Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 29 replies
  • Subscribers 2 subscribers
  • Views 38948 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Additional Addresses/Aliases - No ping and also no DNAT

Sasben
Hi guys,
I am quote familiar with Astaro/Sophos UTM and helped someone swap out a an older ASA that was breaking with Sophos UTM 9.

They have multiple public addresses from their ISP. I setup the WAN interface with their IP, Subnet and GW. It can be pinged from an external source and packet filter rules work as expected.

I then setup an additional address on the WAN interface, i can see it come up and it also is listed when using "ip addr" in the shell. I can ping it from inside the network no problem.

It doesn't respond to pings from an external network (this could be the same as say a SonicWALL which also does this), or like the ASA which responds to ICMP. I also tried a packet filter rule to allow pings, but no luck.

Thinking it was like the SonicWALL and that is doesn't respond, I created a DNAT rule to a simple web site internally but this fails and there are no drops i the packet filter logs.

I also tried using /32 subnet mask on that additional address.

Any ideas?


This thread was automatically locked due to age.
  • 0
    You have the SMTP (Mail Protection) on?
    If it is active how you use it?
  • 0
    171 & 174 respond to ping
    169 witch is default gateway no! Looks like rules are dancing over there
  • 0 in reply to Ol Deda
    You have the SMTP (Mail Protection) on?
    If it is active how you use it?


    No I don't, and also other services don't work. 

    You are pinging an old firewall, the problem child is disconnected right now :-)
  • 0 in reply to BarryG
    Hi, the same subnet mask as the primary interface is recommended.
    /32 seems to work, but it shouldn't, and might stop working in a future version.

    Barry


    Barry I don't disagree that /29 should work (probably more proper), but astaro had been recommending using /32 in their documentation for a long time, so had to ask to see if it would make any difference in this instance.

    How to Port Forward Service Ports with NAT: Astaro Security Gateway
  • 0
    Interesting; thanks for the link.

    I wonder if they have a reason for that recommendation.

    Barry
  • 0 in reply to tlamming
    So I'm looking at my own firewall at my office and my internal definitions, like a workstation with remote desktop for instance, are defined as "internal" instead of > as you are saying. They all work fine.

    Yes, tlaming, they usually will work fine.  Would they continue to work fine after changed to >?  What advantage is there to binding them to a specific interface?  When does this create conflicts for WebAdmin resulting in iptables code that doesn't have the routes you expected to get?  If you know enough to answer those questions, you can use the option safely and effectivly.  If you don't have that level of understanding, you're inviting problems that seem to defy analysis.

    Barry, one of the Astaro gurus (I think it was Ulrich Weber) once commented that you could even define the primary address as a /32 - that the subnet did not need to include the default gateway IP because Astaro had accounted for that in WebAdmin.

    Cheers - Bob
  • 0
    Just to update, they were bound to > so im still in the dark. I'm on hold with astaro again after they said they would call last week with no response. Not so happy with them at this point.

    I cant think of anything else at this point. Everything looks great on this end, I'm matching other setups in the field... I almost question the IP's but they are using the same exact ones on another firewall.
  • 0 in reply to BAlfson
    Yes, tlaming, they usually will work fine.  Would they continue to work fine after changed to >?  What advantage is there to binding them to a specific interface?  When does this create conflicts for WebAdmin resulting in iptables code that doesn't have the routes you expected to get?  If you know enough to answer those questions, you can use the option safely and effectivly.  If you don't have that level of understanding, you're inviting problems that seem to defy analysis.

    Barry, one of the Astaro gurus (I think it was Ulrich Weber) once commented that you could even define the primary address as a /32 - that the subnet did not need to include the default gateway IP because Astaro had accounted for that in WebAdmin.

    Cheers - Bob


    Hey Bob,

    We bind it usually just for logging and seeing where things are going; however you are right. Its not needed. Unfortunately its not what is causing me grief at this point
  • 0
    I don't have any clients using postini, so I haven't run into this before, but maybe it's worth looking in the Application Control and Intrusion Prevention (also contains anti-DoS Flooding activity) logs.

    Cheers - Bob