Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 5308 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

routing order

liug
I have wan1 (default route), wan2, dmz1, dmz2 and internal.
I want all the web traffic from internal to Internet go via wan2, so I add a policy routing
src: internal network
dest: any
service: 80
gateway (going via wan2).

I also create an SNAT to NAT the internal network to wan2 IP, when access service 80.

Everything seems to work fine, except now I can't access my own web server in the dmz anymore.

I do have static routes (no NAT) to connect internal to dmz, but it seems the policy route took over, or maybe the SNAT is creating trouble?

Any thoughts?


This thread was automatically locked due to age.
Parents
  • 0
    The 'Internet' object is indeed bound to the interface with the default gateway, but you would be using it in the traffic selector portion of your route and SNAT, so that's what you would want if this is your problem.

    Maybe your problem is just be that you now need a static entry in DNS.  What do you mean by "web server in dmz now is inaccessible" - you can't browse to it by FQDN or by IP? 

    When you solve the problem, please post the resolution.

    Cheers - Bob
    PS FWIW, I think 290074 should work with the HTTP proxy disabled or enabled in any mode, but not having tried it myself, I'm ready for someone to explain to me why it wouldn't.
  • 0 in reply to BAlfson
    The 'Internet' object is indeed bound to the interface with the default gateway, but you would be using it in the traffic selector portion of your route and SNAT, so that's what you would want if this is your problem. 

    Tried using 'Internet' with route and/or SNAT, no luck

    Maybe your problem is just be that you now need a static entry in DNS.  What do you mean by "web server in dmz now is inaccessible" - you can't browse to it by FQDN or by IP? 

    "inaccessible" means it can't be connected at the network level, using IP and port (80).



    When you solve the problem, please post the resolution.

    Cheers - Bob
    PS FWIW, I think 290074 should work with the HTTP proxy disabled or enabled in any mode, but not having tried it myself, I'm ready for someone to explain to me why it wouldn't.


    When proxy is disabled, the outbound web traffic is SNATed, in this case, to the "wan2" public IP. It won't even touch the "wan1" public IP, but 290074 talks about traffic coming from "wan1" public IP (source), which only makes sense when you have the proxy running.
Reply
  • 0 in reply to BAlfson
    The 'Internet' object is indeed bound to the interface with the default gateway, but you would be using it in the traffic selector portion of your route and SNAT, so that's what you would want if this is your problem. 

    Tried using 'Internet' with route and/or SNAT, no luck

    Maybe your problem is just be that you now need a static entry in DNS.  What do you mean by "web server in dmz now is inaccessible" - you can't browse to it by FQDN or by IP? 

    "inaccessible" means it can't be connected at the network level, using IP and port (80).



    When you solve the problem, please post the resolution.

    Cheers - Bob
    PS FWIW, I think 290074 should work with the HTTP proxy disabled or enabled in any mode, but not having tried it myself, I'm ready for someone to explain to me why it wouldn't.


    When proxy is disabled, the outbound web traffic is SNATed, in this case, to the "wan2" public IP. It won't even touch the "wan1" public IP, but 290074 talks about traffic coming from "wan1" public IP (source), which only makes sense when you have the proxy running.
Children
No Data