Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 3 subscribers
  • Views 5574 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM 9 - Error UTM blocked a computer to navigate

Derick Maruyama
Hi, I'm here to try resolve my problem... we have the UTM 9, and today we have found  the second computer blocked by UTM automatically (a HP AIO PC and a PC with a ASUS MotherBoard and Lan onboard). So we have asked the support why this happened, the answer was that Sophos UTM 9 have a internal software who search for tries of duplicate a existent Mac Address, and block automatically this mac. So, we asked for the log were say about this software, and he say that is automatic and don't have one. This information is right? 

The problem isn't in the firewall configuration and also we don't have any policy of block mac address.


This thread was automatically locked due to age.
  • 0
    Hi, 

    Are you saying both computers have the same MAC address?
    That won't work, on any network.

    Barry
  • 0
    Hi,

    no... the answer of support was that, but here we just have a single computer blocked, the support who answer for us (m3corp) has said that: the cause is this computer was trying duplicate one mac address and UTM has blocked. 

    But the computer is new, the software is clean and don't have any mac address like this inside our AD, and I forgot something... the computer can communicate with the AD and all of the others computers, but can't with the UTM or navigate in web.
    And the computer with a external lan board can communicate, so we just don't understand why.

    att,

    Derick Maruyama
  • 0
    Does the computer have its gateway set to the UTM's internal address?

    Does anything appear for that computer in the firewall or IPS logs on the UTM?

    Barry
  • 0 in reply to BarryG
    Hi, yes our gateway is the UTM, but the DHCP isn't active for DHCP we use our AD Server. (IP UTM 128.1.10.109)

    I'm sending some files to you, the first print doesn't show us anything about the machine blocked (IP 128.1.50.178) and even the IPS logs doesn't show anything.

    att,
  • 0
    Command line, or WebAdmin>Logging & Reporting>View Log files is a better way to share logs than screenshots of the livelog.

    Duplicate MAC addresses? Easy enough to verify with tcpdump/wireshark or maybe even arp (I'd trust what I see on the wire more).  I've not seen duplicate MACs for years, where it wasn't intentionally configured locally, and that was on cheap NICs.

    Automatic MAC "blocking"?  Haven't heard of that feature in the UTM, but I don't know everything and even misunderstand things sometimes.  Back to the topology and switch types/features for how they might be configured to respond to duplicate MACs.

    Your UTM is 128.1.10.109?  Where is this device?  

    128.1.50.178 is the device that isn't working?  What is the network topology?  
    What are the IPs of some devices that work?
  • 0 in reply to teched_01
    Hi
    ok, I just send the screenshots to show that haven't any entry in the logs, and the wireshark I can send you a log of that too, we test and haven't any response of this IP... we don't have any problem with duplicated MAC, but the support of M3CORP has said the UTM was blocking this MAC for tries of duplicate a MAC address. We can't even ping the UTM from this machine.

    UTM is the gateway of our network.
    Yes the machine that doesn't work is with that IP address 128.1.50.178, my IP for example is: 128.1.50.199. This is a enterprise network and we just have a lot of switch inside our building, so I just don't have authority to put our topology here.
    And I say before that machine communicate with others devices but can't communicate with UTM or navigate.


    att,
    Logs.zip
  • 0 in reply to Derick Maruyama
    Try clearing the ARP cache on any switches / routers in between this PC and the UTM -- perform at your own risk, but I have seen this issue before with a "confused" switch (typically cheap ones) with an ARP entry that just won't refresh.
  • 0
    This network is using 128.1.0.0/16 as private network space?  Topology looks flat-ish.  Are all switches web-managed switches?

    In that short capture (110 seconds?) I didn't see multiple MAC addresses for 128.1.50.178.  It seemed to be communicating on the wire.  Was that capture from the UTM or the problematic host (128.1.50.178)?


    I'd take two approaches, in parallel:

    1: get confirmation from M3Corp support on what they told you and how to verify it on the UTM.
    2: ignore everything you know about the problem.  Start over with whatever the symptom is (connectivity issue?) and start troubleshooting it over again from layer-1 on up.
  • 0
    Brucek
    was really the switch, thanks by the help...


    att,