Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 3 subscribers
  • Views 12275 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM install without NAT

rthur
Hi everyone!

I'm in the process of setting up Sophos UTM for my home network, but I've run into a few configuration issues.

I've been allocated a /24 for my own use. As such, I'd like to avoid using NAT, and instead have the Sophos appliance serve as a firewall and dhcp server.

I've been told that in order to achieve this, I should bridge the two interfaces (the "internal" one, and the "external one") together.

This worked fine for a few hours until the upstream router went down. At that point, devices outside of my network got a lease from my dhcp server, and became part of my internal network - oops.

Does anyone know if / how I can configure Sophos to act as a router and firewall but without NAT?

Thanks!


This thread was automatically locked due to age.
  • 0
    Ok. Look at it this way:

    192.168.1.1    192.168.2.0/24

    You will need to get an IP from outside of your 192.168.2.0/24 network and the router  will need a route like:

    192.168.2.0/24 -> 192.168.X.X 
  • 0 in reply to rrosson
    Doh! Forgot to double check - turns out the static route to my subnet hadn't actually been configured.

    Thanks a lot for your help!!
  • 0
    192.168.0.1/16 
    and 
    192.168.2.1/24

    are the same network from the perspective of 192.168.0.1/16 (this network includes everything fromt 192.168.0.1 to 192.168.254.254).

    Your external seems to be setup as 192.168.2.254/16 (which is the same subnet as 192.168.0.1/16, but also 192.168.2.1/24 is part of this subnet). As said before, youre internal 192.168.2.1/24 does see anything outside 192.168.2.x as external, but all the external subnets don't see your 192.168.2.1/24 as a different subnet, hence they will not try to send traffic destined for this network to a router.
    If anything will work, it will most likely only be one-way traffic. You should really use different subnets on 2 sides of a router.
  • 0
    Arthur, these are all good suggestions.  What Barry was suggesting was: no masquerading, a route in the other router for your subnet like '192.168.2.0/24 -> 192.168.2.254' and:

    Internal:
     - IP: 192.168.2.1
     - Subnet mask: 255.255.255.128
     - No default gateway

     External:
     - IP: 192.168.2.254
     - Subnet mask: 255.255.255.255
     - Default gateway: 192.168.1.1


    That would leave you with 125 addresses for your other devices behind the Internal interface.

    Cheers - Bob
  • 0 in reply to BAlfson


     External:
     - IP: 192.168.2.254
     - Subnet mask: 255.255.255.255
     - Default gateway: 192.168.1.1




    I don't think the external interface will be able to "find" it's default gateway like this or am i missing something here?

    I think he needs bridging if he really wants to use these subnets on both sites of the UTM.
  • 0
    Bob,

    I'm with apijnappels on this one as I don't think a route in the other router will help at all.

    Hosts on the larger /16 network he's carved out of won't forward traffic to their default router unless it's outside their subnet. And given the /24 is a subnet of that /16, hosts on the larger /16 will happily fire packets off directly to hosts on his /24. And given the router is in the way, traffic will get ignored because it's not being sent to his router for forwarding, but directly to his hosts, so the router ignores the packets, even though it's physically in the way.
  • 0
    Agreed, Drew, but my guess was that he was confused about that because I assume the folks in charge of the upstream router know their topology and routing.

    The issue that apijnappels brought up is a different one; surprisingly, the default gateway of an interface on the UTM doesn't need to be in the netmask of the primary IP on the interface.  Apparently, the programmers just assumed that they would ARP for the needed MAC address for the default gateway.

    Cheers - Bob