Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 2489 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Bridging ports and Exchange 2003 (!!)

Loco
Hi all, how's it going?

To set the scene, I'm in the process of upgrading the network for a small business. The business currently runs Small business Server 2003. It has 'Webmarshal', 'Mailmarshal' and Sophos apps running on the server to control web access, spam and AV. The licenses are about expired, so I've gone for a Sophos UTM 9. The server is going to be replaced before long too.

The server sits behind a Sonicwall firewall, which access the net through a cisco 800 series.

I aim to replace the firewall with the Sophos unit, then replace the server down the line. 

So I put some hours in yesterday, and encountered a few issues:

1) I need to understand the bridging of ports with the UTM a lot better. When I first configured the UTM at home, I had it sat on my home network.

I plugged the WAN connection to my home router and went through the config. Connecting to the LAN port, I was able to have my web access controlled by the UTM device in no time. This wasn't the case at all when I arrived at the business, with it taking some work to get internet traffic into the network. 
In the end, I had the LAN port set up with an internal IP address connected to the switch, which I was loath to change for fear of losing access tot he device when on site, then the WAN port bridged with port 2 (Labelled DMZ) to get traffic passing through. With this, the network had internet access that was controlled by the UTM.

I'm sure this wasn't right, though, so how to I properly bridge the WAN connection to the LAN? I'm a little confused by  the setup with the 800 series, too. The old firewall listed a second, public IP for the Cisco - it had a specifc field for it. I believe I had to have this as the gateway address in the bridging configuration. I'll try to draw a rough diagram of it (made up IPs):

   ISP
    |
    |
Cisco 800 (Public IP: 211.20.0.10)
    |
    |
UTM External (Public IP: 211.20.0.11)
UTM Internal (IP: 192.168.50.1)
    |
    | 
Switch
    |
    |
SBS 2003 server (IP: 192.168.50.10)


2) I think it's related to the above, with email traffic not getting through, but as it stands with the 'Webmarshal' software on the Exchange server itself (!!) the 2003 Exchange is currently configured to point to a 'smart host' of itself at 127.0.0.1, in order to filter its own email traffic.

The sophos guides are pretty simplistic, insofar that they tell you how to point to your Exchange server and what domains to expect emails to, but I need to know the Exchange side configuration in order to get the mail flow working. 
Yesterday, I was removing the smart hosts localhost pointer, and setting that to the UTM (192.168.50.1, above), but I wasn't seeing any email traffic coming in or out of the UTM, though the 'Mailmarshal' app stopped seeing emails, so I'm pretty sure they were going out correctly. 
I've got a feeling that with my odd setup with the bridged ports, that email wasn't passing through the UTM properly.

Any assistance very much appreciated - thanks in advance!!


This thread was automatically locked due to age.
  • 0
    HI, and welcome to the User BB!

    1) Don't bridge unless you can't avoid it.

    2) "removing the smart hosts localhost pointer, and setting that to the UTM (192.168.50.1, above), " - did you do this in the SMTP connector?

    Cheers - Bob
    PS It sounds like you will need more help faster than you'll be able to get here.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    HI, and welcome to the User BB!

    1) Don't bridge unless you can't avoid it.

    2) "removing the smart hosts localhost pointer, and setting that to the UTM (192.168.50.1, above), " - did you do this in the SMTP connector?

    Cheers - Bob
    PS It sounds like you will need more help faster than you'll be able to get here.


    Thanks for the response. I set up the SMTP connector to point to the UTM, but no joy. Either way, I'm fairly confident that the Exchange issues stem from the port bridging. 
    I must have missed something, but I had the WAN port configured with the
    External IP (211.20.0.11), with the gateway checkbox checked, and the figure for the Cisco 800 filled in the gateway box (211.20.0.10). This didn't quite make sense to me, as I understood the gateway address as being the internal IP address that was provided as the gateway for network devices (i.e. 192.168.50.1), but it wasn't able to ping externally.
    Rather frustrating - I'll get some screen grabs of my config shortly to illustrate.
  • 0
    UTM Version? Hardware appliance or software? License type?

    Which services are you expecting to run, today and in the future, on the UTM?

    Are you attempting to do a drop-in replacement of the Sonicwall or something else/more?

    What is the role of the Cisco 800 series (which one, exactly, might help too) device as configured?  

    If a drop-in what did the layer1/2 through layer 3 network diagram look like before the first UTM related change was made?

