Local network unable to view DMZ webpages

Bob/Chris, Thank you both for your help. I think the Knowledge Base article is putting me on the right track to getting this resolved. I have tried both options from within it and although I haven't hit the right combo yet, I think it is just a matter of time... (One of my experiments returned an SSL connection error which was different from what I was getting before and why I think this is pointing me down the right path). Prior to working off the article, I tried enabling masquerade without success and didn't see anything in the IPS log. In the DMZ are 3 boxes, running apache/iis/lansa all on port 443 only. Had a different appliance on this network that had this config working so I have to believe it is in my new config on the Astaro. Anyway, I think you guys have me going in the right direction and I will let you know what the correct combo is when I hit it. Thank you, B

Bernie,

Good luck.  I'm sure you'll get it before long.  Just check to make sure that the URL is pointing to the real address of the web server as Bob's response suggests.  While the knowledge base article is typically correct, it doesn't account for network deployments that aren't set to forward to the firewall for DNS resolution.  So, say you had your own DNS server on site through Active Directory or what-have-you.  Unless the forwarder in that DNS server is set to your firewall (and not your ISPs DNS or Root Hints), adding the static DNS entry that changes the URL of the site to point to the real DMZ IP likely will not work unless you enforce it on the additional DNS server itself.

So, quick check from a client.  If ping (or nslookup) yourwebserverurl.whatever does not equal 10.X.Y.Z and instead equals a 69.X.Y.Z address then your client is in fact traversing the firewall to reach the External interface only for the firewall to route it back through to the DMZ.  This generally doesn't work from a routing standpoint, much less when using any form of NAT on top of it.  This type of connection is referred to as NAT Hairpinning and I don't think Sophos supports it.  Though quite a few of the SOHO routers you can purchase do.

Bernie,

Good luck.  I'm sure you'll get it before long.  Just check to make sure that the URL is pointing to the real address of the web server as Bob's response suggests.  While the knowledge base article is typically correct, it doesn't account for network deployments that aren't set to forward to the firewall for DNS resolution.  So, say you had your own DNS server on site through Active Directory or what-have-you.  Unless the forwarder in that DNS server is set to your firewall (and not your ISPs DNS or Root Hints), adding the static DNS entry that changes the URL of the site to point to the real DMZ IP likely will not work unless you enforce it on the additional DNS server itself.

So, quick check from a client.  If ping (or nslookup) yourwebserverurl.whatever does not equal 10.X.Y.Z and instead equals a 69.X.Y.Z address then your client is in fact traversing the firewall to reach the External interface only for the firewall to route it back through to the DMZ.  This generally doesn't work from a routing standpoint, much less when using any form of NAT on top of it.  This type of connection is referred to as NAT Hairpinning and I don't think Sophos supports it.  Though quite a few of the SOHO routers you can purchase do.