Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 1954 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Old ASG320 changing for UTM 320

samuel.lao85
Hi mates,

Ok, recently we bought a new SOPHOS UTM 320. We want to replace an old ASG320 (v8.304) and install the new UTM. I performed this change yesterday, the only thing I did was a restore of the configuration and the UTM seems to work fine (VPN, Internet, web filter...). 

But, after the change we can´t send emails. For some reason, the mail relay (it is a trend micro application) hangs emails and put them in a deferred state. Looking the application´s log, I see that there is a message of "connection timed out". The mailserver and  trend micro app server are connected in a DMZ which is port 3(eth2) on the UTM, it has the same IP as the old ASG.

If I rollback to the old ASG, all deferred emails are delivered after 2 -3  minutes.

Servers at DMZ are configured with DNAT service in Astaro, but as I stated before, this configuration is transfered to the new UTM. Is it possible that our ISP has some kind of MAC ADDRESS restriction ?

Thanks in advance, I would appreciate your help and hints....


This thread was automatically locked due to age.
  • 0
    Hi, 

    1. if internet access is generally working, I don't think it's a MAC problem with the ISP.
    However, have you made sure the DMZ is working? ... it could be a MAC problem with your DMZ switch.

    2. Is the new appliance running 8.3 also?

    3. you are NOT using the Mail Security features on Astaro right?; i.e. your mail server is not relaying outbound mail to Astaro?

    Barry
  • 0
    Hi Barry,

    1. Yes, I can access Internet from internal network and DMZ. Well, I ping the mail server and trend server IPs from internal network, and also the DMZ interface, I get responses from all of them. I also performed a telnet x.x.x.x mailport from WAN and I can get in.
    2. The old ASG is running 8.304, the new UTM is running 8.302, it needs an upgrade but I was waiting to be sure about the installation to perform it.
    3. No, we haven´t the mail security licence. The mail server is relaying to the trend micro server.

    thanks my friend...
  • 0
    OK... try these:

    1. Check the packetfilter log and IPS log on the UTM and see if traffic from the mail server is getting blocked.

    2. can the mailserver ping to the internet by IP and by hostname (DNS)?

    3. try a telnet from the mailserver to a remote smtp server on port 25

    4. if you still aren't sure what's happening, run tcpdump on the firewall's DMZ interface and see if there are connection attempts from the mailserver to the internet:
    tcpdump -i eth2 port 25
    (change eth2 to the correct NIC for the DMZ)

    5. are you using Masquerading or SNAT for the DMZ to external? If so, make sure those are still enabled.

    6. open a support case with Sophos
  • 0
    Maybe the probem is,  that you took a config from 8.304 and put that into a 8.302 (if i understand your posts correctly....). It is not a major version change but maybe it is enough to make something not working. 

    Regards
    Manfred
  • 0
    Ok.

    I´ll proceed with both recommendations, I´ll let you know about the results.

    thanks...
  • 0
    hi my friends,

    here are the updates: 
     - I restored the configuration after upgrading both appliances with the same firmware and pattern version. There hadn´t changes.
     - Yes, I could ping sites by name from DMZ once I installed the new UTM.
     - I didn´t see traffic blocked in the UTM packet filter log. Moreover, the relay server was connected with public IP 
     - SNAT and FULLNAT configurations are enabled.

    thanks guys....
  • 0
    So emails still aren't working?

    Can you run tcpdump on the DMZ interface of the firewall?
    tcpdump -i eth2 port 25
    (change eth2 to the correct NIC for the DMZ)

    Please make a screenshot of your NATs, and describe any definitions used in them.

    Barry
  • 0
    I take it that the traffic flow is Mail Server ---> Trend Micro ---> Astaro.  Try flushing the ARP table on the mail relay and any switch between itself and the Astaro.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    ... it could be a MAC problem with your DMZ switch.

    Try flushing the ARP table on the mail relay and any switch between itself and the Astaro. 

    Any time you replace one Astaro/Sophos with another, you should do whatever it takes to force a reset of the ARP table in each device connected directly to it.  If your UTM is at the edge, you should organize with your ISP to have them bounce the last-hop router before your location.

    CHeers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    My friends,

    Thanks for all your suggestions.

    Balfson, it was the arp table of the ISP switches. It seems that switches just recognized the main IP but not additional IP which are used for the DMZ servers.

    Thanks my friends....
Cookie Information Banner