Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 3 subscribers
  • Views 5576 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM 9 - Error UTM blocked a computer to navigate

Derick Maruyama
Hi, I'm here to try resolve my problem... we have the UTM 9, and today we have found  the second computer blocked by UTM automatically (a HP AIO PC and a PC with a ASUS MotherBoard and Lan onboard). So we have asked the support why this happened, the answer was that Sophos UTM 9 have a internal software who search for tries of duplicate a existent Mac Address, and block automatically this mac. So, we asked for the log were say about this software, and he say that is automatic and don't have one. This information is right? 

The problem isn't in the firewall configuration and also we don't have any policy of block mac address.


This thread was automatically locked due to age.
Parents
  • 0
    Command line, or WebAdmin>Logging & Reporting>View Log files is a better way to share logs than screenshots of the livelog.

    Duplicate MAC addresses? Easy enough to verify with tcpdump/wireshark or maybe even arp (I'd trust what I see on the wire more).  I've not seen duplicate MACs for years, where it wasn't intentionally configured locally, and that was on cheap NICs.

    Automatic MAC "blocking"?  Haven't heard of that feature in the UTM, but I don't know everything and even misunderstand things sometimes.  Back to the topology and switch types/features for how they might be configured to respond to duplicate MACs.

    Your UTM is 128.1.10.109?  Where is this device?  

    128.1.50.178 is the device that isn't working?  What is the network topology?  
    What are the IPs of some devices that work?
Reply
  • 0
    Command line, or WebAdmin>Logging & Reporting>View Log files is a better way to share logs than screenshots of the livelog.

    Duplicate MAC addresses? Easy enough to verify with tcpdump/wireshark or maybe even arp (I'd trust what I see on the wire more).  I've not seen duplicate MACs for years, where it wasn't intentionally configured locally, and that was on cheap NICs.

    Automatic MAC "blocking"?  Haven't heard of that feature in the UTM, but I don't know everything and even misunderstand things sometimes.  Back to the topology and switch types/features for how they might be configured to respond to duplicate MACs.

    Your UTM is 128.1.10.109?  Where is this device?  

    128.1.50.178 is the device that isn't working?  What is the network topology?  
    What are the IPs of some devices that work?
Children
  • 0 in reply to teched_01
    Hi
    ok, I just send the screenshots to show that haven't any entry in the logs, and the wireshark I can send you a log of that too, we test and haven't any response of this IP... we don't have any problem with duplicated MAC, but the support of M3CORP has said the UTM was blocking this MAC for tries of duplicate a MAC address. We can't even ping the UTM from this machine.

    UTM is the gateway of our network.
    Yes the machine that doesn't work is with that IP address 128.1.50.178, my IP for example is: 128.1.50.199. This is a enterprise network and we just have a lot of switch inside our building, so I just don't have authority to put our topology here.
    And I say before that machine communicate with others devices but can't communicate with UTM or navigate.


    att,
    Logs.zip
  • 0 in reply to Derick Maruyama
    Try clearing the ARP cache on any switches / routers in between this PC and the UTM -- perform at your own risk, but I have seen this issue before with a "confused" switch (typically cheap ones) with an ARP entry that just won't refresh.