HELP! Compete Astaro/SophosUTM noob...

Hi, PR, and welcome to the User BB!

I'll let others comment on any VMware switches and tricks you'll need, but your basic architecture is good.  You might want to check out DNS Best Practice though.

Instead of the built-in search here, I prefer to Google with site:astaro.org.

Cheers - Bob

Hi Bob, and thanks so much for the reply.

I've worked out my NIC problems, and now have my 2 VMs properly bridged (assigned directly using the network interface editor in VMWare).  My Astaro VM is bridged to both my internal network switch and to my external FiOS Router.  My Windows 2012 Server (DNS/AD) VM is bridged only to the internal network.  Both eth0 (Internal) and eth1 (external) show State=Up and Link=Up and have data moving in and out.  My Win12S DNS server appears to be set up correctly, and all requests (whether forward or reverse lookup) appear to be resolving internal hosts correctly.  I just don't know how to get the internal hosts to be able to access the internet.  From your reference link below (the list of best practices, which I repeat below), I have the following questions (I think I have #s4-6 right, need help with #s1-3):

>>> 1. Configure Windows Server (or other) DHCP server for internal devices to point at your internal name server for DNS, then the Astaro, then the OpenDNS servers.
----
If I’m understanding things correctly, this is done on the internal clients individually – either setting them up to use DHCP (get an IP address automatically) or, as I’ve done, given my 2 VMs static IP addresses (which I plan to do for other hosts I move from my external switch to this intern network when it’s up and working).  As far as where they go to get their DNS info… I know how to set up secondary DNS servers in some Linux distributions (it’s pretty much editing a list of IP addresses in a text configuration file), but not sure how this is done in Windows (or just haven’t done it in too long).  Like on the Windows 2012 Server (DNS/AD) server VM, where do I configure it with (presumably) the three IP addresses (which I imagine are itself as the internal DNS server, the Astaro VM’s IP Address, and the OpenDNS IP addresses 208.67.222.222 & 208.67.220.220)?  And if I’m understanding correctly, why am I giving it both Astaro and OpenDNS?  From what I read, there are performance and security reasons for using OpenDNS instead of my ISPs DNS servers, so I’m presuming that’s why this is the best practice?

>>> 2. The internal DNS server's first forwarder is to the Astaro DNS Proxy, then to the OpenDNS servers.
----
I think this is the same as the 2nd half of #1 above, no?  So I'm not sure how to do this.  I'm in DNS Manager in the Windows 2012 Server, and I see what I would expect to for internal DNS (A records in forward lookup zones and PTR records in reverse lookup zones, both for each of the 2 VMs I have), but not sure how to handle setting up clients to go to secondary and tertiary DNS servers in Win12Server, as mentioned above.  


>>> 3. The Astaro DNS Proxy lists "Internal (Network)" as allowed client.
----
By Astaro DNS Proxy do you mean the NetworkServices-->DNS-->Global Tab?  It says if you have "an internal DNS Server (for example as part of Active Directory), you should leave this setting empty."  I.e., nothing added under Allowed Networks on the global tab.  I have nothing there (under Allowed Networks).  Not sure if this is right, or if you’re referring to another configuration location in Astaro.

>>> 4. The Astaro DNS Proxy lists the OpenDNS name servers as forwarders, and 'Use forwarders assigned by ISP' is not checked.
----
Ok, I think I’ve done this by adding (with the little Plus Icon in Astaro on the NetSvcsDNSForwarders tab two entries (OpenDNS and OpenDNS2 as Name, Type=Host, IPv4 Address=208.67.222.222/.220.220 respectively) and under Advanced I chose Interface=External).  Hopefully that’s right.

>>> 5. In 'Request Routing', the internal DNS is used for reverse DNS of internal IPs (for example if your internal subnet is 172.16.20.0/24, you would have '20.16.172.in-addr.arpa -> {Internal DNS}'. With that, the Astaro can list machine names instead of internal IP addresses in the reports.
---
I think I have this right… I have added one request route with ‘***.168.192.in-addr.arpa’ as the Domain and the internal Win12S DNS server VM as the Target Server(pulled in using the little folder icon, which brings up the list).  
>>> 6. Also, in 'Request Routing', so the Astaro can resolve internal FQDNs, add, for example 'yourdomain.local -> {internal DNS server}'
----  
I think I have this right… I have added one request route with Domain = my internal domain name (inner.net, e.g.) and the internal Win12S DNS server VM as the Target Server (pulled in using the little folder icon, which brings up the list).  

Anyhow, that's how far I've gotten.  Thanks in advance for any additional help you can provide.  Hopefully I'm not a total idiot and I'm pretty close here. [:)]

Cheers,
-PR

Ok, I'm making good progress.

#1... I now understand my Windows 2012 Server needs to be running a DHCP server.  I've installed that and tried to configure it to send traffic to my internal DNS server first, then to Astaro.  But I can't seem to add the OpenDNS IP addresses as the third option.  I think it comes back to my larger problem of my Win12Server not being able to access the internet.

