Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 62 replies
  • Subscribers 2 subscribers
  • Views 135475 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Despite Masquerading Internal Addresses Appear On WAN-Interface

Xavier2
Hi,

my Astaro (9.106-17) is placed on it's WAN-Interface behind another router.
The Astaro is the only device behind the other router and there's just one link
between them.

On the Astaro for all internal networks masquerading is switch on by rules like
'Internal network XX' to WAN-Interface.

Everything worked unsuspicious and quite well until yesterday.

On the external router I switched on a feature called Backroute Verify on the interface to the Astaro.. This means that incoming data packets are only accepted over this interface if outgoing response packets are routed over the same interface.

The subnet between the external router and the Astaro is 10.15.95.0/24.
Astaro has 10.15.95.10. the other has 10.15.95.20
Therefore the external router drops all packets not coming from an address within that subnet. This should be no problem since masquerading is turned on.


The other router logs dropped packets. 
In the logs I can see a lot of of dropped packets from source addresses
behind the Astaro.

How can this happen with masquerading turned on?

It seems like the Astaro doesn' substitute the source address with it's own WAN address.

Surfing, Mailing everything seems to work from inside the Astaros's internal LANs.

But some TCP messages [RST or FIN,ACK odr RST,ACK] go trough. TCP Seq is always '1'.
Only these types of packets. No TCP payload packets and also no UDP.


I can see the with Wireshark too.

I've no clue.
What can I check?

Best regards
Xavier


-----------------------------

Sorry, by posting this messages there appear also some payload packets with internal addresses on the WAN Interface.


This thread was automatically locked due to age.
  • 0
    OK, I'm seeing the same thing; one packet leaked so far on each firewall:

    sudo tcpdump -nn -p -i eth0 src or dst net 192.168.0.0/16
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
    13:43:52.997485 IP 192.168.x.13.55027 > 83.254.64.78.51413: R 637790976:637790976(0) ack 4076420255 win 0


    tcpdump -nn -p -i eth0 src or dst net 10.x.x.0/24
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
    13:11:39.639868 IP 10.x.x.43.48561 > 64.13.155.13.80: F 2745397071:2745397071(0) ack 1325166947 win 59 


    The top system is running 9.106, second is on 7.509.

    Barry
  • 0
    Barry, why might the UTM think that it doesn't have 192.168.x.0/24 and 10.x.x.0/24 as locally-attached subnets?  Do you have masq rules for either of those subnets?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi Bob,

    The first has MASQ for all attached subnets. x.13 is my workstation at home.

    The second has a MASQ for the (single) attached subnet, and SNATs for most of the hosts as well.
    I have already determined that any hosts without a SNAT will (normally) use the MASQ.

    The first has one external IP, the second has many (with DNATs and SNATs).

    Barry
  • 0
    Hi Barry,


    so you can reproduce it?
    At least with less packets leaked than in my case?

    @Bob: My ASG220 is running on a home license so I think Sophos support won't talk to me.



    Xavier
  • 0 in reply to Xavier2

    so you can reproduce it?
    At least with less packets leaked than in my case?


    Hi,

    Yes.

    I'm not sure I'd be able to get a support case opened either; 7.5 is EOL and my 9.1x system is a home license.

    Perhaps some other users could run the tcpdump commands and see if they can also reproduce.

    I only saw one packet leaked on each firewall in a few hours, so I'd recommend running it for awhile.

    Barry
  • 0
    I got in touch with our distributors sophos support.
    I will let you know if they get any new findings.
  • 0
    My distributor opened a Ticket at sophos. I sent them some logs and tcpdumps. But no new information yet.
  • 0
    Just wanted to let you know that sophos had a look at our Firewalls and want to send the dumps to the global escalation team now.
  • 0
    Hi,

    I ignored the problem for some time, hoping that T-Roc gets some news from Sophos.

    But now I have one IP that isn't NATed most of the time.
    It's a VOIP-Phone sending a lot of small UDPs.

    On that interface there are two phones. One is perfectly NATed and the other not.
    In the whole config there's not one single line distinguishing these two IPs.
    All config stuff is just on the interface.

    I still think that this a serious issue, but most users don't notice it.
    Sophos should step up their efforts.

    Best regards
    Xavier
Cookie Information Banner