Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 2 subscribers
  • Views 170240 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Email Server Behind Sophos UTM 9 (Essentials)

Vin_Tanner
Hi All,
I must join the large number of converts to Astaro/Sophos who are having trouble with NAT (or so I believe). 

I am running the Virtual Appliance on the same physical server that I am running my virtual email server on if that makes a difference.

I defined my email server during setup.
Zimbra Mail Server
Host
192.168.x.x

I created an alternate external IP address to connect to my email server like so many of the posts and tutorials suggested.

I created a DNAT
Rule Type: DNAT (Destination)
For Traffic From: Any
Using Service: Email Messaging (Also attempted to simply allow any)
Going To: External Alternate IP

Changing the Destination To: Zimbra Mail Server
And the Service To: blank

I have tried checking off the Auto Create rule line and tried not checking it

I am familiar with basic networking and port forwarding on Routers and simpler firewalls like Smoothwall Express, but after 3 days, Astaro/Sophos UTM has kicked my rear. I would like to look at subscribing to some of the features, but right now I cannot get it to function with what I have. Any help would be greatly appreciated. 

PS I don't mind reading and learning more about this so I can understand it better, but I have searched for 3 days online and on this forum, and have not found anything like my situation, even though it seems simple.


This thread was automatically locked due to age.
  • 0 in reply to BAlfson
    Yes, I am using Sophos UTM 9 (Essentials, don't know if that makes a difference or not) running firmware version 9.003-16
  • 0
    I do not have the option in the Masquerading section

    Essentials

    The Essential Firewall is better than the Windows Firewall, but its capabilities are limited.  Apparently, masqing is limited in this case to the primary address - is it even possible to create an Additional Address?  I know that other NAT rules, as suggested earlier in this thread, are not supported without a subscription for Network Protection.

    Cheers - Bob
  • 0 in reply to BAlfson
    I have tried several times to get in touch with people to see if I could afford a subscription to several modules, but have yet to hear back. Tried emailing twice, and calling once. Probably just because it is around the holidays here in the US.

    It absolutely allowed me to create an alternate address. That would be a bummer if it lets you create it, but won't let you use it in the essentials version. Think I could get it working if the Firewall had the email IP? Rather than trying to use an alternate? I was looking forward to using astaro, but so far I haven't had much luck in getting it to work. [:(]

    ***Edit, missed your comment on the Windows Firewall. I can understand them limiting the capabilities for free, but my home router can port forward to allow the email server to work, as well as Smoothwall Express (what I was using previously) can allow it. Is this even possible to do with Essentials? Should I just ditch it for now?
  • 0
    is this for home or business?  if home a home license open up everything for free..if business pm me i can give you quotes..[:)]
  • 0 in reply to William Warren
    It is for business. I'd like to be able to actually see it working before buying, but I have heard a lot of good things about Astaro/Sophos. I'll PM you about it.
  • 0
    well then why don't you get a trial license from a partner provided you are really interested in buying?  using the mail server behind essentials is a different config than the mail security license...[:)]
  • 0
    Mostly Solved!

    After finding out that the subscriptions are a bit out of my reach right now, I went back to the problem of getting my email server to work behind Sophos Essentials I have gotten it mostly working.

    In case anyone reads this with the same problem as me. The final configuration that works is as follows. 

    The external address for the firewall is set to x.x.x.101 (Was told alternate IP's do not work on Essentials, I have not tested that.)

    I then created a FULL NAT rule for each port listed on Zimbra's Wiki.

    Rule Type: Full NAT (Source + Destination)

    Matching Condition
        For traffic from: Any
        Using service: SMTP
        Going to: External (WAN) (Address)

    Action
        Change the destination to: Zimbra Mail Server (Internal IP)
        And the service to: SMTP
        Change the source to: External (WAN) (Address)
        And the service to: SMTP

    Automatic Firewall rule (Checked)

    Repeat that for each Port/Service listed. It takes a little while, but this started my email flowing again. Any email clients seem to do just fine, while webmail is very slow and frequently times out. Whether that is due to a firewall setting, or simply the firewall running on the same server I do not know.
  • 0
    Vin, it's easier than that as you only need a single DNAT rule:

    Rule Type: DNAT (Destination)
     
    Matching Condition
     For traffic from: Any
     Using service: {Zimbra services}
     Going to: External (WAN) (Address)
     
    Action
     Change the destination to: Zimbra Mail Server (Internal IP)
     And the service to: {leave blank}

     Automatic Firewall rule (Checked)



    Cheers - Bob
  • 0 in reply to BAlfson
    Vin, it's easier than that as you only need a single DNAT rule:

    Rule Type: DNAT (Destination)
     
    Matching Condition
     For traffic from: Any
     Using service: {Zimbra services}
     Going to: External (WAN) (Address)
     
    Action
     Change the destination to: Zimbra Mail Server (Internal IP)
     And the service to: {leave blank}

     Automatic Firewall rule (Checked)



    Cheers - Bob


    Bob,

    I have this exact rule setup and in the log the firewall (sophos utm120) does not even recognize the traffic. If I have the rule forward the traffic to the interface ip (not additional) it forwards. Any idea?