Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 29 replies
  • Subscribers 2 subscribers
  • Views 38948 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Additional Addresses/Aliases - No ping and also no DNAT

Sasben
Hi guys,
I am quote familiar with Astaro/Sophos UTM and helped someone swap out a an older ASA that was breaking with Sophos UTM 9.

They have multiple public addresses from their ISP. I setup the WAN interface with their IP, Subnet and GW. It can be pinged from an external source and packet filter rules work as expected.

I then setup an additional address on the WAN interface, i can see it come up and it also is listed when using "ip addr" in the shell. I can ping it from inside the network no problem.

It doesn't respond to pings from an external network (this could be the same as say a SonicWALL which also does this), or like the ASA which responds to ICMP. I also tried a packet filter rule to allow pings, but no luck.

Thinking it was like the SonicWALL and that is doesn't respond, I created a DNAT rule to a simple web site internally but this fails and there are no drops i the packet filter logs.

I also tried using /32 subnet mask on that additional address.

Any ideas?


This thread was automatically locked due to age.
  • 0
    Please [Go Advanced] and show a picture of the Additional Address definition.  Also, confirm that the new destination in the DNAT is a definition with 'Interface: >' - that it is not bound to a specific interface.

    Cheers - Bob
  • 0 in reply to BAlfson
    2: eth0:  mtu 1500 qdisc pfifo_fast state UP qlen 1000
        link/ether 00:14[:D]1:20:ae:e4 brd ff:ff:ff:ff:ff:ff
        inet x.x.x.243/27 brd x.x.x.255 scope global eth0
        inet x.x.x.242/32 scope global eth0
        inet x.x.x.244/32 scope global eth0
        inet x.x.x.245/32 scope global eth0
        inet x.x.x.241/32 scope global eth0

    Here is me trying /32 as the only addresses, but either way they don't work. I will confirm the DNAT now
  • 0 in reply to BAlfson
    Also, confirm that the new destination in the DNAT is a definition with 'Interface: >' - that it is not bound to a specific interface.

    Cheers - Bob


    Bob,
    The DNAT doesn't let you select Interface: >, you can select Any, but I have competing HTTP DNAT entries, so the primary IP (that does ping) is getting the traffic always anyway).

    I can select the IP address of the additional e.g. External WAN (x.x.x.x) Address
  • 0
    Did anyone resolve this? I'm having the same problem. I have multiple public IP addresses and dnat using one of these addresses fails to rout the traffic correctly internally. I am also using the "any" for the source.

    If I use dnat and use traffic going to the wan interface ip (the firewalls ip), the nat works.  However, I want to use a different public ip in my range just for my email server, for example. 

    What could I be missing? Astaro/Sophos support spent hours trying to figure out why its not working. The traffic hits the port, but the firewall does not log it nor try to apply rules to it. Like it doesnt exist.
  • 0 in reply to tlamming
    Did anyone resolve this? I'm having the same problem. I have multiple public IP addresses and dnat using one of these addresses fails to rout the traffic correctly internally. I am also using the "any" for the source.

    If I use dnat and use traffic going to the wan interface ip (the firewalls ip), the nat works.  However, I want to use a different public ip in my range just for my email server, for example. 

    What could I be missing? Astaro/Sophos support spent hours trying to figure out why its not working. The traffic hits the port, but the firewall does not log it nor try to apply rules to it. Like it doesnt exist.


    Did you add the IP as an additional address to your wan interface?

    It might be useful if you posted some screenshots of the working and not working config.
  • 0
    I sure did, each one is one of the public addresses, using the Subnet mask of the issued range that we are allowed to use from the provider. I had to put an old firewall back so that we could get email, but I'll try to find screens hots. 

    The problem is the old config is on utm 8,this is the first utm9 that I've had to use multiple public like this.
  • 0
    Guys, it's what I call Rule #3:

    Never create a Host/Network definition bound to a specific interface.
    Always leave all definitions with 'Interface: >'.


    Was that your issue?

    Cheers - Bob

  • 0 in reply to BAlfson
    Guys, it's what I call Rule #3:

    Never create a Host/Network definition bound to a specific interface.
    Always leave all definitions with 'Interface: >'.


    Was that your issue?

    Cheers - Bob



    Well the additional address is based on the external interface.

    If you mean the dnat rule it looks something like this:

    Traffic selector: Any →Mail Server Sevices→Mail Server public 
  • 0
    if in WebAdmin Settings in Allowed Networks is Any, then you will notice that you can access UTM from additional ip:4444, otherwise there is a problem from ISP or incorrect IP's given!
    Have you checked that?
  • 0
    if in WebAdmin Settings in Allowed Networks is Any, then you will notice that you can access UTM from additional ip:4444, otherwise there is a problem from ISP or incorrect IP's given!
    Have you checked that?


    Well we used the same ip addresses on an old firewall with Nat one to one and they worked there, so we have to rule that out. Strange problem.