Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 4642 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos UTM 110/120 - WAN Setup

jstraten
We are in the process to setup a Sophos UTM 110/120 for a small business.  The hardware is collocated and we have received the following network information from the data center.

Network:  x.y.z.184
Broadcast: x.y.z.191
Netmask: 255.255.255.248
Gateway: x.y.z.185

Usable range: x.y.x.186 - x.y.z.190

x, y and z are constant across the IPs listed above.

In the Sophos appliance we have setup the WAN interface as type Ethernet Static with the following settings:
Hardware:  ETH0
IPv4 Address: x.y.z.186
Netmask:  255.255.255.248
IPv4 Default GW: X
Default GW IP:  x.y.z.185

We also assigned a range of DNS services (OpenDNS, Google) as forwarders on the DNS tab.

In addition, the device is currently using the default firewall rules to allow Any DNS, web server, mail and other services from the inside.

The local network is set to a 10.x.y.z single subnet.  There is a mix of static and DHCP IP allocations.

Now, the WAN and LAN show state and link as up.  I also see some traffic flowing on the WAN.

However, any client DNS requests fail.  I also can't ping the Default GW IP from the inside.  Running a tracert from the outside it appears that traffic ends in a switch (or router) before our appliance.

Can somebody confirm that our settings are correct?  The data center folks are claiming that the fault is with us...

A quick response would be appreciated.  Thank you!


This thread was automatically locked due to age.
  • 0
    Possibility to ping the UTM must be switched on otherwise it doesn't respond. You can do this under Network Protection -> Firewall -> Tab ICMP.
    The local clients probably also try to use the outside DNS-servers. If this is the case, you should add a firewall rule allowing Internal (network) -> Internet IPv4/v6 -> DNS:  Allow

    I don't think there's a fault, it's probably just the UTM disallowing some traffic.
    You can also have your internal clients point to the UTM as a recursive DNS server. For that you need to add your Internal (Network) interface to the Allowed Networks list on Network Services -> DNS -> Global
  • 0
    unless you are going to run utm as a bridge your internal ips need to be outside the subnet of the wan ip..which isn't happening.  I would make the internet 192.168.x.x or 10.10.x.x.  Then reset everything for the internal lan as well.  This does mean you may have to renumber the protected server now.  so the .186 network needs to be for wan operations only then the internal network for 10.x.x.x needs all machines on the internal to be set in that range as static ips.  Since you said datacenter i am assuming this is a vdi setup?
  • 0
    Thank you for your quick responses!

    apijnappels, I did briefly put in an Internal (Network) -> Any -> WAN rule to validate that it isn't a firewall rule blocking things.  We also added the Internal (Network) Network Services -> DNS -> Global since we have a local windows DNS server using the appliance as a forwarder.
    However, we haven't tried the ping method yet and I know that the appliance is currently set to not allow it.  Will try that!  Thank you!

    William, our internal network is indeed on a 10.10.x.x network.  So, the static IPs on the WAN do not overlap with it.  For the server devices we have setup DNAT/SNAT rules to route traffic between their internal 10.10.x.x address and their corresponding external static IP.  For now I am taking these out of the equation by connecting a laptop using a DHCP address on the 10.10.x.x network and simply trying to get internet access which is currently not working.  No, this is not a VDI setup.  We are merely putting our application and mail servers to the data center.

    I noticed that the firewall log is showing some blocked internal traffic, but this traffic doesn't seem to be related to DNS or traffic requested by the laptop.

    I will return to the data center this morning and I think I will try to connect the laptop to the WAN link directly (putting static IP, gateway and Google DNS) to confirm that it can work that way.

    One question:  You both agree that our WAN settings are correct for the provided IP information, right?  If that's the case I will focus on blocked traffic.
  • 0
    That all looks good to me.

    You might find DNS Best Practice interesting.

    Also, #1 in Rulz.

    Cheers - Bob
  • 0
    i would setup a internal network - wan - any - any - allowed rule first.  Make sure you have a masquerading rule setup for the wan interface to the internal network as well.
  • 0 in reply to William Warren
    Thank you for all your feedback!

    It came down to me doing too many things on one day and simply being tired.  The result was a good old user error on my end: Incorrect Gateway IP

    All the signs were there, but for some reason we just couldn't see it after putting in all the equipment into the data center and quickly wanting to finish things up...

    Bob, you might want to add rule #0 to your Rulz:  Before doing anything else, you should always double check your interface configuration again!  I love the DNS Best Practice and Rulz.  [:)]

    Thank you, everybody!