    I like bridging, but like all tools, it isn't ideal for every situation.
  • 0
    Apologies, few more details:

    SG125 UTM hardware
    Firmware:  9.306-6, build 7777
    Fullguard license

    I'll be using network protection, web protection, email protection & endpoint protection. Just for now, I would like to get just web and email protection working.

    I'd like to replace the Sonicwall with the UTM.

    I believe the Cisco is the 877. This is supplied and supported by the ISP, and I don't really have access to it. From what I see on the network documentation, it's got a public IP address, and is used solely for the internet connection. It has a public IP, and the Sonicwall currently just connects through it. 

    The level 3 diagram is identical to that below, but with the Sonicwall being in the position where the UTM is on my diagram.

    So, here are the Sonicwall WAN settings:



    So, how would I set up the UTM WAN interface for this connection? This is what I have so far:


    Thanks in advance.
  • 0
    Images are best attached directly to posts.

    Sort out the network configuration before tackling the web and email connectivity.  Likely web second (should be easy) with email third.

    If the SonicWall wasn't using three network interfaces then the SG probably shouldn't.  A topology change isn't something to take lightly if you don't have a very good understanding of the existing network (including verified documentation and backups).

    Break the network configuration into phases:  LAN to SG, SG to ISP, SG to world, LAN to world, world to LAN.

    Configure eth7 as an emergency WebAdmin/SSH interface to allay your concerns regarding complete loss of access.  Configure the loginuser and root passwords so that emergency console access is not an issue.
  • 0 in reply to teched_01
    Images are best attached directly to posts.

    Sort out the network configuration before tackling the web and email connectivity.  Likely web second (should be easy) with email third.

    If the SonicWall wasn't using three network interfaces then the SG probably shouldn't.  A topology change isn't something to take lightly if you don't have a very good understanding of the existing network (including verified documentation and backups).

    Break the network configuration into phases:  LAN to SG, SG to ISP, SG to world, LAN to world, world to LAN.

    Configure eth7 as an emergency WebAdmin/SSH interface to allay your concerns regarding complete loss of access.  Configure the loginuser and root passwords so that emergency console access is not an issue.


    Thanks, yes, I'm trying to do this systematically, and get the network configuration correct before I proceed. Effectively, I'm simply looking for clarification on whether I've understood the External ethenet connection properly. using my details above, I was able to configure my ethernet socket on my laptop with the following:

    IP: 211.20.0.11
    NM: 255.255.255.248
    GW:  211.20.0.11
    DNS: (ISP's DNS servers)

    , and with this had perfect WAN connectivity, connected to the cable that was formerly going into the Sonicwall/SG WAN connection. So, I'm sure that works. Attached are the settings I had on the WAN eth port on the SG, and I had the LAN port simply configured as a LAN port, with an IP of 192.168.50.1.

    From machines on the internal network, I was able to access the SG, but was unable to access the net, even using IPs (to eliminate DNS config as a possible cause).

    It's frustrating, as this seemed such a simple step, but simply couldn't get it to play ball!

    Great idea configuring a spare port as secondary access, thanks.
  • 0
    Do you have a Masquerading rule for your internal network?
    Network Protection -> NAT -> Masquerading: Add a Masquerading for Traffic from Internal (Network) to Any.

    Besides that: There are a lot of good Sophos partners and resellers out there who would love to assist you, if you're willing to pay them. Maybe it's worth thinking about that, at least for an initial config.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to scorpionking
    Do you have a Masquerading rule for your internal network?
    Network Protection -> NAT -> Masquerading: Add a Masquerading for Traffic from Internal (Network) to Any.

    Besides that: There are a lot of good Sophos partners and resellers out there who would love to assist you, if you're willing to pay them. Maybe it's worth thinking about that, at least for an initial config.

    Many thanks - that sounds like it could be the answer! Curious how it worked on my home network without masquerading enabled, though.
    I'm considering a wipe & restart to get this going, when I next have an oppotuninty to visit (swapped back to the Sonicwall on Sunday).

    The business is very tight on budget, unfortunately, hence SBS 2003 still being used in 2015! I'll need to persevere with it some more - I'm sure I can get it going! 

    Will revert if/when I do.
  • 0
    Loco, make sure you ask this guy to comment on his acceptance of your learning curve - don't leave him in the dark!

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Wipe and restart is probably the way to go, after getting good backups, to make sure you don't carry forward any accidental/deliberate misconfigurations from troubleshooting and feeling your way through the problems.
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML