Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 3188 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Full NAT not working on bridged Interface BR0 (Internal LAN)

ALTEMO
Hello,
I have the following problem with a installation of UTM 9.102-8

I have the internal Interface BR0 which is a bridge over eth0 and red13.
We do this because we need to forword EIB Electro Bus signals to another Building.

Now I have a Full NAT.
From: Any
Service: TCP 8010
To: WAN Adress

Destination Translation: Electro Server (192.168.153.90)
Destination Port: TCP 80

Source Translation: Internal Adress

This rule worked in 8.309 and 9.005, now with 9.102-8 it does not work anymore.

As soon as I delete the bridge, it works again.
After recreating the bridge nothing happens anymore.

I can see in the Webfilter that the NAT Rule is applied, but nothing happens.

How can I fix that?
Seems to be a problem with the UTM Software? 

Please help.


This thread was automatically locked due to age.
  • 0
    Altemo perhaps you've run afoul of what I call Rule #3:

    Never create a Host/Network definition bound to a specific interface.
    Always leave all definitions with 'Interface: >'.


    You can have routing problems if the Host definition for your Electro Server is bound to the Internal interface.  I have a funny feeling that V9 still has issues with bridged interfaces, but I don't think your problem is related.

    Cheers - Bob
    PS It's a good habit to leave a field empty if you're not making a change (port 8010).

  • 0
    Hello Bob,

    thank you for your reply.

    I have 3 different WAN inferfaces and every interface is listening on the port 8010, so I have to define it, or not?

    What do you mean with leaving 8010 emtpy?

    We are nating 8010 external to 80 internal.

    Regards,
    Dino
  • 0
    What do you mean with leaving 8010 emtpy?

    I just looked at the picture, Dino, and I see that you really did need to use 'Dienst ändern in: HTTP'.

    I have 3 different WAN inferfaces and every interface is listening on the port 8010, so I have to define it, or not?

    So, the Host definition for "Electro Server" has 'Interface: >'?

    Cheers - Bob
  • 0
    Yes, it is set to any.


    Sorry, I don't get it.

    The UTM is listening external to requests on Port TCP 8010 (Gira 8010 in the definition).

    Then it redirects internal to the IP of the Electrobus Server Port TCP 80.

    If I would not use this the Firewall would NAT to Port 8010 on the Electrobus Server which doesn't exist, the Electrobus Server runs HTTP Port TCP 80 only.
  • 0
    It's definitely time to get Support involved. I bet you have uncovered a bug. 

    What happens if you use a DNAT instead of a Full NAT?

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
  • 0
    The strange behavior is that the rule works from outside the network over WAN or 3G.

    Inside LAN it isn't working.
    It was working in 8.309 and 9.005 before.

    AS SOON AS I DELETE THE BRIDGE BR0 IT WORKS IMMIDIATLY!

    And yes, I guess this is a bug.

    As we habe no premium support I can not contact support only the distributor, which is anything else than good support, because I need to tell my story again from the beginning and they make man in the middle, so 50% gets lost...
  • 0
    To your question.

    DNAT mode also works from outside, not when I am logged into Wireless which is the Sophos Wireless Security.

    So FULL NAT and DNAT always work from External to Internal but never from LAN inside access, as long as BR0 is active.

    If BR0 is deleted all works perfectly, but I need the bridge because of the Multicasts for the EIB Electro Bus which doesn't work over PIM-SM.
  • 0
    Support could not help on this.

    Problem still there, I am still sure it is a bug.

    Any ideas?
  • 0
    Maybe your reseller can ask support to look into it further?

    Barry