Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 2 subscribers
  • Views 3420 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

dyn/static route on 2nd IF not working?

Mast_01
Hello,
i have the following issue: i need to access a host (***.98.202.53) that's behind an interface on my UTM box, the interface is 192.168.10.x/24 with a .254 as default gateway and is configured as DHCP client.
this IF is NOT set as default gateway(as it doesnt has access to anything BUt that host)
on another interface i have the normal internet connection.

now, i have done the following:

[LIST=1]
  • Configured the interface "private" as DHCP client, it gets IP 192.168.70.2/24
  • Made a host definition for that IF GW (192.168.0.254) bound to the "private" IF
  • Made a host definition for the specific host (***.98.202.53) bound to the "private" IF as well
  • Made a PF rule allowing LAN->host
  • Made a policy route, type gateway, from LAN-> host, gateway "private GW"
[/LIST]

and it doesn't works, i can see a initial packet loaded in PF live log but no ping, no traceroute pass, if i traceroute from UTM itself it goes to internet, ping from lan or utm also fail.

I tried making a static gateway router, with same definition, no avail.

What am i doing wrong?, or the problem is not on my UTM and instead is a routing table issue on the .254 gateway?


This thread was automatically locked due to age.
  • 0
    One thing you shouldn't be doing is binding a host definition to an interface. That can call all manner of strange problems.
  • 0 in reply to TheDrew
    One thing you shouldn't be doing is binding a host definition to an interface. That can call all manner of strange problems.


    Why not?, it prevent that definition from being used on other interfaces i dont want(specially if it's a public IP).

    I forgot to add that i also tried leaving the bindings to "ANY" as a final test and the results didn't change
  • 0
    I'm not as well versed in the specifics as some others, BarryG and BAlfson spring to mind, but there are several threads on the forums where binding a definition to an interface has later on created problems with firewall rules and routing that was cleared up by removing the bindings. Binding does something to the router which can cause some very subtle and strange breakage.

    It's enough of an issue that Bob Alfson's rulz includes as rule #3 never to create a host/network definition that is bound to an interface.
  • 0
    Hi, 

    1. please reply, hit 'Go Advanced', and upload a network diagram.

    2. Are you saying the 'private' interface in the UTM is a DHCP client? That doesn't seem like a good idea.

    Barry
  • 0
    Barry, the private interface IS NOT the INTERNAL interface.
    urgh diagrams, i can never fin a good software to make them(not visio one).
    Here it is:
  • 0
    Mast, I'm confused.  I don't understand why you want to have a public IP on a device that only can be reached from your LAN.  I would think that you would configure an Additional Address on eth1 for that public IP and use a DNAT to get the traffic to your server.  Or, is the server also reachable from another internet connection and you just want your LAN to be able to reach the server?  Perhaps you can clarify the situation for us.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Bob,
    i dont have control over that host or the firewall, they belong to another company.
    the IP is indeed a public IP(why they chose that addressing is beyond me, but it can't be changed) but it's not reachable over internet(besides it being a secured private system).
    Hence it can ONLY be reached with that private line between buildings (a simple fiber optic link)
  • 0
    OK, I think I see now.  Remove the gateway from the eth2 interface definition. The only default gateway should be on the Internet connection. 

    Don't bind the host definition for 192.168.0.254 or for ***.99.202.53 to any interface.

    If that doesn't fix the problem, please attach a picture of your policy route open in edit mode. 

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Bob,
    there's no gateway defined on that interface, i posted it for clarity sake indicating that that's the gateway that needs to be used to access the host.
    i've removed all bindings and still doesn't works, i need to go onsite to test with a directly connected computer to that end and then i'll see
  • 0
    Well i just went to the site, connected the link to a computer and it worked perfectly, the issue then is in the UTM.

    as an extra note:
    no matter if i make a static route(metric 1/5), a policy route or enable/disable them, when i tracert the IP it goes UTM and then internet gateway, it's completely ignoring the policy route!.


    as you see the policy goes, from internal network, ANY protocol to carestream(the .53 ip) then use the 192.168.70.254 gateway to reach it
    making an interface route also doesn't works

    what am i missing?
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?