Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 3720 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

How does additional address work?

zinlo
I was playing with additional address in Sophos and TMG. But i just don't understand how it works. Because Additional address seems to be bound to the default first WAN address.

I have a Cisco with 3 WAN ranges (example) that the 2 firewalls connect to
IP pack 1: 1.1.1.0/24
IP pack 2: 2.2.2.0/24
IP pack 3: 3.3.3.0/24

TMG WAN IP: 1.1.1.1/24
Additional address 2.2.2.1/24

Sophos WAN IP: 3.3.3.1/24
Additional address 2.2.2.2/24

With TMG i can access both 1.1.1.1/24 & 2.2.2.1/24 from the internet.
On the Sophos you can access 3.3.3.1/24 but can't connect to the Additional address 2.2.2.2/24

When you connect from the internet -> to 2.2.2.2, how does the cisco know how to forward the packets to the Sophos alternate address 2.2.2.2/24?

How do you troubleshoot routing to alternate address?

I have seen thread before where users don't see DNAT packets coming in on the alternate address when there are IP packs in multiple subnets. Question is why?


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to BAlfson
    Hi Bob, maybe i need to clarify my question, because its not a UTM config question i guess.

    In short, my packets for WAN ip configured on the sophos are delivered on the TMG.

    I have a ISP router cisco with 3 IP packs, connected to a switch.
    On the switch is a TMG and Sophos using the 3 IP pack ip ranges.

    For the sophos only the IP pack range that is configured on the WAN will work, the additional networks/2 other IP packs are unreachable. (DNAT/SNAT/Firewalled a HTTP site), the packet log of firewall & DNAT never receive a packet from the WAN, because it hits the TMG.

    The TMG can service the 3 IP packs with no problem. 

    It's like the cisco can't see the additional IP's/other subnets on the sophos interface.

    But this WAN ip is not configured on the WAN of the TMG, so why it shows up in the TMG log as blocked with correct ip source & destination of WAN ip on the Sophos, no idea.