Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 2934 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Do I need a router as well?

Astaronator
Hello all,

So I have a co-worker who attended an introduction refresher to networking course. Since then he is determined to drop a Cisco router between the UTM and our user switches. I told him this is unnecessary because the UTM handles all of our routing needs just fine. We only have about 75 users and ~100 devices.

His complaint: Well I should be able to run the Spiceworks scan across both our subnets without sending our device count through the roof. We need to pass the traffic amongst both subnets flawlessly. There's no reason for the UTM to get in between.

So to expand, we had an issue a few months back where a Spiceworks scan would cause us to exceed our device count available on our license. What I discovered is that when spiceworks uses an NMAP scan, it triggers the UTM web proxy to think that there is a device on every single scanned IP of the opposing subnet. 

My question is... Am I wrong to avoid wanting to complicate our network with another Cisco router when the UTM should handle all of our routing needs? Is there a solution to the NMAP scanning. How can I make 2 subnets work seamlessly? 

Below is an expansion on our configuration...

eth0 - Internal LAN  [10.0.0.0]
eth1 - External WAN
eth2 - Internal LAN 2  [10.0.2.0]
eth3 - External WAN 2 (HighSpeed)

The reason we have 2 subnets is to have traffic exit at 2 different WAN connections.

Masquerading says that: 
eth0 -> eth1
eth2 -> eth3

Thanks!
-Nator


This thread was automatically locked due to age.
  • 0
    Is there a reason he doesn't run SpiceWorks scans on the subnets separately?  He could even connect to both subnets simultaneously with another NIC - seems that would be a lot cheaper/easier than a Cisco.  If you have an old PC, you could run a free UTM Essentials license on it.

    Cheers - Bob
  • 0
    Yeah I suggested the dual-NIC solutions, but his instructor told him that "there must me something wrong". He said we should be using a router to route the traffic. Then we wouldn't need DNAT rules or have NMAP issues. 

    I agree that the Cisco router is a waste of money and time. 

    Thanks for confirming Bob, you're awesome.
  • 0
    his instructor told him that "there must me something wrong"

    Hmm, sounds like the instructor should take a look at the UTM... [;)]

    Cheers - Bob
  • 0 in reply to BAlfson
    I agree lol

    But a s a quick follow-up question... Is there a way to allow the two subnets communicate without a DNAT rule?

    I mean if I want to access an internal web server on eth0 from eth2 I usually configure a DNAT rule. Is that normal?
  • 0
    Ah and another point he made is that there is no reason for the web proxy to be getting between the 2 subnets. This means that the packets have to climb up to layer 7 before they are passed to the next subnet therefore bottlenecking the speed across interfaces. 

    Can you tell me if that is what is happening and can it be disabled. 

    Thanks!
    Nator
  • 0
    Hi, communication between 2 local subnets needs nothing other than firewall rules. 
    You should not need NATs or static routes.

    If you don't want the traffic proxied, then create an exception in the proxy settings.

    Barry
  • 0 in reply to BarryG
    Thanks so much for your replies. I'll look into my settings to see what I've done wrong that is causing the need for DNAT. I think I may just need to fix my firewall rules.