#2... I also found where within DNS Manager (in Windows 2012 Server) I'm supposed to add the forwarders.  I've added the Win12Server box and the astaro, and those worked fine.  When I add the OpenDNS IPs, it says "a timeout occurred during validation."  I suspect this also has to do with the fact that my Win12Server box can't reach the internet.

#3... I went on the assumption here that by "Astaro DNS Proxy" do you meant the NetworkServices-->DNS-->Global Tab, and I added the Internal(Networks) under Allowed Networks.

#4-#6... all remain as above, which I think are right.

So where I stand now, aside from not being able to configure the above settings in #1 & #2, it appears my only problem is that I cannot hit the internet on the Win12Server machine (ie, use a browser for an external site).  However, I AM able to do this from any machine started within the inner network using DHCP.  So it's really only internet connectivity from the server now.

I've opened the Firewall Log by turning on logging (in astaro) under NetworkProtection-->Firewall-->Edit(Internal(Network)--any-->IPv4/IPv6) and I don't see anything on the log associated with the browsing activity (though I do see all the allowed traffic when I browse on one of the client computers on the internal network, as well as the occasionally DENIED multicast traffic coming from my router --> 224.0.0.1.  But that's all I see.  

Hopefully the answer, given the above, is obvious to someone who's done this before.  Greatly appreciate anyone's help. 

Cheers,
PR

Post #3:

1.

And if I’m understanding correctly, why am I giving it both Astaro and OpenDNS?

Just in case you need to put something in place of the Astaro - it's just to have a more-robust setup.

From what I read, there are performance and security reasons for using OpenDNS instead of my ISPs DNS servers, so I’m presuming that’s why this is the best practice?

Partially.  And because some ISPs do DNS hijacking and that causes problems with Web Filtering.

3.

By Astaro DNS Proxy do you mean the NetworkServices-->DNS-->Global Tab? It says if you have "an internal DNS Server (for example as part of Active Directory), you should leave this setting empty."

Yes, the consensus is that we disagree with that instruction.

4.

under Advanced I chose Interface=External

I call it Rule #3:

Never create a Host/Network definition bound to a specific interface.
Always leave all definitions with 'Interface: >'.

Post #4

not being able to access the internet.

Do you have a Masquerading rule 'Internal (Network) -> External'?  If so, then Rule #1:

Whenever something seems strange, always check the Intrusion Prevention and Firewall logs.

#3... I went on the assumption here that by "Astaro DNS Proxy" do you meant the NetworkServices-->DNS-->Global Tab, and I added the Internal(Networks) under Allowed Networks.

That needed to be done before trying to add OpenDNS to your internal devices.  Thanks!  - I'll go back to the DNS post and change the sequence (now they no longer match your numbers above).

So where I stand now, aside from not being able to configure the above settings in #1 & #2, it appears my only problem is that I cannot hit the internet on the Win12Server machine (ie, use a browser for an external site). However, I AM able to do this from any machine started within the inner network using DHCP.

If the server is on a different interface of the UTM (DMZ?), then you'll need masq, other rules and 'Allowed networks' entries for that network.  Thanks again - I've also added this to the post.

Cheers - Bob

>>> My only problem is that I cannot hit the internet on the Win12Server machine (ie, use a browser for an external site). However, I AM able to do this from any machine started within the inner network using DHCP.

>>If the server is on a different interface of the UTM (DMZ?), then you'll need masq, other rules and 'Allowed networks' entries for that network. Thanks again - I've also added this to the post.

Ok, so if I understand you correctly, I've made changed such that now I have two Firewall rules:

Internal(Network) --(any)--> Internet IPv4 / Internet IPv6
Server --(any)--> Internet IPv4 / Internet IPv6

And I have 2 NAT rules that say:

Internal(Network) --(any)--> External Interface (Use Primary Address)
Server --(any)--> External Interface (Use Primary Address)

Still no internet access on the Win12Server DNS/AD server.  Any other ideas, or did I misunderstand?

Thanks,
- PR

Did you check Rule #1 and Rule #3 in my post above?

Cheers - Bob

>>>> Rule #1: Whenever something seems strange, always check the 
        Intrusion Prevention and Firewall logs.

Yes.  My Intrusion prevention logs are clear.  Nothing has ever shown up on them.  
My Firewall logs captures only traffic originating from the hosts within the Internal network pulling IPs from DHCP.  I get nothing on this log when I try to browse from the Win12S DNS/AD server using a browser.

>>>>Rule #3: Never create a Host/Network definition bound to a specific interface.
       Always leave all definitions with 'Interface: >'.

I've changed the interface from External to > on both forwarders (one for each of the OpenDNS entries).

What am I missing?

Thanks,
- Ron

Is the server network in 'Allowed networks' for Web Filtering?

Cheers - Bob

Well, when I go to the Dashboard, Web Filtering is not enabled.  When I go to WebProtection-->WebFiltering, Internal (Network) is in the Allowed Networks list, but it's grayed out, presumably because Web Filtering is not enabled.  Only Firewall is enabled (green) on the dashboard.  Hope that helps.

- Ron

What happens if you disable Windows Firewall in the server?
- 
Cheers Bob

Sorry for any short responses!  Posted from my iPhone.