Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 2 subscribers
  • Views 5063 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

New UTM install, No outside access

jerrylyoungii
Hello all,
First major firewall/UTM install here.  Have worked with Astaro in the past and really enjoyed the product, which is why I wanted to switch from Cisco ASA.

I went through the startup wizard for about the 7th time now thinking I have done something wrong, but I am certain I am setting the initial things up correctly as far as LAN and WAN IPs and settings.  Fairly sure I have DNS set up correctly as I can get out to this page to create this thread.

However, lets start with email, when I send a test email it never shows up in mail manager in the spool or in the firewall or smtp log.  

I have setup my mail domains in the initial setup and created my internal mail server.  I have MX records for my mail domains that point to my external IPs respectively.  I was hoping maybe it would just work with that initial set up, but it did not so I took to the forums and found some things that I have tried.  

I created DNATs for both the external IPs and the entire WAN network using smtp from any source and pointed all of them to the internal mail server.  I checked the box to create firewall rules automatically. I also created a plethora of firewall rules manually.  

The same is true for my websites and FTP sites.  All are dead from the outside and I have created DNAT rules that I copied from the ASA to make sure they are right.  

Any logs anyone would like to see or anything, let me know.  I would appreciate any help.


This thread was automatically locked due to age.
Parents
  • 0
    Jerry, it's difficult to do much analysis with the Firewall Live Log - please post the corresponding lines from the full log file instead. 

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
  • 0 in reply to BAlfson
    1. FTP: my FTP sites were accessible through a program like Filezilla but if you tried to use windows explorer or a browser, they would time out.  I watched the log as I tried to access them and it was showing dropped packets for port 21.  Finally I watched the FTP 3rd party software I use on my server and the Sophos logs at the same time and noticed that through a browser, the connection was trying to connect anonymously which we don't allow.  There was never a credentials prompt.  After scouring the forum, I tripped upon IPS being an issue for someone else for an unrelated topic.  I went and put FTP services in the exceptions for IPS and all works fine now.

    2. SMTP: For domains, I was trying to use mail.***x.com, but rather just putting ***.com for my domains allowed the traffic to be forwarded on to my mail server.  For my upstream hosts and my host based relays, putting in the IP of my mx record resolved that portion of the issue.  Was previously using my A records for my mail domains. On advanced tab, changed my smtp hostname to mail.***.com.

    3. Accessing web pages from the outside: I have about 13 total sites that need to be accessed from the outside world on corresponding external IPs. I had used definitions to make those hosts and created the correct DNATs the first time, but I wasn't getting anywhere.  I was just clicking through all the tabs of the console and came across additional addresses.  by chance I just started creating my external IPs in there and then creating the any-http-(wan)external ip to web server and it worked.  Not sure what the difference may be, but in my case this worked.

    Thanks for everyone's input.  I created this long update because I never could find anything in the forums relating to my issues.  I saw a few where people asked similar questions but never showed a resolution.  I hope this can help anyone in the future.
Reply
  • 0 in reply to BAlfson
    1. FTP: my FTP sites were accessible through a program like Filezilla but if you tried to use windows explorer or a browser, they would time out.  I watched the log as I tried to access them and it was showing dropped packets for port 21.  Finally I watched the FTP 3rd party software I use on my server and the Sophos logs at the same time and noticed that through a browser, the connection was trying to connect anonymously which we don't allow.  There was never a credentials prompt.  After scouring the forum, I tripped upon IPS being an issue for someone else for an unrelated topic.  I went and put FTP services in the exceptions for IPS and all works fine now.

    2. SMTP: For domains, I was trying to use mail.***x.com, but rather just putting ***.com for my domains allowed the traffic to be forwarded on to my mail server.  For my upstream hosts and my host based relays, putting in the IP of my mx record resolved that portion of the issue.  Was previously using my A records for my mail domains. On advanced tab, changed my smtp hostname to mail.***.com.

    3. Accessing web pages from the outside: I have about 13 total sites that need to be accessed from the outside world on corresponding external IPs. I had used definitions to make those hosts and created the correct DNATs the first time, but I wasn't getting anywhere.  I was just clicking through all the tabs of the console and came across additional addresses.  by chance I just started creating my external IPs in there and then creating the any-http-(wan)external ip to web server and it worked.  Not sure what the difference may be, but in my case this worked.

    Thanks for everyone's input.  I created this long update because I never could find anything in the forums relating to my issues.  I saw a few where people asked similar questions but never showed a resolution.  I hope this can help anyone in the future.
Children
  • 0 in reply to jerrylyoungii
    3. Accessing web pages from the outside: I have about 13 total sites that need to be accessed from the outside world on corresponding external IPs. I had used definitions to make those hosts and created the correct DNATs the first time, but I wasn't getting anywhere.  I was just clicking through all the tabs of the console and came across additional addresses.  by chance I just started creating my external IPs in there and then creating the any-http-(wan)external ip to web server and it worked.  Not sure what the difference may be, but in my case this worked.


    Do you happen to have Web Server security in your license? If so you may even be able to use that and add an extra layer of security (reverse proxy) in between your webservers and their visitors.