Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 3016 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM with all interface inside the LAN...

nda
Hi,

We are evaluating UTM9 as web proxy /filtering only.
For now we have 2 different proxy (Ms ISA 2006) dispatching user to 2 different leased line. Both proxy are in the LAN with only one interface, the Checkpoint firewall manage the routing to the routers.
We have remote sites on different subnet accessing those proxies.
I tried to setup the UTM with all interface on the LAN but other subnet are then not able to access it as the internal interface doesn't have a gateway.
Even if i put the 2 external interface in another range, i can't figure out how to reach all internal subnet from the utm as i can't add a gateway on the internal interface.

Interface config: 
interface address object type (interface_address)

name	IPv4 address	IPv6 address	comment

External (WAN) (Address)	172.16.244.203	::	Address of interface "External (WAN)"

External ADSL (Address)	172.16.244.204	::	Address of interface "External ADSL"

Internal (Address)	172.16.244.202	::	Internal Address

interface network object type (interface_network)

name	IPv4 address	IPv4 netmask	IPv6 address	IPv6 netmask	comment

External (WAN) (Network)	172.16.0.0	16	::	0	Attached network of interface "External (WAN)"

Internal (Network)	172.16.0.0	16	::	64	Internal Network

External ADSL (Network)	172.16.0.0	16	::	0	Attached network of interface "External ADSL"



interface group object REF_UplinkInterfaces

member list (members)

ethernet standard interface object "External (WAN)"

ethernet standard interface object "External ADSL"

address list (primary_addresses) = network group object "Uplink Primary Addresses"


To dispatch web traffic to the right Leased Line, I define a multipath rule as follow: 
Accès Internet VIP (User Group Network) 	→		Web Surfing 	→		Internet IPv4 	→		Belnet 


access from any computer in the 172.16.244.0 range is ok but not from 172.16.222.0 for example. The GW is 172.16.244.210 (but can't be added on the internal interface...)

Does anyone see how we can manage this??? Is it possible to setup all off this with only one interface on the UTM??? (don't think so...)

Nicolas


This thread was automatically locked due to age.
Parents
  • 0
    Hi Barry, Hi Bob,

    Thanks for trying to help.
    Our goal is to replace our 2 old Ms ISA 2006 Web proxies. 
    These are standalone servers on our LAN with one NIC, one IP. We have 2 Internet connection with a checkpoint firewall between the LAN and the routers. For now each proxies have the Firewall as gateway and the firewall redirect the request to the right Internet connection.

    I wanted to use the "Uplink balancing" capabilities of astaro instead of doing this on our main firewall (only the security admin have admin right on the Checkpoint). That's why i added 2 WAN interface. If i can do the same with only one interface it's OK for us.
    For now it work fine like this when we are on the same LAN as the Astaro. But we have remote sites connected behind the firewall. I'll try to add a network diagram as it's quite complex [[;)]]
    When that work, we would like to setup the multipath rules, but it's for a second step [[;)]]
Reply
  • 0
    Hi Barry, Hi Bob,

    Thanks for trying to help.
    Our goal is to replace our 2 old Ms ISA 2006 Web proxies. 
    These are standalone servers on our LAN with one NIC, one IP. We have 2 Internet connection with a checkpoint firewall between the LAN and the routers. For now each proxies have the Firewall as gateway and the firewall redirect the request to the right Internet connection.

    I wanted to use the "Uplink balancing" capabilities of astaro instead of doing this on our main firewall (only the security admin have admin right on the Checkpoint). That's why i added 2 WAN interface. If i can do the same with only one interface it's OK for us.
    For now it work fine like this when we are on the same LAN as the Astaro. But we have remote sites connected behind the firewall. I'll try to add a network diagram as it's quite complex [[;)]]
    When that work, we would like to setup the multipath rules, but it's for a second step [[;)]]
Children
No Data