Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 1927 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos UTM9 Driving me crazy!

Twilight
Hi all, any responses would be greatly appreciated......

We are currently setting up a Hyper-V guest as an MSP but are having trouble routing packets inbound to our DMZ's message relay (MR) on our Software based Sophos UTM9.

We have created a Network Definition within the UTM pointing to our MR (NOT tied to an interface), we have created Service Definitions for the port forwarding, we have created our DNAT rules for the Services (Traffic Selector - Any to Service to External WAN to Destination MR) and we have created our Firewall rules to allow free flowing traffic for the Services.

However, we are not able to Telnet from an external location into the MR through the UTM. We have checked the logs on the UTM and see no record of any packets over the Service ports we have defined yet we do see rejected packets from other external sources, none of which relate to any of our activity.

We have a Draytek Router on the WAN side of the UTM and we have DMZ'd the LAN port on the Draytek which connects the two and are forcing traffic from our designated public IP for this service through this LAN port to the UTM.

I am tearing my hair out over attempting to resolve this issue and I now have very little left, I may have to resort to a wig and pluck at that instead.

Any help would be greatly appreciated. Thanks in advance.


This thread was automatically locked due to age.
  • 0
    You've managed to explain quite a lot without actually telling us what the relevant information is. 

    The IPs we can do without knowing, but what are the ports? Does it pick any random source port like most applications do or does it only use one source port? Are you sure you've configured the service definition properly? Without knowing what the ports are and what you've configured as a service definition, we can't suggest anything.

    Make sure that you have Logging turned on for that DNAT rule and any associated firewall rules.  When attempting to connect, do you see any related packets at all?  If not, then your modem may not be forwarding the packets to the UTM.  You could use tcpdump on the UTM's WAN interface to verify this.

    Does the service use UDP or TCP?  If your service definition is for TCP and the protocol is UDP, this will cause kittens to violently explode.  Make sure that we've matched the protocol correctly -- think of the kittens!

    Check for any network overlap as well, if more than one interface on the UTM has the same network on it, shenanigans will ensue without the proper configuration.
  • 0
    Hi Jeff, thanks for your reply.

    Apologies, frantic typing caused me to elude the obvious. The Service ports are 8192, 8193 & 8194 with a seperate Service definition for each, for example 8192 in = 8192 out and this is Service Definition Sophos 1, with 8193 being Definition 2 etc, these are all TCP ports. 

    I also have the Service definitions set at 8192 (Destination) to 8192 (Source) for example rather than using the band arrangement which is the default when creating a new rule that adds 1:65535 as the default Source port (I hope that makes sense), I have attached a Services image which corresponds.

    In an effort to keep things clear, as this UTM is very a very specific purpose I have created a DNAT rule for each Service, logging is enabled for each, see attached for a sample.

    I also have 2 NIC's reserved for the UTM both on completely seperate subnets, one for WAN and 1 for LAN.

    Whilst attempting to Telnet the UTM from an External source I checked the Live Firewall log on the UTM and it didn't display any of my activities, I also checked the regular Firewall log and again there were no entries in here either.

    I suspect it could be the Draytek dropping packets but just wanted to make sure that I had the UTM configured correctly as well. I will also look at the tcpdump you have suggested and will see what I get.

    Thanks for your help.
  • 0
    Thanks for providing this additional info!

    Just as a heads up, you might want to verify that the program you're using has a specific source port, most applications choose the source port at random and the destination port is the one that's specific, but this isn't saying you're configuration is incorrect just to watch out for those.  Even if this was the cause of the problem, you would see it dropped in the firewall log and this would be a case of "why is my firewall rule not matching" so this is not the problem here.

    The problem at hand seems to be that the UTM never receives the packets since they aren't showing up in the firewall logs.  Check tcpdump on the WAN interface, filtering for the source IP address that you're connecting from.  With tcpdump running, try and connect, if you see the packets arriving then the UTM is infested with demons.  If you don't see packets arriving, the demons are upstream, perhaps in the modem.  

    *shakes first*, bloody demons. [:)]
  • 0
    Thanks for your response Jeff. I will follow your lead and see how I go, demons may be right!
  • 0
    Hi, Twilight, and welcome to the User BB!

    The only thing I'd add to Jeff's suggestions is to confirm that the "Sophos Message Relay" definition has 'Interface: >' and is thus not bound to a specific interface.

    Normally, in this situation, I would use a single DNAT with a service {1:65535->8192:8194}.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Thanks for the welcome Bob and your response, I will check that out too.
  • 0
    Coming back with an update.

    Upon further detailed inspection of our Network Infrastructure, and in particular the Draytek, it was established that the LAN to Sophos WAN wasn't configured correctly/had been tampered with (a colleague had made changes to the Router without informing anyone and had taken out the DMZ rule, and we are supposed to be IT professionals *rolls eyes*). 

    Once this was established and the corrections made I could at last see the traffic on the WAN side of the UTM. I was then able to make slight changes to the UTM configuration and all is now good, traffic is flowing across the designated ports and External Sophos clients are now reporting and updating ok.

    I would like to state a big thanks for your support and Bob, your simple DNAT rule certainly made sense and has now been implemented into my DNAT structure.

    Thanks again all...
Cookie Information Banner