Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 2 subscribers
  • Views 7854 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Struggling to configure first setup for internet passthrough

SurveyAdvantage
I've successfully used hardware firewall's such as Smoothwall in the past with a Red/Green interface methoud with great results roughly five-years ago.

That said, I am struggling to get SophosUTM to run between my modem and router with two NICs - onboard and PCIe.

With some research I was able to figure out that for some-odd reason Sophos does not allow you to obtain a DHCP-lease out-of-the-box and that you need to set a specific STATIC IP (Found in the quick-start guide) to your client workstation to obtain WebAccess.

Once in, I ran a basic first-time install with mostly default settings (enabled A/V and IPS features). After that I left the external interface alone and enabled the internal interface for DHCP with Google's DNS of 8.8.8.8 and restarted the machine.

I set my router to pass it's DHCP requests to Sophos (put it in "switch mode") and connected it between my modem and router. Turned everything off, waited, and turned everything on one at a time as they each fully initialized. I set my computer back to DHCP (was set to static for the WebAccess earlier) and renewed it's DHCP-lease.

At this point, Sophos and WebAccess are accessible from the client machine but I do not have an external internet connection and I can not seem to resolve Google's DNS.

Would you be so kind as to lend me a hand? I feel horrible as I believe this is the most common setup so it should work out-of-the-box and fear I keep tripping over my own feet and messing this up somehow.


This thread was automatically locked due to age.
  • 0
    How do you have DNS setup?
    Do you have firewall rules in-place to allow traffic?  UTM is default deny, in and outbound.
    Do you have a MASQ rule in place?
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    There was an issue with the router running in router mode when I told it to be a switch. This has been resolved - thank you Scott Klassen for your assistance.

    I now have another issue with Port Fowarding that seems really simple as-well but causing me great stress while I struggle: I use JIRA and it keeps the domain name in its database for use when compiling it's URLs - thus it can only be accessed via a single domain.

    I had this working perfectly in DD-WRT by forwarding all TCP port 60000 requests to 10.0.0.15:8080. Sophos is not this simple - Please see the attached screenshots for my attempt to make this happen with DynDNS.

    EDIT: I am able to access JIRA remotely via DynDNS but it will not forward internal network packets - the browser keeps saying "Connecting..."
  • 0 in reply to SurveyAdvantage
    Try changing as indicated in the attached to External (WAN)
  • 0
    Remove that definition in "And the service to", you don't/shouldn't need that in there.  Every time I put something in that field, my connection fails.

    XG 19.5 GA 64-bit | Intel Xeon 4-core v3 1225 3.20Ghz
    16GB Memory | 500GB SSD HDD | GB Ethernet x5

  • 0
    Changing to WAN does not work and don't I need the "and the service to" as the incoming port is 60000 and the actual service port that is running is 8080?
  • 0
    If you are doing port translation, then "and the service to" is necessary.  In the custom service definitions you made, you should only be changing the destination port.  Leave the source port as the default 1:65535.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    Also, make sure that the initial destination (Going TO[:)] of the DNAT is the WAN interface address object, not a DNS hostname object. Using DNS hostname instead of an interface address in that field tends to throw DNAT for a loop.

    The template I use for mimicing Port Forwarding is really simple:

    Source: Any
    Service: (whatever)
    Destination: WAN Interface Address

    New Destination: Internal IP Address
    New Service: (leave blank fs the service is the same otherwise the new service definition)
  • 0
    Based on everyone's input I have come up with the following configuration that still allows EXTERNAL access to JIRA but I can not access JIRA (10.0.0.15:8080) internally by (http://surveyadvantage.is-uberleet.com:60000/).

    Please see my attached screenshot.

    Please help me, I need this working by yesterday! If I can't get it running in short time my boss is going to tell me to scrap the whole project can go back to running the office off a d-link router bought from staples! This is the only issue left!

    Note: I _AM_ able to access JIRA internally via http://surveyadvantage.is-uberleet.com:8080/ but not http://surveyadvantage.is-uberleet.com:60000 as required (p60000 is accessible EXTERNALLY though.)
  • 0
    To acces that Url by its external IP address you have to setup a second full nat for internal clients.

    Can't do a walk through as I'm on the road today but somebody can hopefully chime in with a template.
  • 0
    If you need to access your public hostname from the inside while NATTING back to the inside server you need a Full-NAT rule as TheDrew already explained, something like:

    For traffic from: Internal (Network)
    Using service: 
    going to: External (WAN Address)

    Change destination to: 
    And the service to: 

    Change the source to: Internal (Address)
    And the service to: 

    And you may want to tick "Automatic firewall rule"

    Managing several Sophos UTMs and Sophos XGs both at work and at some home locations, dedicated to continuously improve IT-security and feeling well helping others with their IT-security challenges.

    Sometimes I post some useful tips on my blog, see blog.pijnappels.eu/category/sophos/ for Sophos related posts.

Unfiltered HTML