Server Loadbalancing from internal to internal

Hi Bob,

Thanks the reply and that seemed like a perfect solution. I didn't even think of an availability group with NAT for this. I'd have thought that would have been roughly what the Load Balance Server feature would have done though.

The only problem is it still doesn't seem to work this way either. I'm probably missing something obvious but let me try to explain the setup better.

Internal LAN: 172.28.18.0
Azure LAN: 172.28.28.0

ADFS On Premise: 172.28.18.10
ADFS Azure: 172.28.28.10

Sophos UTM LAN: 172.28.18.1
Sophos UTM ADFS Virtual IP: 172.28.18.14

Internal DNS record fs.domain.com = 172.28.18.14

So if I setup Web Server Protection on 172.28.18.14 for this then it works as mentioned but will not do client certificates which are needed for full ADFS functionality.

As mentioned the Server Load Balancer is no go. With the method you'd mentioned the rule is as follows. Note: I changed it from just HTTPS which is all I needed to all traffic so I could also see if RDP would work as in theory that should have logged me into one of the servers but also didn't work.

Rule Type: DNAT
For Traffic from: Any (Could lock down if working but left to Any for now)
Using service: Any
Going to: Internal [ADFS] Address (172.28.18.14)

Change the destination to: ADFS-Farm (172.28.18.10 & 172.28.28.10 in Availability Group)
And the service to: *Blank*

Automatic Firewall Rule: Enabled
Log Initial Packets: Enabled

I see it match the NAT rule in the firewall log but I cannot get ADFS or RDP to work.

20:04:31 NAT rule #1 TCP  
172.28.18.112 : 63277
→
172.28.18.14 : 3389
 
[SYN] len=52 ttl=128 tos=0x00 srcmac=*Computer MAC* dstmac=*Sophos UTM MAC*

Not really checked the login before to know if the dstmac should be the Sophos UTM or the box that it forwards the traffic onto.

Think that's about all I can think to tell you but maybe you'll have an idea now why it's not working?

Cheers,
James

Hi Bob,

Thanks the reply and that seemed like a perfect solution. I didn't even think of an availability group with NAT for this. I'd have thought that would have been roughly what the Load Balance Server feature would have done though.

The only problem is it still doesn't seem to work this way either. I'm probably missing something obvious but let me try to explain the setup better.

Internal LAN: 172.28.18.0
Azure LAN: 172.28.28.0

ADFS On Premise: 172.28.18.10
ADFS Azure: 172.28.28.10

Sophos UTM LAN: 172.28.18.1
Sophos UTM ADFS Virtual IP: 172.28.18.14

Internal DNS record fs.domain.com = 172.28.18.14

So if I setup Web Server Protection on 172.28.18.14 for this then it works as mentioned but will not do client certificates which are needed for full ADFS functionality.

As mentioned the Server Load Balancer is no go. With the method you'd mentioned the rule is as follows. Note: I changed it from just HTTPS which is all I needed to all traffic so I could also see if RDP would work as in theory that should have logged me into one of the servers but also didn't work.

Rule Type: DNAT
For Traffic from: Any (Could lock down if working but left to Any for now)
Using service: Any
Going to: Internal [ADFS] Address (172.28.18.14)

Change the destination to: ADFS-Farm (172.28.18.10 & 172.28.28.10 in Availability Group)
And the service to: *Blank*

Automatic Firewall Rule: Enabled
Log Initial Packets: Enabled

I see it match the NAT rule in the firewall log but I cannot get ADFS or RDP to work.

20:04:31 NAT rule #1 TCP  
172.28.18.112 : 63277
→
172.28.18.14 : 3389
 
[SYN] len=52 ttl=128 tos=0x00 srcmac=*Computer MAC* dstmac=*Sophos UTM MAC*

Not really checked the login before to know if the dstmac should be the Sophos UTM or the box that it forwards the traffic onto.

Think that's about all I can think to tell you but maybe you'll have an idea now why it's not working?

Cheers,
James