Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 1596 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

MultiWan and NATting

Kedryn
hi

i'm trying to setup Sophos UTM 9 to handle my 2wan-1lan connections, and before sophos i tried pfsense with the same result.

Scenario:


i've Sophos UTM 9 with firmware 9.108-23 on a vmware machine with 3 virtual nics

eth0 LAN : ip 10.0.0.252    (LAN IS 10.0.x.x)
eth1 WAN ISP 1 : ip 1.1.1.1 with GW 1.1.1.254
eth2 WAN ISP 2 : ip 2.2.2.2 with GW 2.2.2.254

Exchange server: 10.0.0.3
i've disabled all services on UTM, besides Firewall and Network Visibility, for testing.

Uplling balancing is active with both WAN connections, and Multipath Rules are:
Any->Web Surfing->Any->Uplink Interfaces (By Connection))
Any->SMTP->Any->Uplink Interfaces  (By Dest)
Any->DNS->Any->Uplink Interfaces (Balance Indivually)
Any->Email Messaging->Any -> Uplink interfacs

i can navigate from lan to internet using multiple links

In firewall rules i've setup a 
Any->Email messages + owa -> 10.0.03 (using an alias)

I need to be able to forward "Email Messages" and "OWA" ports to the internal exchange

i have tried:

DNAT
Any->Email messaging->WanIsp1 
Dest 10.0.0.3

DNAT
Any->OWA->WanIsp1 
Dest 10.0.0.3

then added (read on some forums) also

SNAT
10.0.0.3->any->Internet IPv4
Sourc. transl. WanIsp1 


FULL NAT
10.0.0.3
Internal NEtowrk->Email messaging->WanIsp1 
source transl: v

but nothing works.. if i check the firewall live log, i see 
NAT rule #2    :57101::80 [SYN]
when i try to open the WanIsp1  on my browser at home
or NAT RULE #1 with port 110 when i try to telnet WanIsp1 110 from my comp. at home.

there is no evendince of this "connection neither on the sophos netstat, nor i the exchange machine one.
What i'm doing wrong?

With pfSense i had the same problem.. could navigate with load balanced connection, but couldn't get any internal service exposed...


This thread was automatically locked due to age.
  • 0
    No one with my scenario, working or not?
  • 0
    Hi, Kedryn, and welcome to the User BB!

    "Any->Web Surfing->Any->Uplink Interfaces (By Connection))" and "Any->SMTP->Any->Uplink Interfaces (By Dest)" cause routing conflicts with "SNAT : 10.0.0.3->any->Internet IPv4 :  Sourc. transl. WanIsp1."

    Take a look at https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/22065, especially #3 through #5.  If you're still having problems, please [Go Advanced] below and attach pictures of your NAT rules.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi, Kedryn, and welcome to the User BB!

    "Any->Web Surfing->Any->Uplink Interfaces (By Connection))" and "Any->SMTP->Any->Uplink Interfaces (By Dest)" cause routing conflicts with "SNAT : 10.0.0.3->any->Internet IPv4 :  Sourc. transl. WanIsp1."

    Take a look at http://www.astaro.org/gateway-products/general-discussion/49065-rulz.html, especially #3 through #5.  If you're still having problems, please [Go Advanced] below and attach pictures of your NAT rules.

    Cheers - Bob



    Tried many things, but no luck.. i'll attach here few screnshoots about my last try...
  • 0 in reply to Kedryn
    BAlfson? i know you are the Guru here [:)] any other advice?
  • 0
    I think you may need to create a multipath rule for "Email messaging" and "HTTP" for Source=Exchange. Persistence by Interface and then select the Fastweb SHDSL interface.

    Managing several Sophos UTMs and Sophos XGs both at work and at some home locations, dedicated to continuously improve IT-security and feeling well helping others with their IT-security challenges.

    Sometimes I post some useful tips on my blog, see blog.pijnappels.eu/category/sophos/ for Sophos related posts.

  • 0
    Is this a home setup, or will your business be paying for subscriptions?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    It's a test setup.. if i manage to have this working, i can evaluate it over pfSense, and let my CEO decide  what to use, the free pfSense or the paid Sophos UTM
  • 0
    If you're only going to use the Firewall and Multipath and NAT rules, you can use the free UTM Essentials license.

    Yes, use Apijnappels' suggestion and delete the other rules.

    Depending on the security needs of the business, you might want to involve a strong, local reseller to discuss some assistance and the desirability of adding some paid subscriptions.  In specific, anti-spam and anti-virus with Email Protection and anti-virus/URL-Filtering with Web Protection.

    Cheers - Bob
    PS Even someone that has strong Cisco and networking skills can make short-sighted choices when designing a UTM configuration.  As long as you follow The Zeroeth Rule, your situation is very simple, and you should be OK.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Cookie Information Banner