Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 3717 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

How does additional address work?

zinlo
I was playing with additional address in Sophos and TMG. But i just don't understand how it works. Because Additional address seems to be bound to the default first WAN address.

I have a Cisco with 3 WAN ranges (example) that the 2 firewalls connect to
IP pack 1: 1.1.1.0/24
IP pack 2: 2.2.2.0/24
IP pack 3: 3.3.3.0/24

TMG WAN IP: 1.1.1.1/24
Additional address 2.2.2.1/24

Sophos WAN IP: 3.3.3.1/24
Additional address 2.2.2.2/24

With TMG i can access both 1.1.1.1/24 & 2.2.2.1/24 from the internet.
On the Sophos you can access 3.3.3.1/24 but can't connect to the Additional address 2.2.2.2/24

When you connect from the internet -> to 2.2.2.2, how does the cisco know how to forward the packets to the Sophos alternate address 2.2.2.2/24?

How do you troubleshoot routing to alternate address?

I have seen thread before where users don't see DNAT packets coming in on the alternate address when there are IP packs in multiple subnets. Question is why?


This thread was automatically locked due to age.
  • 0
    Hi, zinlo, and welcome to the User BB!

    You will need to learn a bit more about the UTM before we can help you.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob, maybe i need to clarify my question, because its not a UTM config question i guess.

    In short, my packets for WAN ip configured on the sophos are delivered on the TMG.

    I have a ISP router cisco with 3 IP packs, connected to a switch.
    On the switch is a TMG and Sophos using the 3 IP pack ip ranges.

    For the sophos only the IP pack range that is configured on the WAN will work, the additional networks/2 other IP packs are unreachable. (DNAT/SNAT/Firewalled a HTTP site), the packet log of firewall & DNAT never receive a packet from the WAN, because it hits the TMG.

    The TMG can service the 3 IP packs with no problem. 

    It's like the cisco can't see the additional IP's/other subnets on the sophos interface.

    But this WAN ip is not configured on the WAN of the TMG, so why it shows up in the TMG log as blocked with correct ip source & destination of WAN ip on the Sophos, no idea.
  • 0
    Hi,

    this depend on how the cisco router is configured!

    So post the relevant lines from sh run...

    But if you realy have 3 external /24 ranges
    you could not split one of them to two additional routers 2.2.2.1/24 define .1-254
  • 0 in reply to gfreiler
    Your right. Just received the cisco config from the ISP. I was expecting somthing like a L3 switch setup, where every subnet can route to the other. But the firewall gateway IP is my firewall IP. So you can't route on a stick on the cisco.

    ARP shows on the same subnets

    firewall 1, has ip 1.1.1.1
    firewall 2, has ip 1.1.1.2

    On the cisco the ip packs are configured with a gateway firewall1
    ip route 2.2.2.0/24 1.1.1.1
    ip route 3.3.3.0/24 1.1.1.1

    Lets see how we can split the packs
  • 0
    Is it a must to use 3 firewalls?