Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 5308 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

routing order

liug
I have wan1 (default route), wan2, dmz1, dmz2 and internal.
I want all the web traffic from internal to Internet go via wan2, so I add a policy routing
src: internal network
dest: any
service: 80
gateway (going via wan2).

I also create an SNAT to NAT the internal network to wan2 IP, when access service 80.

Everything seems to work fine, except now I can't access my own web server in the dmz anymore.

I do have static routes (no NAT) to connect internal to dmz, but it seems the policy route took over, or maybe the SNAT is creating trouble?

Any thoughts?


This thread was automatically locked due to age.
Parents
  • 0
    My guess is the SNAT; you probably should change it to check the destination "Internet" instead of "ANY".

    If that doesn't help, post the SNAT settings here.

    I'm not really sure you need the SNAT though.

    Barry
  • 0 in reply to BarryG
    "Internet" is defined/associated with wan1 NIC. Can I use it with wan2 NIC?

    I guess SNAT is needed, or else how can the internal private IP see the outside world?
  • 0 in reply to liug
    Hi,

    I think you will find that the access failure for your DMZ is caused by the routing sending the traffic out wan2 with no option of a higher PF rule to direct the traffic to your local server in the DMZ.

    you might consider  PF or routing with 2 rules, first one for your DMZ and the next one for your wan2.

    Ian M
Reply
  • 0 in reply to liug
    Hi,

    I think you will find that the access failure for your DMZ is caused by the routing sending the traffic out wan2 with no option of a higher PF rule to direct the traffic to your local server in the DMZ.

    you might consider  PF or routing with 2 rules, first one for your DMZ and the next one for your wan2.

    Ian M
Children
  • 0 in reply to RFCat_vk_01
    Hi,

    I think you will find that the access failure for your DMZ is caused by the routing sending the traffic out wan2 with no option of a higher PF rule to direct the traffic to your local server in the DMZ.

    you might consider  PF or routing with 2 rules, first one for your DMZ and the next one for your wan2.

    Ian M


    I thought routing order was static route, policy route and default route. I just did some checkings/readings and it turned out the correct order should be policy route, static route, default route. The explains why the wan2 policy route "short circuited" the static route to DMZ. 
    I just added another policy route for DMZ before the one for wan2 as you suggested. All is good now. Thanks!