Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 3 subscribers
  • Views 12286 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM install without NAT

rthur
Hi everyone!

I'm in the process of setting up Sophos UTM for my home network, but I've run into a few configuration issues.

I've been allocated a /24 for my own use. As such, I'd like to avoid using NAT, and instead have the Sophos appliance serve as a firewall and dhcp server.

I've been told that in order to achieve this, I should bridge the two interfaces (the "internal" one, and the "external one") together.

This worked fine for a few hours until the upstream router went down. At that point, devices outside of my network got a lease from my dhcp server, and became part of my internal network - oops.

Does anyone know if / how I can configure Sophos to act as a router and firewall but without NAT?

Thanks!


This thread was automatically locked due to age.
  • 0
    Hi,

    Is your ISP routing your /24 to your EXT/WAN IP?
    If YES, you don't need bridging (nor NAT).

    Barry
  • 0 in reply to BarryG
    Hi Barry,

    Thanks for the reply! I've unbridged the interfaces, and this does seem to make more sense.

    I currently have my interfaces set up as follows:


    However I don't seem to be able to access anything outside of my subnet (192.168.2.0/24). Do i need to setup a route?

    Cheers,

    Arthur
  • 0
    Hi, rthur, and welcome to the User BB!

    We misunderstood your situation.  Barry's suggestion was for when you have a range of public IPs.  In this case, 192.168.x.y/24 is a private subnet, and you cause routing problems when there's any overlap between the subnets defined on the interfaces.

    Your best choice now is to bridge the modem/router that your ISP gave you.  That way, you get a public IP on your UTM and there's only a single NAT.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob,

    I probably should have mentioned this earlier - my network is within another local network (that I do not control). As such the subnet I've been allocated (192.168.2.0/24) is fully accessible (routable?) outside my network.

    Thanks!

    Arthur
  • 0
    Hi Arthur,

    As long as this 'another local network' is also a private IP range (10./8, 172.16./16, 192.168./24) then you don't need NAT to communicate as they're most likely handling NAT at the network edge.

    Is this the ISP, or some other arrangement?
  • 0 in reply to TheDrew
    Hi Andrew,

    There is an existing network (not ISP run), that I do not control.

    This network uses the subnet 192.168.0.1/16, and handles NAT.
    I've been allocated the subnet 192.168.2.0/24 for my own internal network.

    I've set up the two interfaces as shown above.

    Everything is disabled, except for the firewall which currently has an allow all rule for all traffic (for testing).

    I'm able to ping / access hosts outside my network from my Sophos host, but I'm not able to from any hosts connected to my network. Do I need to setup some routing rules?

    Thanks,

    Arthur
  • 0
    Sounds like the external interface on your UTM does not have a gateway set
  • 0 in reply to rrosson
    Hi rrosson,

    I am able to use the ping tool of Sophos to ping google.com (implying that the Sophos host itself can send packets via the default gateway - both for ICMP and DNS resolution), which leads me to believe that the external interface has the correct default gateway set.

    Thanks!

    Arthur
  • 0
    You can not have the same network on both the external and Internal interface. If you were allocated 192.168.2.0/24 your internal interface would be an IP in that network and serve as a gateway for your network. Your external interface would be in the network that is your upstream router. 

    At this point since there is no NAT your UTM is running as a router and a firewall
  • 0
    Hmm. I do apologize if I'm confused or being a bit stubborn here, but I don't think I have the same network on both the external and internal interface.

    Everything is set up as follows:

    Internal:
        - IP: 192.168.2.1
        - Subnet mask: 255.255.255.0
        - No default gateway

    External:
        - IP: 192.168.2.254
        - Subnet mask: 255.255.0.0
        - Default gateway: 192.168.1.1

    The external network uses 192.168.0.1/16, and the upstream router is 192.168.1.1
    I've been allocated 192.168.2.1/24 for my own use.

    Cheers,

    Arhtur