Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 2 subscribers
  • Views 9144 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

All outbound traffic from LAN blocked

svendavid
Hello,

I'm using Sophos UTM Home Edition v9.3. I've installed this on a PC with two network cards. The WAN interface is connected directly to a fiber modem. The LAN interface is connected to a switch along with my PC etc.

The problem I have is that I cannot reach internet. Both interfaces are up, the WAN-interface has an IP from my ISP. I've created a firewall rule allowing the Local Network to reach Internet on any protocol. See images.

Firewall rule: PS: Even though the image below says WAN I've tried to put in Internet IPv4 & Internet IPv6 but it makes no difference
http://3.ii.gl/B6JlIUe6W.jpg

Interfaces:
http://3.ii.gl/jN8riLN81.jpg

I've not created a DHCP server. The PC I'm testing from has a static IP of 192.168.55.3 and I use either Googles public DNS or OpenDNS. I've set 192.168.55.1 as gateway since that is the LAN-IP of my Sophos.

I did NOT use the wizard. What am I missing here?


This thread was automatically locked due to age.
  • 0
    Do you have a NAT rule for your internal network to the external address? Take a look under Network Protection > NAT > Masquerading.  You should have a rule listing the internal network -> external interface
  • 0 in reply to Jack Daniel
    Thanks very much for your answer! I did NOT have that masquerading rule but I did create one. I was so sure that was the answer but unfortunately it didn't help... I have no clue why. Any advice on what to try next?

    PS: I've changed the LAN IP of the Sophos UTM to 192.168.55.100 to make it easier not interfering with my Zyxel Zywall (192.168.55.1) while testing.

    Internet IS working because once I hook up my Zyxel Zywall USG 50 I'm back online.

    Please see details below:

    Masquerading:
    http://3.ii.gl/aEdwhC1Hy.jpg

    Interfaces:
    http://3.ii.gl/pMsE4niG.jpg

    Firewall rule:
    http://3.ii.gl/OGZLsZ-oI.jpg

    TCP/IP properties of test-PC - pointing to 192.168.55.100 which now is the LAN IP of the Sophos:
    http://3.ii.gl/Sj4crITQ.jpg

    Ping against Google:
    http://3.ii.gl/RT8F8hVmf.jpg
  • 0
    SvenDavid,
    can you provide a part of the firewall full(not live) log, that shows traffic being dropped?
    Kind regards,
    Frank
  • 0 in reply to FrankBarmentlo
    SvenDavid,
    can you provide a part of the firewall full(not live) log, that shows traffic being dropped?
    Kind regards,
    Frank


    Hi Frank, I'm not totally sure if I provide what you ask for, but I went to log files and found the archived log from yesterday. Here's a part of it:

    2015:01:07-21:19:34 host ulogd[4609]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="80:e6:50:22:94:96" dstmac="68:05:ca:2b:32:78" srcip="0.0.0.0" dstip="255.255.255.255" proto="17" length="328" tos="0x00" prec="0x00" ttl="255" srcport="68" dstport="67" 

    2015:01:07-21:19:36 host ulogd[4609]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="00:1a:4d:5f:76:00" dstmac="68:05:ca:2b:32:78" srcip="192.168.55.3" dstip="192.168.55.255" proto="17" length="78" tos="0x00" prec="0x00" ttl="128" srcport="137" dstport="137" 

    2015:01:07-21:28:04 router ulogd[4546]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="00:1a:4d:5f:76:00" dstmac="68:05:ca:2b:32:78" srcip="192.168.55.3" dstip="192.168.55.100" proto="6" length="48" tos="0x00" prec="0x00" ttl="128" srcport="55606" dstport="4444" tcpflags="SYN" 

    2015:01:07-21:28:04 router ulogd[4546]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="00:1a:4d:5f:76:00" dstmac="68:05:ca:2b:32:78" srcip="192.168.55.3" dstip="192.168.55.100" proto="6" length="48" tos="0x00" prec="0x00" ttl="128" srcport="55612" dstport="4444" tcpflags="SYN" 

    2015:01:07-21:28:07 router ulogd[4546]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="00:1a:4d:5f:76:00" dstmac="68:05:ca:2b:32:78" srcip="192.168.55.3" dstip="255.255.255.255" proto="17" length="152" tos="0x00" prec="0x00" ttl="128" srcport="17500" dstport="17500" 

    2015:01:07-21:28:07 router ulogd[4546]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="00:1a:4d:5f:76:00" dstmac="68:05:ca:2b:32:78" srcip="192.168.55.3" dstip="192.168.55.255" proto="17" length="152" tos="0x00" prec="0x00" ttl="128" srcport="17500" dstport="17500" 

    2015:01:07-21:28:07 router ulogd[4546]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="00:1a:4d:5f:76:00" dstmac="68:05:ca:2b:32:78" srcip="192.168.55.3" dstip="192.168.55.100" proto="1" length="60" tos="0x00" prec="0x00" ttl="128" type="8" code="0" 

    2015:01:07-21:28:07 router ulogd[4546]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="80[:D]2:1d:17:b6:b4" dstmac="68:05:ca:2b:32:78" srcip="0.0.0.0" dstip="255.255.255.255" proto="17" length="351" tos="0x00" prec="0x00" ttl="64" srcport="68" dstport="67" 

