Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 4033 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Configuring UTM 9 (HE) - PPPoE routing between Internal LAN

taxingmonk
Hi there,

I've just installed UTM 9.36 and configured it on a Jetway 9311.  Whole thing has come up a treat and with the help of these forums I've managed to get it largely configured.

I have a BT Infinity broadband connection which comes in two parts, the VDSL modem and the wireless router (Homehub).  

Internally I have a network on the 192.168.1.0/24, which has a number of different components, some bridging using powerline and so on.  Previously the Homehub was the firewall, DHCP and NAT device.

I've replaced the homehub with the UTM9 device.  I've configured the WAN (eth0) port as PPPoE and looking at the logs that has come up with an IP something along the lines of 172.16.1.76 and seems to have negotiated a CSP DNS of 65.x.x.x.  So this looks like the interface is up and working talking to the VDSL modem (white box for those who know it)

The local LAN port (eth1) is configured on 192.168.1.30.  This is also up and despite the fact that the dashboard says that the link is in an error state I can reach the admin UI and administer the unit. 

Masquerading was configured from internal->external as part of the unit setup.  The firewall also had a stock set of rules allowing internal->external traffic.  I've explicitly allowed ICMP packets to the unit and through the unit.  

But, and here comes the but, I can't route any traffic externally.  Neither can I lookup DNS entries but I also can't get any TCP traffic (including http) out onto the internet.


The only thing I noticed is that the default gateway I've specified as my LAN link because my network needs a default gateway but I wonder if I need to specify that as the WAN link (I notice I can't specify both so it makes me wonder if this is the default gateway for the unit).  Problem is I can't test this as I'm not at the unit at the moment.

So to recap

1) WAN link up (172.16.1.65) (to VDSL)
2) LAN link up (192.168.1.30)
3) UTM configured as DHCP server
4) Masquerading (internal->external)
5) Firewall (5 rules, internal->external, HTTP, TCP, others, allow)

Have I screwed up the default gateway? How do I configure a Local LAN default gateway (is that implied by the UTM being DHCP server?)

Thanks,
Max


This thread was automatically locked due to age.
  • 0
    First thing to do is to go to edit the External interface and check that the "IPv4 Default gateway box is checked"

    Its the only interface you need that checked on.

    Its quite useful to have a firewall rule which allows the PC you are working on complete access to the internet if you aren't an expert - so you can see if its a firewall rule or something else which is the issue.  Remember to turn it off when not doing diagnostics like this though!

    If the default gateway fixes it great - otherwise let us know how you get on.
  • 0
    Hi Erring,

    I'll give that a go.  Out of interest, how do the 192.168.1.x clients find the default gateway of the UTM (192.168.1.30)?  Is that implied somehow or was it from the DHCP server?

    Cheers,
    Max
    p.s. Noted about the firewall rule, I did an Everything->any-Everything rule (currently disabled [:)] )
  • 0 in reply to taxingmonk
    So removed the default gateway from the internal network and added it to the PP

    So now I have an external IP address AND a default gateway value for that address:

    External (WAN)
    [Up]
    on eth0 [172.21.76.123/32]
    MTU 1492 · DEFAULT GW 172.16.1.113
    Added by installation wizard

    Internal
    [Up]
    on eth1 [192.168.1.30/24]
    MTU 1500
    Auto-created on installation

    Problem is I still can't ping anything from the local network.  

    If I scroll through the Network Services, in order I have:

    DNS:
    Use forwarders assigned by ISP
    Currently assigned forwarders: 62.6.38.125

    Note I have nothing in the box just above that. I also have the internal network in the 'allowed' section under the global tab.

    IMPORTANT: If I check the PPPoE log the ip addresses (remote, local and DNS) all corrospond to the default gateway, remote IP and DNS servers.  This looks correct, and I've been given IP addresses so I can only assume the authentication worked?  Or is that a false assumption?

    For DHCP and Masquerading and Firewall I've attached screenshots.

    dhcp.png
    firewall.png
    masq.png

    One interesting thing I've noticed.  If I try to ping an external ip address (Amazon.co.uk) from the UTM support->tools->ping option, even if I request the external interface, it doesn't seem to work.

    PING 178.236.6.251 (178.236.6.251) from 192.168.1.30 eth0: 56(84) bytes of data.

    From 192.168.1.30: icmp_seq=1 Destination Host Unreachable

    From 192.168.1.30 icmp_seq=1 Destination Host Unreachable

    From 192.168.1.30 icmp_seq=2 Destination Host Unreachable

    From 192.168.1.30 icmp_seq=3 Destination Host Unreachable



    --- 178.236.6.251 ping statistics ---

    3 packets transmitted, 0 received, +4 errors, 100% packet loss, time 2015ms

    , pipe 3




    Yours, utterly perplexed,
    Max
  • 0
    Hi, Max, and welcome to the User BB!

    Several things:
      Pinging is regulated on the 'ICMP' tab of 'Firewall'.
    • You should assign DNS servers in DHCP.  Try 192.168.1.30 & 8.8.4.4.
    • Consider changing your DNS setup to something closer to DNS Best Practice.
    • Long-term, you will be much happier if you bridge your ISP's modem so that you can get a public IP on the External interface.
    • Finally, to simplify future configuration maintenance, use a free dynamic DNS service to get an FQDN resolvable in public DNS, and then follow The Zeroeth Rule in Rulz.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi there, 

    My previous update post seems to have disappeared but thanks for the additional info.

    For what it's worth, one main issue was that my BT Infinity Connection requires 'something@btbroadband.com' as a username to complete the CHAP process successfully (any old password will do)

    So for those who follow me, just because you have an IP from the modem and a default gateway and DNS server for forwarding doesn't mean the connection is actually valid.  hence the ICMP packets really weren't going anywhere. 

    I'm now getting into the guts of configuration for protection and monitoring.

    Thanks for the help folks,
    Max
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML