Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 2186 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Static routing: different paths for request and response

jambonorange
Hi !

I'm wondering how Sophos routing works.
I'm using Sophos UTM9.
During some tests, I discovered that the host that send the request packet to sophos has to be the one sophos sends the response.

Example:
Host A sends TCP request to sophos. Sophos routes the packets. The response arrived to Sophos. Sophos should be routing this response to Host B because of the static routes. But Sophos does not do that.

Is that normal ?
Is sophos a "stateful router" ?

Thank you !


This thread was automatically locked due to age.
  • 0
    Hi, JO, and welcome to the User BB!

    Yes, the UTM is a stateful firewall.  WebAdmin automatically creates routes between subnets defined on its interfaces, so static routes are not necessary for that traffic.  By default, all traffic is blocked unless specifically allowed by a firewall rule.  For traffic from your LANs to the Internet, masquerading rules are needed.  For more hints, consult Rulz.

    Cheers - Bob
  • 0
    Hi !

    Thank you for your answer.
    But I disabled the firewall like that:


    So the issue is in the routing process.
    Any idea ?
  • 0
    Masquerading?

    If that's not the problem, show a representative packet (IP -> Service -> IP) that you want the UTM to receive and the IP of the device to which you want the UTM to send.

    Cheers - Bob
  • 0 in reply to BAlfson
    Ok let's say i've got something like this:



    Host A ping Host B.
    The routes I have added make the request goes:
    Host A --> Sophos --> Router 1 --> Router 2 --> Host B
    And the response:
    Host B --> Router 2 --> Sophos --> Host A

    And I think that sophos does't want to forward the response because it "sees" that Router 2 shouldn't be the one sending the response. It should be Router 1 (because Sophos sent the request to Router 1).

    I hope I'm clear ! [:$]

    There's not masquerading

    Thanks in advance
  • 0
    You're right, the connection tracker won't accept the packet from Router 2.  If Router 1 is the default gateway for the UTM, then you need a Static Gateway Route in the UTM like '{10.0.0.0/8} ->{IP of Router 2}'.

    In general, we recommend that only very large businesses use the 10. address space.  I've seen people use the /8 and then have terrible routing problems because they hadn't planned well enough.  Also, the 192.168. space should be left to public hotspots and home networks to avoid possible conflicts with VPN accesses.  Most folks here should use a small portion of the 172.16.0.0/12 address space for their UTM installations.

    Cheers - Bob
  • 0 in reply to BAlfson
    Thank you very much [[:)]]
    Is there a way to disable the connection tracker ?

    Thank you also for the recomandations about ip addresses [[:)]] I'll try to keep that in mind!

    Have a nice day,
    JO.
  • 0
    Is there a way to disable the connection tracker ?

    No, but you might consider replacing Router 2 with the UTM instead of just adding the UTM to the mix.

    Cheers - Bob