Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 3616 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNAT to Different Subnet

evilcraftknife
Hi All

I've run into a bit of a brick wall with this one.

I'm using Sophos UTM9 as a virtual appliance in vmware.

I have a /28 block of public IP addresses and currently use UTM 9 to Firewall our network and DNAT our internet facing services.

All was working fine until I moved a couple of our web servers to a different subnet in our private IP range. There are no connection problems between the UTM9 and the problematic hosts. When I attempt a connection to the HTTPS port 443 it logs the correct NAT rule but the browser doesn't connect. I've also used nmap from a remote server and reports that 443 is not accessible.

Has anybody got any ideas?

Thanks in advance

Kevin Ratcliffe


This thread was automatically locked due to age.
  • 0
    Hi, Kevin, and welcome to the User BB!  (Great anagram, by the way.)

    Two common causes. (1) Check to be sure you have changed the default gateways in the servers. (2) Confirm that you haven't run afoul of what I call Rule #3:

    Never create a Host/Network definition bound to a specific interface.
    Always leave all definitions with 'Interface: >'.


    Cheers - Bob

  • 0 in reply to BAlfson
    Great job as usual bob, I bet the default gateway is not right[;)]
  • 0
    Hi Bob

    Thanks for the very speedy response. 

    The networking seems fine. I had already altered the default gw on the boxes in question. The UTM is pingable and vice versa from the box that has been moved.

    On the UTM, I have a default gateway of our upstream router onto the external network an I have static routes to all our internal networks. I really don't think it is a routing issue.

    I use an external shell account to do a network scan using nmap and it claims that port 443 is 'filtered'.

    BTW, I've removed any interface bindings from all my host and network definitions.


    Is there anything else I can look at to help diagnosing this?

    Kev
  • 0
    Can you ping from the Internal Network to one of the servers in the DMZ?  And vice versa?  Open the Firewall and Web Filtering Live Logs and attempt to browse to one of the web servers - do you see anything?

    Another thought: Accessing Internal or DMZ Webserver from Internal network (Astaro Security Gateway)

    Any luck?

    Cheers - Bob
  • 0
    Everything can ping each other.

    Here is a quick overview of our network topology:

    network 1 - 10.50.0.0/20
    network 2 - 10.70.0.0/20

    UTM resides on 10.70.0.211 internally and 212.219.142.157 externally

    The problem host is 10.50.0.122 internally and 212.219.142.147 externally

    We have no DMZ, we use DNAT to make internet services available to internal hosts

    The problematic host was on the 10.70.0.0/20 network and was fine before I moved it to the new network 10.50.0.0/20

    I would've assumed that all I needed to do would be to change it's internal host definition.

    When I look at the live firewall logs, I can see the correct NAT rule #4 being triggered but still no service.

    18:40:28 NAT rule #4 TCP 81.97.18.152 : 43705→212.219.142.147 : 443 [SYN] len=60  ttl=52 tos=0x00 srcmac=0:13:1a:a3:ec:21  dstmac=0:50:56:ac:12:4c

    Sorry about the text wrap

    Kev
  • 0
    Yes, read the KnowledgeBase article link in my post above.  

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.