Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 6719 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM in a DMZ. NAT rule?

Train1
I'm trying to configure a UTM whose WAN interface is connected to the DMZ port on a VoIP box. The UTM's external IP is 10.40.x.x instead of the public-facing IP from the ISP.  How do I configure NAT (or whatever else) so that the DMZ hop is transparent to the internal network?  

For example:  I'm unable to connect to the UTM WebAdmin console from outside the network using it's public address and from the inside I'm unable to access my other UTM's WebAdmin consoles using their public addresses.


This thread was automatically locked due to age.
  • 0
    Hi, 

    This is creating a double-NAT... as you've discovered this can be very difficult to work with.

    I'd recommend moving the VOIP box inside the UTM.

    Barry
  • 0 in reply to BarryG
    Ironically this UTM is replacing an Untangle box that worked without any extra configuration.  I'm not looking forward to explaining that this new expensive solution lacks the functionality they had with the free Untangle.
  • 0
    Hi,

    Good security devices have to be configured. They start with a configuration which is most likely as secure as possible.

    Double-NAT is not really a best practice (more a "can't be done different"). I would recommend to move the VoIP box behind the UTM as Barry mentioned and create needed firewall rules for it.

    From the inside you should use the internal IP of the UTM.

    Your reseller should be able to help you with your setup. You may should ask him.

    Regards
    Urs
  • 0
    Hi, Train1, and welcome to the User BB!

    Of course BarryG and Whity are correct.  Although the UTM is easily maintainable by someone that knows networking, you should get help designing the initial configuration.  We make a lot more money fixing setup mistakes made by intelligent admins than we would have made had we done the initial installation.

    It's disappointing that your reseller didn't propose installation services.

    Cheers - Bob
  • 0 in reply to BAlfson
    Are you saying it's not possible or that it's just hard? 

    I thought a Full NAT would do it but haven't had any luck.  In some scenarios ISP's only offer a DMZ address as your forward-facing IP - how is a UTM configured then?
  • 0
    Bob,

    Even though we are new to Sophos, we have support numerous main line firewalls. Placing the VoIP box behind is not an option. The VoIP provider designed the box to work that way.

    Since you proclaim to be the all-knowing Sophos expert, surely you have encountered in your vast experience an internet provider who hands off an ethernet port. I have seen this on MPLS network and some cable providers. They give you a box they manage and give you an IP on their network.

    So what do you do in that instance? Surely there is a workaround.
  • 0
    Are you saying it's not possible or that it's just hard?

    I thought a Full NAT would do it but haven't had any luck.  In some scenarios ISP's only offer a DMZ address as your forward-facing IP - how is a UTM configured then?



    Hard. 

    If you need to allow incoming traffic, 
    You'll need NATs or a DMZ on the voip device,  and DNATs on the utm. 

    Barry
  • 0
    Are you saying it's not possible or that it's just hard?

    No, just that it's easy to get things working, but more difficult to have a setup that's easy to maintain and modify in the future.

    Hi, dsolutions1, and welcome to the User BB and Sophos - glad to have you on board!
    They give you a box they manage and give you an IP on their network.

    So what do you do in that instance? Surely there is a workaround. 

    Yes, there are workarounds, but they can make life difficult later.  That's why I like to get it right the first time, and that can require challenging an ISP or VoIP provider to learn more about their own equipment.

    Cheers - Bob
    PS And, that "title" was added by one of the Administrators of the User BB, so don't assume I think I know so much! [;)]
  • 0 in reply to BarryG
    Hard. 

    You'll need NATs or a DMZ on the voip device

    Barry


    The UTM is plugged into the DMZ of the VoIP box. The VoIP box passes everything from the Public NIC through the DMZ.

    I understand why the VoIP provider wants to be outside the firewall. Since they manage the VoIP appliance, it eliminates firewall as a support issue. They can control their box. They can not control the firewall.

    internet - VoIP Eth0(69.12.xx.xx) - VoIP Eth1(DMZ)(10.40.47.1) - Sophos Eth0 (10.40.47.50) - Eth1(192.168.10.x) - LAN

    So are you saying I need a DNAT rule for traffic both ways?
  • 0
    Hi,

    If you want to allow inbound traffic (to a webserver or whatever), then you need a DNAT.

    For outbound traffic, you need a Masquerading rule: LAN-> WAN/ETH0 ADDRESS

    And firewall rules.

    Barry