Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 2 subscribers
  • Views 5298 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Two IP's for Single WAN

Airtime
I have an interesting problem. Our ISP has only provided us with a single active ethernet port that we connected to the WAN of our Sophos UTM 220. I've been trying to install a PBX (from another company) that requires a fixed IP on it's own WAN connection.

I was hoping to be able to direct traffic for this second IP (different from the one assigned to the UTM) over the same WAN on the UTM so that I could have both be available on one ethernet line. Does anyone have any good ideas for how to do this, I haven't been able to figure it out.


This thread was automatically locked due to age.
Parents
  • 0
    From what I've been thinking. I would want to redirect all traffic destined for the public PBX IP to the internal IP using a DNAT (if it won't disrupt outbound from the PBX). I've been looking at the DNAT settings, but I don't see a way to do it for all traffic, rather than just one service.

    As for Network Security VOIP, I though that service was for the internal network to designate a PBX that clients (phones) could connect to. Is that not the case?

    The UTM is on 8.506 and the PBX is a Samsung. Unfortunately I'm not given access to the PBX, just told to get it on the network so it can be administered remotely.

    The setup would be something like this:
    Outside traffic to the PBX IP would be routed to the WAN interface on the PBX which would be directly connected to a port on the UTM.
    Outgoing traffic from the PBX meant for the outside would do a similar thing in reverse.
    Internal traffic (phones, etc.) would be on a Vlan (40) and connect to the PBX on it's internal interface, which would be connected directly to a switch and also be on the same Vlan.
  • 0 in reply to Airtime
    From what I've been thinking. I would want to redirect all traffic destined for the public PBX IP to the internal IP using a DNAT (if it won't disrupt outbound from the PBX). I've been looking at the DNAT settings, but I don't see a way to do it for all traffic, rather than just one service.


    Hi,

    You should be able to use the 'ANY' service definition in the DNAT.


    As for Network Security VOIP, I though that service was for the internal network to designate a PBX that clients (phones) could connect to. Is that not the case?


    Its primary use is for internal VOIP devices which make connections to the internet. 
    My experience is using it with SIP phone devices, but I believe it should work with at least some PBX's.

    Note that you don't need a DNAT if the VOIP Security setup works with your PBX. (although you would need a DNAT (for certain ports) if there's an admin interface that needs to be managed remotely.)
    If the VOIP Security functions don't work, use the DNAT, and an SNAT or MASQ for the outgoing traffic, and make sure you setup PacketFilter rules for both directions as well (or use the 'Auto PacketFilter Rule' option in the NATs).


    The setup would be something like this:
    Outside traffic to the PBX IP would be routed to the WAN interface on the PBX which would be directly connected to a port on the UTM.
    Outgoing traffic from the PBX meant for the outside would do a similar thing in reverse.


    Right, either using NATs or the VOIP Security.

    Internal traffic (phones, etc.) would be on a Vlan (40) and connect to the PBX on it's internal interface, which would be connected directly to a switch and also be on the same Vlan.


    Sounds fine. The internal traffic wouldn't pass through the firewall if everything's on one VLAN.

    Barry
  • 0 in reply to BarryG
    Hi,

    You should be able to use the 'ANY' service definition in the DNAT.



    Barry,
    I can add the SIP clients (phones) and the internal interface of the PBX to the VOIP security settings, although I'm not sure this would do anything since everything is on the internal network.

    My real challenge is getting the PBX set up so that requests to its IP can travel through the firewall and straight to PBX. I've tried using the "any" service definition in the DNAT settings, but I get the "cannot map all services to one" error. Am I doing it incorrectly?
Reply
  • 0 in reply to BarryG
    Hi,

    You should be able to use the 'ANY' service definition in the DNAT.



    Barry,
    I can add the SIP clients (phones) and the internal interface of the PBX to the VOIP security settings, although I'm not sure this would do anything since everything is on the internal network.

    My real challenge is getting the PBX set up so that requests to its IP can travel through the firewall and straight to PBX. I've tried using the "any" service definition in the DNAT settings, but I get the "cannot map all services to one" error. Am I doing it incorrectly?
Children
No Data