Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 24 replies
  • Subscribers 2 subscribers
  • Views 6484 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Routing/access problem that just showed up with 7.401

predatorsw
I have a 320 that I just upgraded to 7.401 (from .3 something) and I have a problem getting people from inside our network to be able to see our own website.

We have a unique IP addy for the website that resolves to 66.213.240.155. I have the firewall automatically route via DNAT from any http destination 66.213.240.155 to our internal dmz located webserver at 10.2.1.80.

From the internal network (10.2.2.X) I can nslookup and resolve correctly and I can ping it. I've viewed the packet rules using live log and nothing is getting fired when trying to view the website. I also get nothing by trying to directly connect to http://66.213.240.155. I can't telnet into that address at port 80 either.

I've got three network plugs, internal (10.2.2.X), dmz (10.2.1.X) and internet with all of our public IP addy's connect directly to our T1 CSU/DSU.

This just stopped working with our upgrade to 7.4.

I'm a bit at a loss as to why this suddenly stopped working and how I can try to figure out what is going on.


This thread was automatically locked due to age.
Parents
  • 0
    Is 66.213.240.155 your primary firewall external interface, or an "additional" address, or ?

    Barry
  • 0 in reply to BarryG
    Try opening the DNAT definition and resaving it - another user reported that that solved a similar problem.  You might try the same with your masq rule.  Good question, Barry.

    Cheers - Bob
  • 0 in reply to predatorsw
    Just to clarify my network a little. I'm using three network plugs on my ASG:

    dmz -> 10.2.1.X
    internal -> 10.2.2.X
    internet -> our fancy inet addy's

    and simply want the users on the internal leg of our network to be able to browse our ftpwebserver using our official FQDN. and subsequently our official internet addy's.

    I have dnat setup for ANY HTTP ->  -> 

    So for folks on the internal network the connection runs 10.2.2.X -> 10.2.2.1 (ASG's addy) ->  ->  and theoretically back again.

    Is this making things clearer?
  • 0 in reply to predatorsw
    Hi there, 

    Yes it i, but i still have a view questions.
    Are the internal users use the HTTP proxy?
    Do you use the proxy in Standard/Transparent/User Auth mode? 

    I have a feeling what it could be, can you do me a favor and test if the setup works, if you disable the http proxy and your internal users surf directly through the DNAT to the DMZ?
    please make sure that the webserver has set it's default route back to the ASG interface.

    thanks Gert
  • 0 in reply to Gert Hansen
    http proxy is set to transparent, and yes the internal network is using it.

    I'll play with the other settings as suggested and see what's up.
  • 0 in reply to predatorsw
    Hi,

    i am just walking through the changes for 7.400 and 7.401 in regards of NAT. 
    Do you use a Service or Network group object in DNAT/SNAT/FullNAT?

    thx Gert
  • 0 in reply to Gert Hansen
    http proxy disabled, full nat disabled and it doesn't work. I was having problems with FTP also.

    I'm not using any grouping with dnat/nat
  • 0 in reply to predatorsw
    now that is strange, i didn't expect this.

    I think i can better help you, if you send me a Confid-Dump package. 
    You get that in WebAdmin > Support > Advanced > Confid Dump. 

    It includes, low-level nat and filter rules, as well as routing and interface configuration. That should be enough to understand what goes wrong. 
    You can send me that via Email.

    thanks
    Gert
  • 0 in reply to Gert Hansen
    I look forward to learning what Gert has seen here.  In the meantime, it seems like the easiest thing to do would be to get rid of the full NAT and just add a static DNS entry to the Astaro that associates the FQDN of the ftpwebserver to its 10.2.1.x address.

    Cheers - Bob
    PS I'm confused by Gert's implication that a DNAT for traffic 'Any -> HTTP -> [External IP for server]' to '[Private IP for server]' would work with traffic from 'Internal (Network)'.
  • 0 in reply to predatorsw
    http proxy disabled, full nat disabled and it doesn't work. I was having problems with FTP also.

    I'm not using any grouping with dnat/nat


    Do you have Masquerading setup for the LAN->EXT?

    Barry
  • 0 in reply to BarryG
    Yes, masq internal to 

    The web site is at another address that is an additional addy on the same plug. 

    Gert appeared to have spotted something yesterday but I haven't heard back. Hopefully he'll chime in shortly.
  • 0 in reply to predatorsw
    Gert?

    /taps mic

    Is this thing on?

    /taps mic
Reply Children