 80/443/8080/etc > any

    so maybe "any" includes the other interface as well not just external ip's?
  • 0
    what happens if you are connected to Lan1 and access webadmin with Lan2 IP?