Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 22 replies
  • Subscribers 2 subscribers
  • Views 9893 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Can't create a bridge

politby
I am attempting to set the UTM up in bridge mode, following these instructions:

Configuring Web Filtering and Application Control in bridged mode for a Sophos UTM

After completing the "Initial setup" with one of my 2 NICs as internal, the other one as WAN and then deleting the WAN interface as instructed, I am stuck. There is only one NIC listed (the one I just freed by deleting the WAN interface) so creating a bridge cannot be done. 

Makes sense because the other NIC is used by the internal interface.

Do I need 3 NICs in order to do this?


This thread was automatically locked due to age.
  • 0
    You do need three, yes.

    Easiest way to do this is to purchase a usb Ethernet dongle for the setup. Use it as the third interface, then once the bridge is working and access to the UTM is available through the bridge, you can remove the USB dongle.

    Don't however try to use the USB dongle as anything other then an administrative interface as numerous reports on here indicate that performance of the dongles is horrible, on the order of 1-2Mbps max in most reports.
  • 0 in reply to TheDrew
    You do need three, yes.

    Easiest way to do this is to purchase a usb Ethernet dongle for the setup. Use it as the third interface, then once the bridge is working and access to the UTM is available through the bridge, you can remove the USB dongle.

    Don't however try to use the USB dongle as anything other then an administrative interface as numerous reports on here indicate that performance of the dongles is horrible, on the order of 1-2Mbps max in most reports.


    Thanks. I can easily add a third NIC since I am running the UTM in the form of a virtual machine. Would it then be best to have one NIC as the management interface and bridge the other two? Should I put the management NIC on a separate subnet or VLAN?
  • 0
    Hi,

    Yes, put it on a separate subnet or VLAN.

    Barry
  • 0
    Right. I added a 3rd NIC and put it on a separate subnet (192.168.0.x) using one of the ports on my Microtik router. No switch on this subnet, just the one port with the UTM directly connected. This will be the admin port. I then created a bridge with the other two NICs and gave it a fixed IP address on the main subnet.

    Here's what I am trying to do:



    I then connected the bridged NICs to the uplink port on my router and to the switch on the main subnet, respectively. I should get all traffic on that subnet to flow through the UTM, right? 
    But as soon as I connect the UTM between the router and the switch my Internet connection is blocked.

    There seem to be differing opinions on whether the bridge should have an IP address or not. Still haven't figured that out. I have created the "all-pass" firewall rule.
  • 0
    Hi, 

    1. I'd keep the management port (eth2) disconnected except when managing, and then just plug a PC or laptop directly into it.
    i.e. I don't understand why you plugged it into your router.

    I then connected the bridged NICs to the uplink port on my router


    2. the uplink port on the external router should be going to the ISP, right?

    Barry
  • 0 in reply to BarryG
    Hi, 

    1. I'd keep the management port (eth2) disconnected except when managing, and then just plug a PC or laptop directly into it.
    i.e. I don't understand why you plugged it into your router.



    2. the uplink port on the external router should be going to the ISP, right?

    Barry


    1. Because the router handles the subnets. That port is as the diagram shows on its own subnet. That part works fine, i.e. I can connect to the admin interface from the main subnet through the router.
    The reason I did it this way is that I need remote access to the admin interface.

    2. Oops, router uplink goes to the ISP of course. See the diagram.

     I can try leaving the management NIC disconnected but I cannot see why that would cause the traffic not to pass through the bridge. 

     If you take a look at my diagram again, does it make sense? Should the bridge have an interface and or IP address assigned to it? I tried both but it appeared to make no difference.

     Many thanks for helping out!
  • 0
    I don't understand the reason for complicating the situation or for bridging on the UTM at all.  The "standard" approach here is to bridge the ISP's modem so that the UTM can have the public IP.  Then, if that's a wireless router you want to use as an Access Point, tape over the WAN port, disable DHCP and plug one of the LAN ports into your switch behind the UTM.  Lots of advantages to this approach.

    Cheers - Bob
  • 0
    You can do this with only 2 nics, I've done it like the following:

    Bridge the two nics together, give the bridged interface an IP eg 192.168.1.254 and make your router the default gateway for the bridged interface say 192.168.1.1. 

    Plug one end into the router and one into the switch, I setup the router as a DHCP server for 192.168.1.0/24, set any any any in firewall top rule. On the ICMP tab allow gateway ping visible and ping from gateway so you can make sure you can ping your router.

    DNS, enter the bridged interface.

    I would recommend using the UTM as the firewall and router as it's awesome and very simple to use, but if you need/want to do bridged mode it's quite good to test.
  • 0 in reply to Ross86
    You can do this with only 2 nics, I've done it like the following:

    Bridge the two nics together, give the bridged interface an IP eg 192.168.1.254 and make your router the default gateway for the bridged interface say 192.168.1.1. 

    Plug one end into the router and one into the switch, I setup the router as a DHCP server for 192.168.1.0/24, set any any any in firewall top rule. On the ICMP tab allow gateway ping visible and ping from gateway so you can make sure you can ping your router.

    DNS, enter the bridged interface.

    I would recommend using the UTM as the firewall and router as it's awesome and very simple to use, but if you need/want to do bridged mode it's quite good to test.


     Thanks. Finally a response to my question. [:)]
     Unfortunately this is exactly what I did, tried using both two and three NICs but nothing gets through the bridge. Guess I need to scratch and try again.

     I know the standard is to use the UTM directly on the incoming ISP connection. But my router has a number of features which I need to keep, such as level 3 routing, failover to the 4G network, etc.

     And Sophos claims the UTM will do bridging so I figured I ought to be able to get it to work.
  • 0
    No problem.. Delete the interfaces and try again. When you say nothing's passes the bridge did you try pinging the routers IP from a client on the switch?   

    Do you get a DHCP address from the router when plugged into the switch?

      Look at the firewall logs on the UTM although if you have an any any any rule this shouldn't be blocking.

    What's the default subnet on the router and does the bridged subnet have source NAT on your router 192.168.2.0 then NAT external, I assume you have also connected the switch to the router on the same port and then successfully connected to the internet on 192.168.2.0?