Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 2 subscribers
  • Views 43975 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Static route

Azwan
Hi Everyone,

Does any know or have done configure static route for incoming 0.0.0.0 --> Internal from GUI or command without need to define every segment network that required access the internal network behind Sophos UTM.

Below is Sophos UTM deployment that I plan for customer, appreciate if you guys can advice or guide me to solve this issue. Thanks[:S]

Sophos UTM Deployment Network Information
1. HQ to Branch connection :
    -Telco lease line 512k
 
2.HQ (Palo Alto):
   -HQ Firewall  (WAN IP 10.81.201.30 GW 10.81.201.10)
   -Static route (Interface Route 0.0.0.0 GW10.81.201.10)
 
3.Branch (Sophos UTM220):
  -Branch Firewall (External IP 10.61.201.30 GW 10.61.201.10)(Internal IP 10.61.1.10)
  -Masquerading NAT (Internal -> External)
  -Firewall rule (ANY-ANY)


This thread was automatically locked due to age.
  • 0
    Hi, incoming traffic (destined for your Internal network, via the 10.61.201.10 gateway) should be routed automatically.

    If you have additional internal networks at the Branch, which are not defined on the UTM, you may need to create static routes for them (via the webadmin GUI).

    Am I missing something?

    Barry
  • 0 in reply to BarryG
    Hi Barry,

    That is correct I'm also confuse, however traffic from external only can reach until branch internal interface 10.61.1.10 beyond that is not able to ping or access from outside. Thanks
  • 0
    Hi, pings are controlled in the ICMP settings (under Network Protection). In your case, you should probably enable all the ICMP features.

    Check the logs if you still have troubles (firewall, IPS).

    Masquerading will interfere with your goals, I believe; why do you have it enabled in the branch?

    Barry
  • 0 in reply to BarryG
    Hi Barry,

    I just add the masquerading rule in the information[:D], as mention firewall rule is ANY-ANY with ICMP enable and IPS is disable still not able to solve the issue.

    I replicate the setting at our office and we still need to add the static route at HQ firewall to allowed access any traffic to internal branch network.

    Appreciate if anyone can highlight if current configuration is not correct. Thanks
  • 0
    Hi,

    Try disabling the masquerading rule.

    I believe you DO need the static route at HQ, but I don't see any need for any special routing on the branch UTM.

    Can you confirm exactly what isn't working? Inbound to branch only?

    Barry
  • 0 in reply to BarryG
    Hi Barry,

    Basically the configuration is straight forward as mention on my 1st post.
    HQ firewall already created with static route 0.0.0.0 -> any branch.

    Current issue is that inbound traffic from HQ only can reach until internal interface and Outbound traffic from branch to HQ didn't encounter any problem, if check firewall logs no inbound traffic pass through the firewall. Thanks
  • 0
    What are the devices at 10.61.201.10 and 10.81.201.10, and what routes are set in them?

    Are these the actual IP addresses because everything is in a private network?

    Cheers - Bob
  • 0 in reply to Azwan
    if check firewall logs no inbound traffic pass through the firewall.


    I'm pretty sure that the Masquerading is preventing the UTM from knowing what to do with the traffic.
    Try disabling Masquerading and another other NATs on the UTM.

    Then, check the firewall logs again if it's still not working, and post entries from the (full not live) logs here.

    Barry
  • 0
    Hi Bob/Barry

    Network information provided is actual network whereby 10.61.201.10 is telco leased line router IP.
    I have reset branch firewall to factory setting and configured again with basic configiration without NAT and still encounter same problen external network failed to access branch internal network. Thanks
  • 0 in reply to BarryG
    Please post entries from the (full not live) logs here.

    Barry