Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 2491 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Bridging ports and Exchange 2003 (!!)

Loco
Hi all, how's it going?

To set the scene, I'm in the process of upgrading the network for a small business. The business currently runs Small business Server 2003. It has 'Webmarshal', 'Mailmarshal' and Sophos apps running on the server to control web access, spam and AV. The licenses are about expired, so I've gone for a Sophos UTM 9. The server is going to be replaced before long too.

The server sits behind a Sonicwall firewall, which access the net through a cisco 800 series.

I aim to replace the firewall with the Sophos unit, then replace the server down the line. 

So I put some hours in yesterday, and encountered a few issues:

1) I need to understand the bridging of ports with the UTM a lot better. When I first configured the UTM at home, I had it sat on my home network.

I plugged the WAN connection to my home router and went through the config. Connecting to the LAN port, I was able to have my web access controlled by the UTM device in no time. This wasn't the case at all when I arrived at the business, with it taking some work to get internet traffic into the network. 
In the end, I had the LAN port set up with an internal IP address connected to the switch, which I was loath to change for fear of losing access tot he device when on site, then the WAN port bridged with port 2 (Labelled DMZ) to get traffic passing through. With this, the network had internet access that was controlled by the UTM.

I'm sure this wasn't right, though, so how to I properly bridge the WAN connection to the LAN? I'm a little confused by  the setup with the 800 series, too. The old firewall listed a second, public IP for the Cisco - it had a specifc field for it. I believe I had to have this as the gateway address in the bridging configuration. I'll try to draw a rough diagram of it (made up IPs):

   ISP
    |
    |
Cisco 800 (Public IP: 211.20.0.10)
    |
    |
UTM External (Public IP: 211.20.0.11)
UTM Internal (IP: 192.168.50.1)
    |
    | 
Switch
    |
    |
SBS 2003 server (IP: 192.168.50.10)


2) I think it's related to the above, with email traffic not getting through, but as it stands with the 'Webmarshal' software on the Exchange server itself (!!) the 2003 Exchange is currently configured to point to a 'smart host' of itself at 127.0.0.1, in order to filter its own email traffic.

The sophos guides are pretty simplistic, insofar that they tell you how to point to your Exchange server and what domains to expect emails to, but I need to know the Exchange side configuration in order to get the mail flow working. 
Yesterday, I was removing the smart hosts localhost pointer, and setting that to the UTM (192.168.50.1, above), but I wasn't seeing any email traffic coming in or out of the UTM, though the 'Mailmarshal' app stopped seeing emails, so I'm pretty sure they were going out correctly. 
I've got a feeling that with my odd setup with the bridged ports, that email wasn't passing through the UTM properly.

Any assistance very much appreciated - thanks in advance!!


This thread was automatically locked due to age.
Parents
  • 0
    Do you have a Masquerading rule for your internal network?
    Network Protection -> NAT -> Masquerading: Add a Masquerading for Traffic from Internal (Network) to Any.

    Besides that: There are a lot of good Sophos partners and resellers out there who would love to assist you, if you're willing to pay them. Maybe it's worth thinking about that, at least for an initial config.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
Reply
  • 0
    Do you have a Masquerading rule for your internal network?
    Network Protection -> NAT -> Masquerading: Add a Masquerading for Traffic from Internal (Network) to Any.

    Besides that: There are a lot of good Sophos partners and resellers out there who would love to assist you, if you're willing to pay them. Maybe it's worth thinking about that, at least for an initial config.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
Children
  • 0 in reply to scorpionking
    Do you have a Masquerading rule for your internal network?
    Network Protection -> NAT -> Masquerading: Add a Masquerading for Traffic from Internal (Network) to Any.

    Besides that: There are a lot of good Sophos partners and resellers out there who would love to assist you, if you're willing to pay them. Maybe it's worth thinking about that, at least for an initial config.

    Many thanks - that sounds like it could be the answer! Curious how it worked on my home network without masquerading enabled, though.
    I'm considering a wipe & restart to get this going, when I next have an oppotuninty to visit (swapped back to the Sonicwall on Sunday).

    The business is very tight on budget, unfortunately, hence SBS 2003 still being used in 2015! I'll need to persevere with it some more - I'm sure I can get it going! 

    Will revert if/when I do.
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML