Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 29 replies
  • Subscribers 2 subscribers
  • Views 38961 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Additional Addresses/Aliases - No ping and also no DNAT

Sasben
Hi guys,
I am quote familiar with Astaro/Sophos UTM and helped someone swap out a an older ASA that was breaking with Sophos UTM 9.

They have multiple public addresses from their ISP. I setup the WAN interface with their IP, Subnet and GW. It can be pinged from an external source and packet filter rules work as expected.

I then setup an additional address on the WAN interface, i can see it come up and it also is listed when using "ip addr" in the shell. I can ping it from inside the network no problem.

It doesn't respond to pings from an external network (this could be the same as say a SonicWALL which also does this), or like the ASA which responds to ICMP. I also tried a packet filter rule to allow pings, but no luck.

Thinking it was like the SonicWALL and that is doesn't respond, I created a DNAT rule to a simple web site internally but this fails and there are no drops i the packet filter logs.

I also tried using /32 subnet mask on that additional address.

Any ideas?


This thread was automatically locked due to age.
Parents
  • 0
    I don't see anything wrong with the DNATs at first glance. I'll just list a few things to check/troubleshoot as I don't see an obvious problem.

    1. For the additional addresses try a /32 instead of /29
    2. Did you create SNAT for the reply traffic?
    3. Does LAN_SBS have its default gateway set to be the UTM?
    4. Are the initial packets being logged in the firewall log, if you don't see anything disable the auto firewall rule and create a manual one. Also check IPS log for any drops.

    5.log into the utm via ssh and use tcpdump to see what it is happening with the packets
  • 0 in reply to dilandau
    1. For the additional addresses try a /32 instead of /29


    Hi, the same subnet mask as the primary interface is recommended.
    /32 seems to work, but it shouldn't, and might stop working in a future version.

    Barry
  • 0 in reply to BarryG
    Hi, the same subnet mask as the primary interface is recommended.
    /32 seems to work, but it shouldn't, and might stop working in a future version.

    Barry


    Barry I don't disagree that /29 should work (probably more proper), but astaro had been recommending using /32 in their documentation for a long time, so had to ask to see if it would make any difference in this instance.

    How to Port Forward Service Ports with NAT: Astaro Security Gateway
Reply Children
No Data