Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 1644 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Paquet droped when using UTM as web proxy from VPN Network

nda
Hi,

We are testing UTM9 as web proxy for our company and we are experiencing one issue.
When using the proxy (non transparent) from internal Network (172.16.0.0/16), all work well.
When using the proxy (always non transparent) connected via VPN (not the one of the UTM, we use Checkpoint), all paquet to port 8080 are dropped.
I added the VPN network in the firewall rule, or even replaced the source by "any" without luck.
Our network diagram is quite special as the actual proxies (Ms ISA 2006) are inside the LAN and only have one IP.
Internal interface : 172.16.244.202
WAN1 : 172.16.244.203
WAN2: 172.16.244.204
Both WAN interfaces have our firewall as Gateway, 1 redirected to our main lease line and 2 directed to a common ADSL line. This is done on the firewall.
VPN network is 172.20.1.0/24

Any idea?

firewall log:
11:05:45 Default DROP TCP
172.20.1.5 : 49774

172.16.244.202 : 8080
[SYN] len=48 ttl=127 tos=0x00 srcmac=0:e:c:c5:fe:56 dstmac=0:50:56:98:68:57

Nico


This thread was automatically locked due to age.
Parents
  • 0
    Hi, Nico,

    The Firewall Live Log is the only Live Log that doesn't include all of the information, so although it's a good way to see if there is a problem, it's not much use for identifying the problem.  Please look in the full log file for the same line and post it here.

    Are you really still on V7.402?

    I'm a bit confused about your network topology.  You say you have three interfaces:

    Internal interface : 172.16.244.202
     WAN1 : 172.16.244.203
     WAN2: 172.16.244.204


    If you have three different interfaces with overlapping subnets, WebAdmin won't know how to build the routes you want in the correct order.

    If the UTM is to be strictly a web proxy in a Standard (non-Transparent) mode, you really need only a single interface with a single IP.  If the Internal users are fine, but the VPN-connected ones are not, maybe you just need to add 172.20.1.0/24 to 'Allowed networks' in Web Filtering.

    Cheers - Bob
Reply
  • 0
    Hi, Nico,

    The Firewall Live Log is the only Live Log that doesn't include all of the information, so although it's a good way to see if there is a problem, it's not much use for identifying the problem.  Please look in the full log file for the same line and post it here.

    Are you really still on V7.402?

    I'm a bit confused about your network topology.  You say you have three interfaces:

    Internal interface : 172.16.244.202
     WAN1 : 172.16.244.203
     WAN2: 172.16.244.204


    If you have three different interfaces with overlapping subnets, WebAdmin won't know how to build the routes you want in the correct order.

    If the UTM is to be strictly a web proxy in a Standard (non-Transparent) mode, you really need only a single interface with a single IP.  If the Internal users are fine, but the VPN-connected ones are not, maybe you just need to add 172.20.1.0/24 to 'Allowed networks' in Web Filtering.

    Cheers - Bob
Children
No Data