Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 2 subscribers
  • Views 5053 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

New UTM install, No outside access

jerrylyoungii
Hello all,
First major firewall/UTM install here.  Have worked with Astaro in the past and really enjoyed the product, which is why I wanted to switch from Cisco ASA.

I went through the startup wizard for about the 7th time now thinking I have done something wrong, but I am certain I am setting the initial things up correctly as far as LAN and WAN IPs and settings.  Fairly sure I have DNS set up correctly as I can get out to this page to create this thread.

However, lets start with email, when I send a test email it never shows up in mail manager in the spool or in the firewall or smtp log.  

I have setup my mail domains in the initial setup and created my internal mail server.  I have MX records for my mail domains that point to my external IPs respectively.  I was hoping maybe it would just work with that initial set up, but it did not so I took to the forums and found some things that I have tried.  

I created DNATs for both the external IPs and the entire WAN network using smtp from any source and pointed all of them to the internal mail server.  I checked the box to create firewall rules automatically. I also created a plethora of firewall rules manually.  

The same is true for my websites and FTP sites.  All are dead from the outside and I have created DNAT rules that I copied from the ASA to make sure they are right.  

Any logs anyone would like to see or anything, let me know.  I would appreciate any help.


This thread was automatically locked due to age.
Parents
  • 0
    Hi Jerry,

    The NAT's are broken, that I can see. And if all three you've shown are active, that may be why things aren't working, at least of the http side.

    Position of rules in the UTM world sets precedence so if two NAT rules could match, the first one in order triggers. Good idea is to set NAT's up in order of narrowest to widest. In your case, the Position 1 NAT catches both internal and external clients because of the "Any" in the source. Try deleting that one and leave the Position 2 Full NAT and the Position 10 DNAT in place. The position 2 FullNAT is narrower then the Position 10 DNAT as it only catches the LAN clients.

    Now, When you setup a Full NAT (both source and destination IP translation), the changed source needs to be the UTM's internal interface, not the public IP.
Reply
  • 0
    Hi Jerry,

    The NAT's are broken, that I can see. And if all three you've shown are active, that may be why things aren't working, at least of the http side.

    Position of rules in the UTM world sets precedence so if two NAT rules could match, the first one in order triggers. Good idea is to set NAT's up in order of narrowest to widest. In your case, the Position 1 NAT catches both internal and external clients because of the "Any" in the source. Try deleting that one and leave the Position 2 Full NAT and the Position 10 DNAT in place. The position 2 FullNAT is narrower then the Position 10 DNAT as it only catches the LAN clients.

    Now, When you setup a Full NAT (both source and destination IP translation), the changed source needs to be the UTM's internal interface, not the public IP.
Children
  • 0 in reply to TheDrew
    Hi Jerry,

    The NAT's are broken, that I can see. And if all three you've shown are active, that may be why things aren't working, at least of the http side.

    Position of rules in the UTM world sets precedence so if two NAT rules could match, the first one in order triggers. Good idea is to set NAT's up in order of narrowest to widest. In your case, the Position 1 NAT catches both internal and external clients because of the "Any" in the source. Try deleting that one and leave the Position 2 Full NAT and the Position 10 DNAT in place. The position 2 FullNAT is narrower then the Position 10 DNAT as it only catches the LAN clients.

    Now, When you setup a Full NAT (both source and destination IP translation), the changed source needs to be the UTM's internal interface, not the public IP.


    Thank you Andrew.
    I will give this a try.  I originally, before I deleted and started over, had solely DNATs like the 10 position one for all of my sites as Any -> http -> relevant external IP  change to relevant internal IP.  That was not working however.  

    I should get a chance hopefully to plug the UTM back in tomorrow night and try some more things.  

    Any ideas on the mail server issue or those drop packets I noticed?

    I feel like, while my set up is slightly more complex, it shouldn't be this hard to at least get to a website with a simple DNAT and Firewall rule.
  • 0 in reply to jerrylyoungii
    I fiddled with the suggestions you guys had and still didn't make a ton of headway on the HTTP issues.  However, I was just fumbling around and starting playing with the additional addresses feature.  I started to created all of my external IPs on the eth1 external interface. Then I used those newly created interface in my dnats and pointed them to my internal websites and low and behold they worked.  Now I would like to know if this is going to screw with any of the protection of the UTM. Thoughts?