Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 27 replies
  • Subscribers 3 subscribers
  • Views 34112 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DMZ built of combination of MASQUERADE and/or FullNAT and/or DNAT???

Connaisrien
I spent many many hours during the last few weeks , trying about everything I found in here in order to have a FULL DMZ using 1 free interface,

I works, kinda,  but not completely, there's always something that goes wrong.

I also tried this:
UTM: Accessing Internal or DMZ servers from Internal Networks using DNAT

in any way I could understand it...
doesn't work

I can say that it's not completely DMZed because , when I remove the UTM from the connection and put the cable directly into the PC, or use USB tethering from my phone I can properly achieve what I'm trying to do...
also 
when having a look at the live-log I can see that there are white lines, 
concerning the PC, who is alone on the interface, wich is on a different subnet, so I can't be mistaken , in theory there should be red and green lines right?


Please , please , please,  HOW can I DMZ  1 interface, there has to be someone who knows the recipe ?


This thread was automatically locked due to age.
  • 0
    @ dilandau

    I'm not quite sure I get the 2 last line of your last reply here:

    I did not apply IPS to the DMZ interface, ( see attachment) , so 
    you recommend adding it anyway, but creating an exception, 
    what do you mean , an "IPS" exception?
    how do I do that?

    Thanks
  • 0
    @ BArryG

    ok
    yes I checked

    Firewall => shows lots of stuff but nothing mentionning the DMZed subnet, rules are posted on first page all protocols are allowed both ways

    web protection => is OFF

    IPS => log shows lines, but I can't make sense of it,  don't understand what's in there....

    application control => live log is blank, nothing, probably because I don't have any rules in there
  • 0 in reply to Connaisrien
    @ dilandau

    I'm not quite sure I get the 2 last line of your last reply here:

    I did not apply IPS to the DMZ interface, ( see attachment) , so 
    you recommend adding it anyway, but creating an exception, 
    what do you mean , an "IPS" exception?
    how do I do that?

    Thanks


    IPS is either ON or OFF, adding networks to "Local Networks" does not turn IPS on for just those interfaces. Since the DMZ is behind the UTM it is a Local Network, it is best practice to add it so the IPS can properly analyze the traffic. If you want to skip all IPS scanning for the DMZ create an exception on the "Exceptions" tab as can be seen in your screenshot.
  • 0 in reply to Connaisrien

    IPS => log shows lines, but I can't make sense of it,  don't understand what's in there....


    Can you post some of the log entries?
    From the full log, not the live log, would be more helpful.

    Barry
  • 0
    Probably something is wrong on the remote VPN server.

    Barry
  • 0
    Your DNAT is the problem.  You don't want to DNAT all traffic, and you must change the destination to a specific, internal IP.  You want something more like:

    DNAT : Internet -> HTTP -> External (WAN) (Address)  to {webserver}


    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to dilandau
    What is the objective for the DNAT rule, are you hosting a server that needs to be accessed from the Internet? If so change the destination from the DMZ Address to the IP address of the server that is located in the DMZ network. Otherwise, delete/disable the DNAT and Firewall rule #4. 

    If you wanted to simplify your firewall rules you could use the Internet object in place of the ANY IPv4 object and then you would not need to implement Firewall rule #1. What you have is perfectly fine it is just a matter of preference.

    With that being said I don't see anything that would relate to the issue you describe of problems browsing the Internet when connected with the OpenVpn server. Are you using webfiltering and IPS? What is in the logs (Firewall, Web filtering, IPS etc) when you are having the problem? What is the specific error in the browser timeout, dns ....?


    @ Balfson
    as Dilandau suggested, I disabled the DNAT rule ,
    because
    I'm not running the OpenVpn server
    I'm running the OpenVpn client on the DMZ interface( because I couldn't get it to work on the main interface) 
    since, I'm not running a server I don't need to allow a path for unsollicited packets FROM the external interface TO the device located on the DMZed interface, right?

    besides, packets hitting the external interface on port80 are already DNATed to a server located on the 'main' internal interface
    also
    theses are the ports my OpenVPn client has to use in order to connect ot the OpenVpn server:
    UDP ports #9201 #1194 #8080 #53
    TCP ports #443 #110 #80
    so,
    I cannot have 8080, 80 and 443 going to the DMZ interface they are already DNATed to some devices on another internal interface....

    here's an idea , 
    can I put a DNAT rule in front  of the existing ones, 
    that would send packets hitting the external interface "coming from a specified location", going to the DMZed interface instead of going to the regular servers...
    and if the packets are NOT from this location, then they would be sent to the regular device on the regular internal interface?

    does that makes sense?
  • 0
    @ Dilandau
    well!
    I really interpreted the IPS GUI, like this:
    the specified interface  get the selected policy applied ot them , if I don't specify them they don't get the policy applied , so I thought the packets would then NOT be dropped/terminated because, it's a DMZ interface that I want, so everything should get in... that is the purpose of that interface...

    but I will definitley try it out, and add an exception rule for that particular device,
  • 0
    @ BarryG
    I will do a nother test-run problably tomorrow, 
    I will extract the matching portion of the logs and post it.
  • 0 in reply to Connaisrien
    So,
    tonight I had some time to spare, no kids, no wife , just me and my BatCave....
    and 
    since I did not resolved my case, 
    I wanted to pinpoint what could be the problem , that is:  preventing me from webbrowsing when my local computer ( behind a UTM9) is connected to a paid-for VPN service ...
    and 
    for this , I took the UTM out of the equation, so I unhooked it , and replaced it by a Tomato-router, 
    made sure It was connected to the net, 
    I had my public-IP shown to me in a webpage by a remote service ( AKA not from the paid VPN service)
    then connected to the VPN-server ( openVPN client on my laptop) and refreshed the page showing the public IP, 
    guess what, 
    it connected properly and I could browse the net ..
    I disconnected the VPN and my 'visible public IP re-became from my ISP...
    so

    the VPN service is not to blame, 
    if I'm behind my UTM can't browse the net
    if I'm behind a Tomato-router, I'm fine!!!!!!!!!!!!!!!!!

    seriously what's going on, I mean , I been cranking on this for months, anyone has an idea?

    What if there was a service definition for OpenVPN, because I did check and there's a Group Definition containing IpSEC PPTP and L2TP protocols  but nothing about OpenVPN
    and I guess OpenVPN is out fo the questino because the UTM itself is running an OpenVPN server on the External interface...
    Maybe that is the problem....

    Thanks
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML