Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 2 subscribers
  • Views 5059 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

New UTM install, No outside access

jerrylyoungii
Hello all,
First major firewall/UTM install here.  Have worked with Astaro in the past and really enjoyed the product, which is why I wanted to switch from Cisco ASA.

I went through the startup wizard for about the 7th time now thinking I have done something wrong, but I am certain I am setting the initial things up correctly as far as LAN and WAN IPs and settings.  Fairly sure I have DNS set up correctly as I can get out to this page to create this thread.

However, lets start with email, when I send a test email it never shows up in mail manager in the spool or in the firewall or smtp log.  

I have setup my mail domains in the initial setup and created my internal mail server.  I have MX records for my mail domains that point to my external IPs respectively.  I was hoping maybe it would just work with that initial set up, but it did not so I took to the forums and found some things that I have tried.  

I created DNATs for both the external IPs and the entire WAN network using smtp from any source and pointed all of them to the internal mail server.  I checked the box to create firewall rules automatically. I also created a plethora of firewall rules manually.  

The same is true for my websites and FTP sites.  All are dead from the outside and I have created DNAT rules that I copied from the ASA to make sure they are right.  

Any logs anyone would like to see or anything, let me know.  I would appreciate any help.


This thread was automatically locked due to age.
Parents
  • 0
    Could you show us screen caps of the DNAT rules you are using? Also, the NAT rules from the ASA would be great.

    I've attached a basic DNAT I used in the past on my rig. The Going To is cutoff but should say "External (WAN) Address". You can also use a secondary address here if need be and it should still work.

    As long as the UTM is the default gateway for your server's LAN, it should work as shown. If the UTM is not the default gateway, you need a different type of NAT rule.
Reply
  • 0
    Could you show us screen caps of the DNAT rules you are using? Also, the NAT rules from the ASA would be great.

    I've attached a basic DNAT I used in the past on my rig. The Going To is cutoff but should say "External (WAN) Address". You can also use a secondary address here if need be and it should still work.

    As long as the UTM is the default gateway for your server's LAN, it should work as shown. If the UTM is not the default gateway, you need a different type of NAT rule.
Children
  • 0 in reply to TheDrew
    Could you show us screen caps of the DNAT rules you are using? Also, the NAT rules from the ASA would be great.

    I've attached a basic DNAT I used in the past on my rig. The Going To is cutoff but should say "External (WAN) Address". You can also use a secondary address here if need be and it should still work.

    As long as the UTM is the default gateway for your server's LAN, it should work as shown. If the UTM is not the default gateway, you need a different type of NAT rule.


    Andrew,
    That is very similar to what I have, and what I have found scouring the forums. I am attaching some screen caps for you guys to look at.  In my set up I have a netmask of /27 for my external network as we have a lot of sites and FTP sites and a bunch of junk going on.  In the ASA set up, I would take the exact external IP for a particular site that is set up in DNS and make a nat rule pointing directly to an internal IP on one of three web servers.  So mine would look more like Any -> HTTP -> 174.x.x.x  sent to 192.x.x.x.  I have worked with Astaro in the past and that seemed correct.   

    The more and more I look at it, it feels like there is either a very simple issue causing this problem, or a major setting issue.  I double checked all of my external Gateway settings with my ISP and they felt it should be correct.  Plus I had the ASA console up right beside the Sophos webadmin when I created it so I could double check.

    A note I forgot to make, while the UTM was installed over the weekend, I did open the firewall live log and it looked like all packets were being dropped.  I am at a loss on this.  The ASA is in place right now as we need to be working, but the next time I can get back in to try the UTM would be probably tomorrow.  I will post screen caps of that as well.
  • 0 in reply to jerrylyoungii
    I have more captures, but I hit the limit on the recent post.

    In the first set I gave the UTM interfaces and the ASA interfaces.

    the UTM Masq and then what I assume acts in the same way for the ASA. It is a dynamic Nat rule.

    and then I gave what the definition of the site I am working on looks like.  I am wondering if the DNS settings would help at all to fill all of that in.?.?

    In these 5 captures I am including the DNAT rule for the site I am working on.

    I read about having issues in getting to sites if the UTM was not doing DNS, as my domain controller is doing DNS and it could work to try some full Nat set ups, so I followed the post I found on that and included 2 of those.

    I am also including two caps of the ASA Nat set ups.  It almost appears as though they are source nat rules instead of DNAT rules.  Someone correct me if I am wrong.
  • 0 in reply to jerrylyoungii
    And for my final set of screen captures, I have my email set up.

    When I took over this job and ended up having to switch ISPs and we changed our IPs out, I ran into a big set of problems with email.

    We have 3 mail domains.  Each having its own external IP that DNS records were created for, and then a fourth MX record was made.  The first three are supposed to fail over once they dont get a response to the MX record which should then send all mail to the firewall.  It used to come into an internal IP for a barracuda device.  Since the barracuda is gone, I just figured the UTM would scan the mail and forward it on to the mail server with the wizard set up.