Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 3050 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Cannot access WAN from secondary interface

sdengscherz
Hello,


my Setup:

Interfaces
- if_wan: 10.50.18.16/26, default gw: 10.50.18.2
- if_lan: 10.50.13.29/24 (this is my internal network)
- if_lwl: 10.50.14.129/25 (this is my network for direct connected branch offices)

My problem is, i can reach my internal network 10.50.13.0/24 from the branch office network 10.50.14.128/25 and vice-versa, but i cannot reach external networks after my wan interface (parent company, internet, etc.).

The tracert from if_lwl net to an if_lan host correctly shows 10.50.14.129 as first hop and then the host in if_lan side.

Tracert from if_lwl net to the outside however stops at 10.50.14.129 as first hop.

I have a firewall rule to allow from if_lan net and if_lwl net to any. And no packets are blocked during a ping from an if_lwl host to external.


Anyone got any hints for me?

-sd


This thread was automatically locked due to age.
  • 0
    in webadmin settings what you have under allowed networks ?
  • 0
    Hi, 

    1. the branch offices are connected via dedicated lines, not VPNs, right?

    2. check the PacketFilter and IPS logs.

    3. Does whatever firewall or router in the branch office have static routes to go through the Astaro?

    4. a diagram might help us

    Barry
  • 0 in reply to BarryG
    Hi, 

    1. the branch offices are connected via dedicated lines, not VPNs, right?

    2. check the PacketFilter and IPS logs.

    3. Does whatever firewall or router in the branch office have static routes to go through the Astaro?

    4. a diagram might help us

    Barry


    hey there,

    1) yes the bo switches are directly connected with fo
    2) firewall logs show no packet drops when pinging from if_lwl to wan; ips is disabled
    3) as of 1) no routers present in the branch offices
    4) here you go :-)

    -sd
  • 0
    firewall logs show no packet drops when pinging from if_lwl to wan

    Ping behavior is regulated on the 'ICMP' tab of 'Firewall'.  I don't think the log shows pings blocked as a result of those settings.

    ips is disabled

    Anti-DoS also appears there.

    Can the branch offices ping the parent router?

    Cheers - Bob
  • 0
    For me it sounds like your masquarading settings are not correct. Can you check them and post a screenshot?
  • 0
    Hi, based on the network diagram, I think Masquerading should not be configured on the UTM220.

    Barry
  • 0
    Hello,


    @balfson:
    i can not only ping parent networks from if_lwl, i can't connect to servers either (citrix, smtp, ...). ips/flooding/... everything is disabled. the branch offices can't ping the parent router - however they can ping the external utm ip...

    @albeck/barryg:
    i have no masquerading/nat rules configured as i want the utm to act as router between the networks.


    -sd
  • 0 in reply to sdengscherz
    Well, as i look on the diagram, what I see, is, that your UTM and your parent router has the same interface IP 10.50.18.2/26. One of them should not have the *.2/26 but soemthing else in the /26 subnet.

    (edit: for my first post, haven't looked at the diagram, was on mobile, aber looking at it, it is clear that you need no masquarading, my bad.)

    edit2: 2 questions:

    1. To clear things up, how is your parent router connected to your UTM?
    2. Can you reach your parent router from if_lan, because you only marked in your diagram that you can't reach the parent router from if_lwl.
  • 0 in reply to Albeck
    Well, as i look on the diagram, what I see, is, that your UTM and your parent router has the same interface IP 10.50.18.2/26. One of them should not have the *.2/26 bute soemthing else in the /26 subnet.


    the if_wan has 10.50.18.16 - thats a mistake in the diagram
  • 0
    Hi,

    Check the logs again, and then you should start doing packet captures; see if the packets are entering and exiting the firewall correctly.

    Also consider opening a support case.

    Barry