Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 29 replies
  • Subscribers 2 subscribers
  • Views 38939 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Additional Addresses/Aliases - No ping and also no DNAT

Sasben
Hi guys,
I am quote familiar with Astaro/Sophos UTM and helped someone swap out a an older ASA that was breaking with Sophos UTM 9.

They have multiple public addresses from their ISP. I setup the WAN interface with their IP, Subnet and GW. It can be pinged from an external source and packet filter rules work as expected.

I then setup an additional address on the WAN interface, i can see it come up and it also is listed when using "ip addr" in the shell. I can ping it from inside the network no problem.

It doesn't respond to pings from an external network (this could be the same as say a SonicWALL which also does this), or like the ASA which responds to ICMP. I also tried a packet filter rule to allow pings, but no luck.

Thinking it was like the SonicWALL and that is doesn't respond, I created a DNAT rule to a simple web site internally but this fails and there are no drops i the packet filter logs.

I also tried using /32 subnet mask on that additional address.

Any ideas?


This thread was automatically locked due to age.
  • 0
    Here are some screen shots:

    Also: I reimaged the firewall.. no help




  • 0
    I must say, Astaro/Sophos support really isnt worth the premium licensing as of yet. I have been waiting for an engineer to reach me after burning through 2 different 1st level support techs. by all accounts, this configuration should work. 2 days going on 3 waiting for help is simply not acceptable especially for someone who resells their devices and a customer with premium support.
  • 0
    I don't see anything wrong with the DNATs at first glance. I'll just list a few things to check/troubleshoot as I don't see an obvious problem.

    1. For the additional addresses try a /32 instead of /29
    2. Did you create SNAT for the reply traffic?
    3. Does LAN_SBS have its default gateway set to be the UTM?
    4. Are the initial packets being logged in the firewall log, if you don't see anything disable the auto firewall rule and create a manual one. Also check IPS log for any drops.

    5.log into the utm via ssh and use tcpdump to see what it is happening with the packets
  • 0
    Thanks for the help. 

    1. Yep, we tried /32, didnt seem to help. Its strange because the nat rules dont even fire when traffic hits the firewall unless its the ip assigned to the interface (firewall) itself.

    2. I did not setup snat yet, but I have masquerading going outbound right now at the firewall. I'll setup snat after I see that traffic is flowing correctly to the server. I should still see traffic being routed in the live log and I dont see any at all.

    3. Sure does, same gateway as the old zywall 20 which when we put in, magically works.

    4. Yep, no drops. Funny thing is that it doesnt even register the traffic to those IP's. When you look via the shell though you see the traffic hitting the firewalls ethernet port (sniffing the traffic)

    5. The tcpdump is where we see the traffic. Its there, just not being picked up at all by the firewall..


    I have another utm120 coming for RMA just to show some movement for my client. Honestly I dont expect that to be any better. Very strange issue!
  • 0 in reply to dilandau
    1. For the additional addresses try a /32 instead of /29


    Hi, the same subnet mask as the primary interface is recommended.
    /32 seems to work, but it shouldn't, and might stop working in a future version.

    Barry
  • 0 in reply to tlamming
    5. The tcpdump is where we see the traffic. Its there, just not being picked up at all by the firewall..


    Hi, check both the incoming interface, and the interface you expect the DNAT to go through, with tcpdump.

    So you do have 'log initial packets' enabled?
    Are you sure there's not another NAT before this one that may be interfering?

    Barry
  • 0 in reply to BarryG
    Hi, check both the incoming interface, and the interface you expect the DNAT to go through, with tcpdump.

    So you do have 'log initial packets' enabled?
    Are you sure there's not another NAT before this one that may be interfering?

    Barry


    Yes, log initial packets is enabled.

    Positive, we have another firewall (zywall) that does 1:1 nat and as soon as you plug it in, using those same ip addresses, everything works. I like Astaro and would rather use this firewall of course.

    I really appreciate the help guys. You can see why I've already gone through two Astaro techs..
  • 0
    I still think your problem is the Host Definitions "LAN_SBS" and "LAN_Camera_System" - check that both have 'Interface: >' - that neither is bound to a specific interface.

    Cheers - Bob
    PS Most of the Sophos/Astaro techs that read here have seen me gripe about this capability hundreds of times over the years, so I'll be a little surprised if it turns out that this is indeed your problem!
  • 0
    Hey Bob, I'll take a look. Do you mean in the actual targets themselves, they may be bound to an interface for some reason? Crazy, why would you ever want that? I'll look!
  • 0
    So I'm looking at my own firewall at my office and my internal definitions, like a workstation with remote desktop for instance, are defined as "internal" instead of > as you are saying. They all work fine.