Can't create a bridge

OK, wiped everything and started out from scratch. Set up the virtual machine with 2 network cards. installed UTM while leaving only one of the NICs plugged into the switch. I let the wizard configure the internal port with an address on the main subnet 192.168.2.x. Obviously this works fine for the web interface running on the internal port.

Following the bridging "instructions" on the Sophos website I created the bridge. The only way I could make both NICs available was to convert the internal interface for bridging. So far so good.

The instructions then say to go into "interfaces" and create a new interface using the bridge, which is supposed to show up in the "hardware" dropdown menu as "br0". In my case it does not - the dropdown menu is empty - so there is no device available for creating the interface. So I have the bridge but no interface that I can assign an address to. Because I have read some posts claiming that the bridge should not have an IP address, I went ahead and created the firewall rule.

I then unplugged the switch from its connection to the router and plugged the UTM into the same port, effectively inserting the UTM between the router and the switch. Result:

- I can still communicate with the UTM web interface
- The switch is completely isolated from the router
- Pings to the router just time out
- Cannot test pinging the UTM from the router as the bridge does not have an IP address
- The firewall log shows nothing coming into or passing through the bridge.

If I try using 3 network cards, the UTM allows me to create the bridge without having to convert the internal interface ( which in this case I put on a separate subnet) and the "br0" comes up as available so I can create an interface and assign an IP address. But the end result is exactly the same, nothing passes through the bridge.

 So in my case bridging doesn't work regardless of how many network cards I use.

 The router has only destination NAT rules configured (port forwarding), not source. I'm using Microtik terminology here, not sure if we mean the same thing by destination/source NAT.

When you're creating the bridge and the interface to assign an IP make sure nothing is plugged into and using the UTM NICs.  Are you doing bridged all (Full transparent)?  You should only have one interface which is the br0.

Have you got gateway is ping visable and pass ping options set on the UTM under the ICMP tab?

When you create bridge you do need to create an interface still, which should work and be BR0 and allow you to assign an IP and gateway which is your router. Once you have done that you can login to the UTM, go to support, tools and run ping tests and DNS lookups to external addresses, which would rule out the UTM being the issue.

Once you have managed to do that plug into the switch, do you get a DHCP address?  If not set a static on the same network and see how that goes.

Another iteration. Since everyone says I should be able to bridge the UTM with just 2 NICs I'm limiting the scope to exactly that. 

Have to split this into 3 posts because only 3 images per post are allowed.

UTM dashboard immediately after running the post-install wizard:



ICMP configuration:



Added new firewall rule:

Interfaces, before deleting the external one to free up for bridging. Note network cable is unplugged:



Deleting the external interface:



Setting up the bridge. Only the freed-up NIC is available so have to convert:

Bridge created:



No "br0" available:



Can't create the interface w/o a device:



This is as far as I get. Any more suggestions?

I've made some progress. The new "br0" interface did in fact get created, I didn't realize that it was done automatically when I picked "bridge all". [:$]

 

Also set up the firewall rule, and pings are enabled.

But with the bridge connected between the router and switch, nothing passes. I can still connect to WebAdmin from a PC connected to the switch. 

But pings to the router do not make it through the UTM. I can also NOT successfully ping the UTM from a laptop connected directly to the router, i.e. the UTM responds to pings from one end of the bridge but not the other.

Even more interesting - if I swap the cables between the NICs, the UTM becomes unreachable at the switch end. So the NICs which make up the bridge behave differently - one  blocks traffic while the other does not. I would have thought once the bridge was created all bridged NICs would become identical and the bridge non-directional? 

And yes, the cable is okay, and just to rule out a hardware problem on the actual NIC I switched to another NIC (thank God for VMs) but that did not make any difference.

I doubt the problem is with the router, if the bridged UTM really was working the router should not see it any differently than e.g. a laptop connected to the same port.

That's odd, you're right it shouldn't make a difference.

When you can ping the UTM from the switch are you getting a DHCP from the router?

Also with the cables round both ways can you try and ping the router, client pc and a website from the UTM webadmin on support, tools. Try via IP and DNS hostname.

What model are the physical nics are you using?

Let's see if I can sum this up in a structured way. The UTM is in an ESXi VM running on a Proliant server with 6 NICs. 4 of them are Intel 82571EB, the others Broadcom NC373i.

Currently the UTM is using one Broadcom (plugged into switch) and one Intel (plugged into router). Both NICs are dedicated to this VM.

The NIC connected to the switch is the "internal" interface created by the UTM installation wizard. It was converted to create the bridge. 

The other NIC is connected to the router. The link is up, the router is showing packets going across, but pings from the router to the UTM or anything at the other side fail. As do pings from the UTM to the router or anything plugged in to its switched ports. 



What happens if I swap the cables?



The problem is now on the other side of the bridge. Now the router and UTM can successfully ping each other but the UTM and the switch are incommunicado.

Evidently the problem is related to the UTM network device that was bridged with the "internal" interface. 

There is nothing wrong with the cable. Works fine with a laptop. There is no problem with the physical NIC - it works fine when assigned to another VM and link negotiation is successful. And assigning a different physical NIC to the UTM did not solve the problem.

And the firewall log shows nothing except for some UDP packets highlighted green.

It's strange it half works either way round.  Have you tried using 2 intel nics for the bridge? 

Not that I can think of anyway it would matter.  When you have it working to the router, second diagram can you ping a website from the UTM or just the router? 

 I haven't used the VM version before I have my own hardware setup at home and at work 2 hardware appliances at work so not sure if there is any required config the nics should be in.

Another thing to try..ensure that your VMWare ESX configuration allows the Interfaces to run in Promiscuous Mode and duplicate MAC Address usage is allowed, e.g. ignoreMACAddressConflict="TRUE"

This is getting weirder and weirder. Since 5 of the 10 ports on the router are on a different subnet with its own DHCP server, I thought I'd let that subnet pretend it's the Internet. So I removed the bridge, created a WAN interface in the UTM and connected the cable to the router.

The UTM instantly picked up a DHCP address and the interface came up.

So NIC#1 works fine either by itself when first set up as "internal" or as part of a bridge.
NIC#2 works fine by itself but NOT when part of a bridge.

Or the other way around. And this is completely irrespective of which of the 6 physical NICs on the ESXi host is assigned to NIC#1 or #2.