Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 2 subscribers
  • Views 3137 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

eth0 <-> eth2 connection for 2 local networks

haroldx
Hi Folks,

i try to use a UTM 9.0.0.5 to connect two local Networks.

eth0 192.168.0.180/24
eth2 192.168.241.180/24

under Network protection -> Firewall -> icmp

all possibilities are active

i can ping from the eth2 Network only to the eth0 Interface, and not through the utm to the eth0 Network.

the other direction works fine, from the eth0 Network i can reach the whole eth2 Network.

i have no Firewall rules at the Moment.

i read a few threats here at the board and one meaning was, that it is enough to active the icmp rules to reach both Networks with ping (for first step).

Maybe the meaning i found is wrong or i missed something.

so thanks very much for some help.

harold


This thread was automatically locked due to age.
  • 0
    Hi ,

    Those are deferent networks , you have to create a rule to for this to work.
    Please create a rule for accepting ICMP from each network to another.

    All my best ,
    Gilipeled
  • 0
    Like Gilipeled says, anything that is not specifically allowed by a firewall rule is automatically denied.
    Create:

    lan1 -> lan2 -> ICMP allow
    lan2 -> lan1 -> ICMP allow

    to allow pings between hosts in both subnets. If you need more than only pings you'll have to define it (not only use ICMP).
  • 0
    Hi gilipeled.
    hi apilnappels,

    thanks for your replys ... 

    here are my changings:

    network protection -> firewall -> new rule

    rule one:

    1 External (Network) (eth1) - allow: ping - Internal (Network) (eth0)

    second rule

    2 Internal (Network) (eth0) - allow: ping - External (Network) (eth1)

    --

    my results are:

    ping from Internal Network to External Network (like before) possible
    ping from External Network to Internal Network (still) not possible

    i can only ping to the Internal UTM Adress from an External Client

    log give me the following feedback:

    09:41:34  ICMP  192.168.241.209  →  192.168.0.15  len=60 ttl=127 tos=0x00  srcmac=0:c0:9f:66:46:58  dstmac=0:1a:8c:13:85:5

    ...
     
    in red without any information, nothing like: DROP or anything else but all the ICMP log entries are red  ...

    --

    network protection -> firewall -> ICMP

    Global ICMP settings

    all 3 are active

    and

    Ping settings

    also all 3 are active

    ---

    I am still happy the recieve any ideas. Thanks a lot.

    Harold
  • 0
    hi folks,

    i fixed it :-D

    the missing part was the nat rule from the external network to the internal interface.

    i was so focused on that older utm specific threat so i "forgot my" network basics for a moment ...

    after sleeping well and starting a new day with a fresh and open mind i fixed it.

    anyway, thanks a lot and have a good time
    harold
  • 0
    Harold,

    When masquerading fixes this issue, I suspect that there's another problem.  Please look in the full Firewall log file and show us the line at 09:41:34 dropping your ping.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob,

    thanks for your feedback ... ok, so i have still a problem ...

    Well there is nothing in the live log or the saved log files. 
    Really NO entry with Default DROPED or Droped or accepted by PACKET Filter No. 1 or something like that ...

    my configuration:

    Firewall - RULES

    1 Internal (Network) PING ->   Any
    2 External (WAN) (Network) PING -> Any

    even if i allow any traffic ist the same ... without the nat entry

    Network Protection → NAT → Masquerading

    External (WAN) (Network) -> Internal

    i can't reach the internal Network from the External Network.

    Any Ideas ? 

    Thanks for your help

    Harold
  • 0
    Harold, I just noticed that your first post here was starting this thread.  Welcome to the User BB!

    i can't reach the internal Network from the External Network

    Please show us the command you issue and the response.  Also, tell us the ping-from address.

    Well there is nothing in the live log or the saved log files.

    Yet, on 2013-08-28, you said
    log give me the following feedback:
     
    09:41:34 ICMP 192.168.241.209 → 192.168.0.15 len=60 ttl=127 tos=0x00 srcmac=0:c0:9f:66:46:58 dstmac=0:1a:8c:13:85:5

    Please show us that line from the full Firewall logfile on that day.

    Finally, please [Go Advanced] and attach a picture of the 'Interfaces' tab in WebAdmin.

    Cheers - Bob
  • 0
    Hi Bob,

    thanks for your welcome ...

    i tried it again and it looks like that something i don't know (at the moment) is happen in "that" network.

    In a lab enviroment, everything is perfect, means it works fine. ping in both directions possible if the firewall rules allow it.
    But when i connect the utm in "that" network, it happen like i describe before ... NO ping from the external network to the internal (from utm view) ... with the lab configuration!

    Can you help me with that? Or everyone else ...

    If you can, what do you need? 
    Which kind of log files or screenshots ... still the same or more, others ...

    Really thanks for your help and messages/feedback ...
    harold
  • 0
    Hi, version 9 (or 9.1?) will not allow inbound pings through the firewall unless you specifically create Firewall rules to allow it; the ICMP settings page is no longer enough.

    You should see the drops in the firewall log, but also check the IPS log and Application control log.

    Barry
  • 0
    Hi Barry,

    thanks for your Ideas. 

    Version: 9.0.0.5, and yes i know it that its not enough on the ICMP Tab to allow the ping settings.

    PS: i checked the different log files but i couldnt find the reason or i am not sseing it ... possible ...

    firewall log:

    the only entry all the time is:

    "eth0" srcmac="0:30:f1:bf:e2:b4" dstmac="0:1a:8c:13:85:4" srcip="192.168.31.11" dstip="224.0.0.1" proto="2" length="28" tos="0x00" prec="0x00" ttl="1" 
    2013:09:10-00:03:59 kastoteq-1 ulogd[4257]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="0:30:f1:bf:e2:b4" dstmac="0:1a:8c:13:85:4" srcip="192.168.31.11" dstip="224.0.0.1" proto="2" length="28" tos="0x00" prec="0x00" ttl="1"

    at the moment i am searching for that ip adress: 192.168.31.11, because its not part of the local network and what means fwrule 60001, at the moment i have only 3 rules, means that is the first rule ...

    in the application and IPS log are no entries

    In "my" lab enviroment everything works fine but at the moment i switch to the production network i have the situation that from the external subnet i cant ping any more through the utm.

    thats my situtation at the moment.

    you or someone else have any ideas ...

    harold