Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 29 replies
  • Subscribers 2 subscribers
  • Views 38940 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Additional Addresses/Aliases - No ping and also no DNAT

Sasben
Hi guys,
I am quote familiar with Astaro/Sophos UTM and helped someone swap out a an older ASA that was breaking with Sophos UTM 9.

They have multiple public addresses from their ISP. I setup the WAN interface with their IP, Subnet and GW. It can be pinged from an external source and packet filter rules work as expected.

I then setup an additional address on the WAN interface, i can see it come up and it also is listed when using "ip addr" in the shell. I can ping it from inside the network no problem.

It doesn't respond to pings from an external network (this could be the same as say a SonicWALL which also does this), or like the ASA which responds to ICMP. I also tried a packet filter rule to allow pings, but no luck.

Thinking it was like the SonicWALL and that is doesn't respond, I created a DNAT rule to a simple web site internally but this fails and there are no drops i the packet filter logs.

I also tried using /32 subnet mask on that additional address.

Any ideas?


This thread was automatically locked due to age.
Parents
  • 0
    Please [Go Advanced] and show a picture of the Additional Address definition.  Also, confirm that the new destination in the DNAT is a definition with 'Interface: >' - that it is not bound to a specific interface.

    Cheers - Bob
  • 0 in reply to BAlfson
    Also, confirm that the new destination in the DNAT is a definition with 'Interface: >' - that it is not bound to a specific interface.

    Cheers - Bob


    Bob,
    The DNAT doesn't let you select Interface: >, you can select Any, but I have competing HTTP DNAT entries, so the primary IP (that does ping) is getting the traffic always anyway).

    I can select the IP address of the additional e.g. External WAN (x.x.x.x) Address
Reply
  • 0 in reply to BAlfson
    Also, confirm that the new destination in the DNAT is a definition with 'Interface: >' - that it is not bound to a specific interface.

    Cheers - Bob


    Bob,
    The DNAT doesn't let you select Interface: >, you can select Any, but I have competing HTTP DNAT entries, so the primary IP (that does ping) is getting the traffic always anyway).

    I can select the IP address of the additional e.g. External WAN (x.x.x.x) Address
Children
No Data