Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 1175 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Another Routing Question

bobby_digital
Hi All,

I am trying to route between to firewalls that are directly connected. I am using one firewall as my perimeter and the other astaro as my dmz firewall. I believe I may have my masquerading rules wrong.

so for example, lets say I have a 172.22.1.0/24 network behind the DMZ firewall and a 10.0.0.0/24 network behind my perimeter firewall. 

Normally I would just create routes on my palo alto firewalls to accomplish this and they talk fine. 

How would I accomplish this on the sophos firewalls? do i need a proxy arp on the 172 interface and static routes and firewall rules? 

Any help is greatly appreciated.


This thread was automatically locked due to age.
  • 0
    Hi Bobby_Digital,

    We don't know what it is that you want to do, but I guess I would not use masquerading and just use static routes.  Probably not Proxy ARP either.

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
  • 0
    Why do you want to use 2 firewalls? I suppose the UTM could handle it alone if you'd like.
  • 0
    I'm using 2 firewalls just because to be honest and I my customers really like the integrated hotspot feature on the sophos firewall so i'm playing with it more in my test environment. I've set this up several times before and had no issues. Since the sophos firewall is able to route traffic all the way through to all other devices behind my INET firewall, I'm wondering if I have the sophos mis configured that my INET firewall is unable to discover the routes to the sophos firewall. Both are UTM firewalls, just weird.
  • 0
    Hi, 
    You would need a static route on the Inet firewall to specify the path to the Sophos' internal network.

    Also, disable Masquerading on the Sophos; you don't need it.

    Barry
  • 0
    When I disable the masquerading rules, the DMZ and guest wireless networks behind the sophos firewall lose internet connectivity. Once I enable the masquerading rules everything works. Is their a way to send traffic from behind the sophos to hit my Inet firewall without being NAT'd?

    I tried a static route but that did not work


    Also, my configuration is setup like this. the sophos firewall is connected to my DMZ port on the Inet firewall. so the the networks behind the sophos firewall will still be using the External interface as the default gateway since the external interface on the sophos firewall is directly connecting to the DMZ interface of my Inet firewall to allow internet access.
  • 0 in reply to bobby_digital
    When I disable the masquerading rules, the DMZ and guest wireless networks behind the sophos firewall lose internet connectivity. Once I enable the masquerading rules everything works. Is their a way to send traffic from behind the sophos to hit my Inet firewall without being NAT'd?

    I tried a static route but that did not work


    It should work with a static route to your Sophos LAN defined on the internet firewall.


    Also, my configuration is setup like this. the sophos firewall is connected to my DMZ port on the Inet firewall. so the the networks behind the sophos firewall will still be using the External interface as the default gateway since the external interface on the sophos firewall is directly connecting to the DMZ interface of my Inet firewall to allow internet access.


    I hope you have the internal networks using the Sophos' INTERNAL address as their gateway.

    Barry