    2015:01:07-21:28:07 router ulogd[4546]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="00:1a:4d:5f:76:00" dstmac="68:05:ca:2b:32:78" srcip="192.168.55.3" dstip="192.168.55.255" proto="17" length="78" tos="0x00" prec="0x00" ttl="128" srcport="137" dstport="137" 

    2015:01:07-21:28:09 router ulogd[4546]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="00:1a:4d:5f:76:00" dstmac="68:05:ca:2b:32:78" srcip="192.168.55.3" dstip="192.168.55.255" proto="17" length="78" tos="0x00" prec="0x00" ttl="128" srcport="137" dstport="137" 

    2015:01:07-21:28:09 router ulogd[4546]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="00:1a:4d:5f:76:00" dstmac="68:05:ca:2b:32:78" srcip="192.168.55.3" dstip="192.168.55.255" proto="17" length="78" tos="0x00" prec="0x00" ttl="128" srcport="137" dstport="137" 

    2015:01:07-21:28:11 router ulogd[4546]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="00:1a:4d:5f:76:00" dstmac="68:05:ca:2b:32:78" srcip="192.168.55.3" dstip="192.168.55.255" proto="17" length="78" tos="0x00" prec="0x00" ttl="128" srcport="137" dstport="137" 

    2015:01:07-21:28:11 router ulogd[4546]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="80[:D]2:1d:17:b6:b4" dstmac="68:05:ca:2b:32:78" srcip="0.0.0.0" dstip="255.255.255.255" proto="17" length="351" tos="0x00" prec="0x00" ttl="64" srcport="68" dstport="67"
  • 0
    yes, that's the good data..
    Question 1: are you using DHCP? the 3th entry is a DHCP-packet being blocked(port 68 to 67)

    fwrule=60001 is the "drop/log" default rule in the input chain.
    it means that the UTM doesn't know where to send the packets, but as I Can see in your screenshot's, it's already there.
    Can you try a fw rule, allowing your internal to any ipv4, in combination with the masq rule you had in place?

    the fw-rule in your first post is just allowing internal systems to access your external IP, not the internet or anything else outside your UTM [;)]
  • 0 in reply to FrankBarmentlo
    yes, that's the good data..
    Question 1: are you using DHCP? the 3th entry is a DHCP-packet being blocked(port 68 to 67)

    fwrule=60001 is the "drop/log" default rule in the input chain.
    it means that the UTM doesn't know where to send the packets, but as I Can see in your screenshot's, it's already there.
    Can you try a fw rule, allowing your internal to any ipv4, in combination with the masq rule you had in place?

    the fw-rule in your first post is just allowing internal systems to access your external IP, not the internet or anything else outside your UTM [;)]


    1. No, I'm not using DHCP on Sophos yet. I've just set my test-PC to use a static IP-address.

    TCP/IP properties of test-PC - pointing to 192.168.55.100 which now is the LAN IP of the Sophos:
    http://3.ii.gl/Sj4crITQ.jpg

    However, my PC is connected to a switch with other devices and they are requesting DHCP. I will set up a DHCP (on Sophos) but first I need to get internet access through the Sophos.

    yes, I understood that the FW-rule in my first post was wrong. But I have tried the masquerading rule in combination with allowing my internal to any Internet IPv4 but it doesn't help. I don't understand why it will not work....

    Masquerading:
    http://3.ii.gl/aEdwhC1Hy.jpg

    Firewall rule:
    http://3.ii.gl/OGZLsZ-oI.jpg

    I can't see the default DROP rule but I believe that's normal.
  • 0
    that's normal with 6000#-numbered rules.
    How are you testing your internet? just pinging google?
    If it's just ping.. please check the ICMP-tab at the firewall settings [;)]
  • 0 in reply to FrankBarmentlo
    that's normal with 6000#-numbered rules.
    How are you testing your internet? just pinging google?
    If it's just ping.. please check the ICMP-tab at the firewall settings [;)]


    I've been testing with using a browser as well :-)

    But, right now I'm writing this post while online 'through' Sophos UTM. I just managed to get it working seconds before this post. This (see image below) was the solution. I just checked the Default GW checkbox on the WAN interface. Can anyone please explain?

    Image:
    http://1.ii.gl/KhyHmHrSm.jpg
  • 0 in reply to svendavid
    If you do not configure a default gateway, your router thinks the network you are trying to get to is on your network so the connectivity stays on your network and eventually it ends in the bit bucket.  When you check the default gateway or configure it, you tell your router to search elsewhere starting with usually the next hop ISP IP for the ip address you are trying to reach.
  • 0
    that small little checkmark sets the WAN-interface as default gateway.
    IF the UTM doesn't find the destination of a packet in it's routing table(the directly attached networks, manual and default routes), it will send it to the interface marked as default gateway. if there's no such interface, the UTM doesn't know where to send the packets, and will thus drop them.

    it makes me wonder why it wasn't checked already.. did you have any issues after or during install, or during the configuration wizard, regarding IP or network settings?
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML