Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 4644 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos UTM 110/120 - WAN Setup

jstraten
We are in the process to setup a Sophos UTM 110/120 for a small business.  The hardware is collocated and we have received the following network information from the data center.

Network:  x.y.z.184
Broadcast: x.y.z.191
Netmask: 255.255.255.248
Gateway: x.y.z.185

Usable range: x.y.x.186 - x.y.z.190

x, y and z are constant across the IPs listed above.

In the Sophos appliance we have setup the WAN interface as type Ethernet Static with the following settings:
Hardware:  ETH0
IPv4 Address: x.y.z.186
Netmask:  255.255.255.248
IPv4 Default GW: X
Default GW IP:  x.y.z.185

We also assigned a range of DNS services (OpenDNS, Google) as forwarders on the DNS tab.

In addition, the device is currently using the default firewall rules to allow Any DNS, web server, mail and other services from the inside.

The local network is set to a 10.x.y.z single subnet.  There is a mix of static and DHCP IP allocations.

Now, the WAN and LAN show state and link as up.  I also see some traffic flowing on the WAN.

However, any client DNS requests fail.  I also can't ping the Default GW IP from the inside.  Running a tracert from the outside it appears that traffic ends in a switch (or router) before our appliance.

Can somebody confirm that our settings are correct?  The data center folks are claiming that the fault is with us...

A quick response would be appreciated.  Thank you!


This thread was automatically locked due to age.
Parents
  • 0
    Thank you for your quick responses!

    apijnappels, I did briefly put in an Internal (Network) -> Any -> WAN rule to validate that it isn't a firewall rule blocking things.  We also added the Internal (Network) Network Services -> DNS -> Global since we have a local windows DNS server using the appliance as a forwarder.
    However, we haven't tried the ping method yet and I know that the appliance is currently set to not allow it.  Will try that!  Thank you!

    William, our internal network is indeed on a 10.10.x.x network.  So, the static IPs on the WAN do not overlap with it.  For the server devices we have setup DNAT/SNAT rules to route traffic between their internal 10.10.x.x address and their corresponding external static IP.  For now I am taking these out of the equation by connecting a laptop using a DHCP address on the 10.10.x.x network and simply trying to get internet access which is currently not working.  No, this is not a VDI setup.  We are merely putting our application and mail servers to the data center.

    I noticed that the firewall log is showing some blocked internal traffic, but this traffic doesn't seem to be related to DNS or traffic requested by the laptop.

    I will return to the data center this morning and I think I will try to connect the laptop to the WAN link directly (putting static IP, gateway and Google DNS) to confirm that it can work that way.

    One question:  You both agree that our WAN settings are correct for the provided IP information, right?  If that's the case I will focus on blocked traffic.
Reply
  • 0
    Thank you for your quick responses!

    apijnappels, I did briefly put in an Internal (Network) -> Any -> WAN rule to validate that it isn't a firewall rule blocking things.  We also added the Internal (Network) Network Services -> DNS -> Global since we have a local windows DNS server using the appliance as a forwarder.
    However, we haven't tried the ping method yet and I know that the appliance is currently set to not allow it.  Will try that!  Thank you!

    William, our internal network is indeed on a 10.10.x.x network.  So, the static IPs on the WAN do not overlap with it.  For the server devices we have setup DNAT/SNAT rules to route traffic between their internal 10.10.x.x address and their corresponding external static IP.  For now I am taking these out of the equation by connecting a laptop using a DHCP address on the 10.10.x.x network and simply trying to get internet access which is currently not working.  No, this is not a VDI setup.  We are merely putting our application and mail servers to the data center.

    I noticed that the firewall log is showing some blocked internal traffic, but this traffic doesn't seem to be related to DNS or traffic requested by the laptop.

    I will return to the data center this morning and I think I will try to connect the laptop to the WAN link directly (putting static IP, gateway and Google DNS) to confirm that it can work that way.

    One question:  You both agree that our WAN settings are correct for the provided IP information, right?  If that's the case I will focus on blocked traffic.
Children
No Data