Need help adding static route

Routing always goes both ways; do you also have a route back (or default gateway) so the FIOS network can reach the UTM? Also the UTM firewall rules should allow the traffic you need since by default everything is blocked.
What exactly isn't working?
If you want this:

internet - sophos - verizon (actiontek) - 192.168.0.0/24

And you want 192.168.0.0/24 be able to reach internet through Sophos UTM then you will also need to create a Masquerading (or NAT) rule for this subnet.

I do have an interface on the FIOS, I have the WAN port on that router set statically to 192.168.2.2 (which is on the internal network).  The static route I created *should* have a route back to 192.168.0.0 with 192.168.2.2 as the gateway (at least that is what I defined).

Assuming that is correct what in addition to the static route do I have to do?  I think you are saying I have to do #1

1.) Masquerading rule: FIOS Network -> WAN with >

(I just copied that from the default masquerading rule that allows int -> ext)

Do I have to create something to allow my FIOS to communicate with my INT network?  Because even that is not working.

Also other than the masquerading rule do I have to create a firewall rule?

Sorry for all of the dumb questions.

There are no dumb questions....
You have to make firewall rules for every kind of traffic that needs to be allowed, since otherwise it's just disallowed, so yes, you will need a rule for FIOS to your internal network (and vice versa) if they need to be able to communicate with each other. If they are both "trusted" you could add FIOS -> Internal -> Any -> Allow and Internal -> FIOS -> Any -> Allow.

Hi, ccity, and welcome to the user BB!

I'm not sure I understand your topology.  You will be better off if you turn your wireless router into a wireless access point behind the UTM.  Also, you will simplify your life by making sure that any WAN connections on the UTM have a public IP, so any modem should be in bridged mode.

Cheers - Bob

Thanks guys, I really appreciate how helpful you have been.  Maybe I can try to explain a little better.  

  I have a standard setup working well, I have the UTM box routing between my main subnet (192.68.2.0/24) and the Internet and that is working fine. I have my old wireless router serving as an access point attached to my main switch and wireless devices can get IPs and access the Internet no problem.

What I want to add is a 2nd router that will have behind it a separate lab network.  (192.168.0.0/24) I plan to use the FIOS Actiontek router to route out of this network to the 192.168.2.1 interface on the SOPHOS UTM box to allow some of those isolated lab machines to access the Internet for patches, etc.. I want the lab network to remain completely isolated so that it can run its own DHCP server, etc...(If I had a 3 NIC on the SOPHOS box this would much easier)

I did this previously by giving the WAN interface of the FIOS router an IP on the Internal network (192.168.2.2) and pointing pointing that at 192.168.2.1 as its gateway.  I then had to create a static route back to the 192.168.0.0/24 network with a GW address of 192.168.2.2  for the route back.   This was previously created on my ASUS router and worked fine to route traffic out of the 192.168.0.0/24 network but I cannot recreate this scenario with the Sophos UTM box.

I have created a static gateway router and the following firewall rules

1.) Internal (Network) -> Any ->FIOS
2.) FiOS (Network) -> Any -> Internal
3.) I also made a masquerating rule similar to the INT-EXT one but in this case it was FIOS-> EXT

None of these things appear to have made it work, things on the 192.168.0.0/24 network cannot get to the Internet.

Network Diagram?

Hi Ccity,
I think are confusing thing by calling them routes. On a UTM routes are configured in the routing tab, what you are doing is adding rules.

Basically you need internal network -> any ->allow -> any
then an masq of internal network -> external interface.
each interface needs a unique address/range.

What connects you to the internet/isp?
Your network appears to be on the large side? 

Ian

OK guys, I did a quick network diagram.  Basically my main issue is the machines on the 192.168.0.0 network cannot get to the 192.168.2.0 network or the Internet.  

Let me know if that helps.

And to answer the other questions:

1.) I am aware of the difference between a route and firewall rules, I think maybe I wasn't clear that the 192.168.0.0 network is NOT an interface on the UTM box, if I had a 3rd NIC on the UTM box then yes this would be much easier.  I basically have 2 routers in the environment.

I have attached a screen shot of the two rules I created.  Note the FIOS network is the 192.168.0.0 network and is a defined network not an interface on the UTM.

I'm not sure what your second firewall rule is.  I assume that "FiOS" means 192.168.0.0/24.  In any case, this is already covered by the first rule.  It's confusing that you named that "FiOS" as FiOS is a type of WAN connection.  I would rename that to "LabNet," for example.

Is your diagram correct?  I assume that the LAN interface for the Actiontek is 192.168.0.1 with a netmask of 255.255.255.0 and no default gateway.  I assume that the WAN interface for that device is 192.168.2.2 netmask 255.255.255.0 and default gateway of 192.168.2.1 (the IP of "Internal (Address)" for the UTM).  I assume that you don't have a masquerading rule in the Actiontek.  No additional routes are needed in the Actiontek and I assume it's not applying any firewall rules.

The only masq rules should be in the UTM. 'Internal (Network) ->External' and 'LabNet -> External'.  You need an additional firewall rule: 'LabNet -> Any -> Internet : Allow'.  Finally, you need one static gateway route: 'LabNet -> {192.168.2.2}'.

If you don't want to allow devices in the LabNet to see devices in "Internal (Network)," make sure there's no device with an IP of 192.168.2.3 and change the netmask for the WAN interface of the Actiontek to 255.255.255.252.

Cheers - Bob