Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 14 replies
  • Subscribers 3 subscribers
  • Views 14778 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

How to integrate into home network with router?

Fraoch
Hello:

I just got ASG 9.305 up and running last night on my own hardware.

I've checked the documentation but haven't found anything about using a UTM with a router.  It seems that the UTM is meant to be used instead of a router.

Can I still use it with my router?  I'd like my router to still handle DHCP, NAT, etc. but the Sophos UTM to handle the security and firewall.

Can I integrate it like this?

Cable modem -> Sophos UTM -> router -> switch -> rest of network

What about IP addresses?  The Sophos box will get an external IP address while I've set the internal LAN interface of the Sophos box to 192.168.1.150.  What addresses should I set on the router?  It currently gets an external IP address on WAN while the LAN address is 192.168.1.1.  With the Sophos box, what should I set the WAN address on the router to?  Would 192.168.1.2 work?  I believe it should be static as I will not be activating a DHCP server on the Sophos box.

Thank you.


This thread was automatically locked due to age.
  • 0
    Yes, your connection should work.   I currently have my now old Cisco 1811 ISR trunked into the UTM.

    Cable Modem > Sophos UTM > Wireless LAN (Cisco 1811 ISR)
                                                >  Wired LAN - Trunked Cisco 2950
                                                >  Windows Server connection

    The IP addressing sounds good.  Here is what I did and since everyone either uses RFC1918 Class A and C blocks, I was the rebel and used Class B Block.

    UTM Wireless Net - UTM NIC = 172.29.2.1/24 and the Cisco 1811 F2 is 172.29.2.2/24 - Trunked Vlan 2
    UTM Wired Net - UTM NIC = 172.29.3.1/24 and the Cisco 2950 F0/24 is 172.29.3.2/24 - Trunked Vlan 3

    As for DHCP, it may be easier to have your router do DHCP or have a dedicated server on your LAN switch.  Remember, routers and the UTM do not forward broadcasts so you will need to activate DHCP relay or IP helper-address (Cisco Routers) if you activate the UTM's DHCP server or if you have a server directly connected to the router instead of the switch.
  • 0
    Its much simpler and secure avoid the router and let the UTM do all the work.
  • 0
    Crisman is correct but Fraoch may want to play or the router is wireless like my 1811W and the UTM is not (also like mine)
  • 0 in reply to gregd
    Crisman is correct but Fraoch may want to play or the router is wireless like my 1811W and the UTM is not (also like mine)


    I see.
    But I would use it if possible in transparent mode and let UTM do all the work, I know that some routers could act has an AP to provide wireless networks but don't know if it is that case.
  • 0
    Yeah, I use my 1811W for my internal wireless while currently my cable modem is for my external wireless connections such as work devices and wireless Entertainment devices.  They are isolated from each other so if the device is compromise, the hacker can not use a sniffer to look at the traffic.  Even with I arp the network, I only can see the arp table of the gateway and nothing else.  Without this isolation, I would be able to sniff Ooma and all the traffic from the UTM. 

    My current goal is to bridge my current modem or purchase one that can bridge more effectively and then everything is connected through the UTM.  I have another small wireless router to take over the role of the cable modem wireless since when I bridge it, wireless has to be shut off.

    I agree if he does not have any DMZs off the UTM, he should convert it to transparent mode.
  • 0
    Fraoch,
    Try to avoid the same network on both interfaces.
    If your current router can't be replaced for some reason, it's best to grab a different range(as suggested by gregd) or a chosen other range.

    I have the same issue, can't replace ISP-router with my UTM.
    My external interface is 192.168.2.248(has to do with other systems in the network, like our other servers/NAS/devices downstairs).

    My internal networks are 192.168.3.0, 192.168.4.0 and 192.168.5.0, all /24 or 255.255.255.0 as mask. (i know 3x 255 addresses is more then my license permits, but it are different VLANs, and easy recognizable in the logs [:P] )

    If possible, I suggest the following:
    UTM as router, connected to your WAN(internet) cable.
    your current router: disable DHCP, but enable WLAN.
    Change the IP-address to match your UTM's internal LAN,
    Connect a LAN-port of the router to the UTM's internal LAN port.

    this way, you can use the ports of the router(Not the WAN) as a switch, and you can still use the wireless, secured by the UTM [;)] )
  • 0 in reply to FrankBarmentlo
    Thanks for the great responses everyone.  I guess I could ditch my present router but it's a great router, a Ubiquiti EdgeRouter Lite.  I'd rather keep it.  The only problem I have with it is its rather basic firewall and security capabilities - I wanted something more powerful and comprehensive, with good logging and reporting.

    Fraoch,
    Try to avoid the same network on both interfaces.


    I was also thinking:

    Sophos UTM: External: (external IP assigned by ISP's DHCP)
    Internal: 192.168.2.1 (so it's on the 192.168.2.0/24 subnet)

    Router: WAN: static 192.168.2.2 (or should this be somewhere in the 192.168.1.X range?)
    LAN: static 192.168.1.1
    DHCP pool to internal network: 192.168.1.10-192.168.1.100

    Sound better?
  • 0 in reply to Fraoch
    Thanks for the great responses everyone.  I guess I could ditch my present router but it's a great router, a Ubiquiti EdgeRouter Lite.  I'd rather keep it.  The only problem I have with it is its rather basic firewall and security capabilities - I wanted something more powerful and comprehensive, with good logging and reporting.

    I was also thinking:

    Sophos UTM: External: (external IP assigned by ISP's DHCP)
    Internal: 192.168.2.1 (so it's on the 192.168.2.0/24 subnet)

    Router: WAN: static 192.168.2.2 (or should this be somewhere in the 192.168.1.X range?)
    LAN: static 192.168.1.1
    DHCP pool to internal network: 192.168.1.10-192.168.1.100

    Sound better?


    yep, that should work indeed,
    for the 192.168.2.0/24, you can also use a /30
    this gives a range of 4 addresses:
    192.168.2.0 - network
    192.168.2.1 - utm
    192.168.2.2 - router
    192.168.2.3 - broadcast
    this is just a matter of preference, a /24 works too [;)]

    kind regards,
    Frank
  • 0
    Awesome Frank, thank you!

    I just wanted to avoid the whole "oh oh I just changed the IP address on X and lost Internet access, what did I do wrong" problem.  I'm sure anyone who messes around with networking equipment has had that happen.[;)]

    There's also "if it ain't broke, don't fix it" - I'm a little nervous about doing some fairly radical changes to a perfectly-working network.
  • 0
    Just don't forget to make back-ups of the config,
    Stay calm, take your time [;)] Such radical changes shouldn't be made in a hurry.

    I suggest you first configure the UTM for this, using a static IP on the internal interface.
    make sure this works, until you start at the other router, so you keep your internet access in case something goes wrong.

    Good luck [:)]
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML