Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 2 subscribers
  • Views 3378 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Let outside network in

Envirus
I've got a bit of an odd situation.  I'm part of a small company in a satellite office. We used to have our own internet connection and after several issues with users certain social websites and some internet bugs we installed a box with UTM9 and it has worked great.  However, our main office is now supplying us with internet through MPLS and after talking to IT there, they aren't willing to filter anything for me.

In order to put the UTM9 box back in place IT has to be able to come through to perform maintenance on our local computers as well as connect our mobile users to our shared files.  So far I can get internet and I can see the network at our main office, but they can't see past the UTM9 box.

The main office runs on a 192.168.254.x scheme and we're running on 192.168.2.x I was able to see them by creating a firewall rule allowing any traffic to pass between the 2 networks.  How do I allow them to see through to me?


This thread was automatically locked due to age.
  • 0
    since you are connected to the main from the WAN interface, UTM will consider like Internet the main office too
  • 0
    Hi,

    Please post your firewall rule.

    I assume the UTM is the default gateway for the PC.

    Barry
  • 0 in reply to BarryG
    Hi,

    Please post your firewall rule.

    I assume the UTM is the default gateway for the PC.

    Barry


    Source: Internal network (192.168.2.0/24)
    Service: Any
    Destination: Main Office Network (192.168.254.0/24)
    Allow
    Log

    I created an additional rule flipping the positions of the networks.  However, it didn't appear to make a difference.

    UTM is set as the default GW for computer.
  • 0
    Hi,

    are your offices located in the same building so that you don't need a vpn?

    If they are located in the same building, maybe some routing is needed from the main office. Can you create a little drawing of the structure with the involved networks and devices?

    Regards
    Manfred
  • 0 in reply to Hallowach2
    Hi,

    are your offices located in the same building so that you don't need a vpn?

    If they are located in the same building, maybe some routing is needed from the main office. Can you create a little drawing of the structure with the involved networks and devices?

    Regards
    Manfred


    We are in separate cities.  Currently we have 2 T1 lines that come into an adtran box that feeds a Cicsco router and our phone system.  The router feeds the switch that feeds the office.  The Adtran and Cisco devises belong to our ISP.
  • 0 in reply to Envirus
    Source: Internal network (192.168.2.0/24)
    Service: Any
    Destination: Main Office Network (192.168.254.0/24)
    Allow
    Log

    I created an additional rule flipping the positions of the networks.  However, it didn't appear to make a difference.

    UTM is set as the default GW for computer.


    Hi, you probably need both rules, if you want the main office to be able to access your network.

    See if you can ping both ways (enable Ping through Firewall or Firewall Forwards Pings on the ICMP page).

    Check the PacketFilter and IPS logs.

    Barry
  • 0
    Hi, Envirus - welcome to posting in the forum after several years!

    I think Manfred was asking about the IPs because he suspects that it's a routing issue in the main office.  If you have no more direct internet connection, you'll probably need to bridge Internal and External and change the default gateway of the Astaro to the IP of your MPLS connection.  It's hard to say without seeing the diagram Manfred suggested.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi, Envirus - welcome to posting in the forum after several years!

    I think Manfred was asking about the IPs because he suspects that it's a routing issue in the main office.  If you have no more direct internet connection, you'll probably need to bridge Internal and External and change the default gateway of the Astaro to the IP of your MPLS connection.  It's hard to say without seeing the diagram Manfred suggested.

    Cheers - Bob


    Sorry, I don't think understood the full depth of the question.  I have enough IT knowledge to be useful (dangerous), but as it's not my day job I am lacking in understanding in some areas.

    We used to connect via VPN, the MPLS was supposed to replace it as a more stable with higher connection speeds.  I'm not sure of the hardware on their end, but I can make some inquiries.  I'm unsure of what needs to be in the diagram.  That's why I listed my offices hardware. I have attached a diagram of what I know.

    My external interface is currently set to ethernet standard with IPV4 set to 192.168.2.2 and the IPV4 GW set to 192.168.2.1.  Without UTM in place my main office can access all the PC's in the office fine, so it seems that a UTM configuration would be in order to me.  What is the outcome of bridging the connections?
  • 0 in reply to BarryG
    Hi, you probably need both rules, if you want the main office to be able to access your network.

    See if you can ping both ways (enable Ping through Firewall or Firewall Forwards Pings on the ICMP page).

    Check the PacketFilter and IPS logs.

    Barry


    Barry

    I enabled the second rule as you advised and and turned on all the features Ping settings and ICMP settings on the ICMP tab under firewall.  Unfortunately I had the same outcome.  I can ping out on the the other network successfully, but they can't ping anything behind the UTM box.

    Looking through the IPS and firewall logs I couldn't find any listings for an IP address of the main office's scheme trying to come in.  Only me going out.
  • 0
    Hi, the main office may be missing a defined route to your office network.

    Barry