Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 2 subscribers
  • Views 5058 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

New UTM install, No outside access

jerrylyoungii
Hello all,
First major firewall/UTM install here.  Have worked with Astaro in the past and really enjoyed the product, which is why I wanted to switch from Cisco ASA.

I went through the startup wizard for about the 7th time now thinking I have done something wrong, but I am certain I am setting the initial things up correctly as far as LAN and WAN IPs and settings.  Fairly sure I have DNS set up correctly as I can get out to this page to create this thread.

However, lets start with email, when I send a test email it never shows up in mail manager in the spool or in the firewall or smtp log.  

I have setup my mail domains in the initial setup and created my internal mail server.  I have MX records for my mail domains that point to my external IPs respectively.  I was hoping maybe it would just work with that initial set up, but it did not so I took to the forums and found some things that I have tried.  

I created DNATs for both the external IPs and the entire WAN network using smtp from any source and pointed all of them to the internal mail server.  I checked the box to create firewall rules automatically. I also created a plethora of firewall rules manually.  

The same is true for my websites and FTP sites.  All are dead from the outside and I have created DNAT rules that I copied from the ASA to make sure they are right.  

Any logs anyone would like to see or anything, let me know.  I would appreciate any help.


This thread was automatically locked due to age.
  • 0
    Hi and welcome back,
    try a simple setup
    1/. packet filter rule internal network -> any port -> any destination -> allow -> log
    2/. NAT using MASQ internal network -> external interface

    This assumes you have your external interface setup correctly.

    ian
  • 0 in reply to RFCat_vk_01
    Hi and welcome back,
    try a simple setup
    1/. packet filter rule internal network -> any port -> any destination -> allow -> log
    2/. NAT using MASQ internal network -> external interface

    This assumes you have your external interface setup correctly.

    ian


    Ian, Thanks for the response.
    In a previous configuration, I had tried the Any - any - Any rule for the firewall with no luck, but I have not tried it with this most recent load.
    The Masq set up is set for internal network to external interface.

    After tons of testing and playing with it, it really feels like any traffic hitting the firewall is getting to the door, but then it has no idea what to do.  I did a ping and traceroute on my mail domains and they appeared to work correctly. The traceroute got to my ISP then fell off which made me assume it got to the firewall. But like I said, the mail will sit and wait until I hook the ASA back up.
  • 0
    Could you show us screen caps of the DNAT rules you are using? Also, the NAT rules from the ASA would be great.

    I've attached a basic DNAT I used in the past on my rig. The Going To is cutoff but should say "External (WAN) Address". You can also use a secondary address here if need be and it should still work.

    As long as the UTM is the default gateway for your server's LAN, it should work as shown. If the UTM is not the default gateway, you need a different type of NAT rule.
  • 0 in reply to TheDrew
    Could you show us screen caps of the DNAT rules you are using? Also, the NAT rules from the ASA would be great.

    I've attached a basic DNAT I used in the past on my rig. The Going To is cutoff but should say "External (WAN) Address". You can also use a secondary address here if need be and it should still work.

    As long as the UTM is the default gateway for your server's LAN, it should work as shown. If the UTM is not the default gateway, you need a different type of NAT rule.


    Andrew,
    That is very similar to what I have, and what I have found scouring the forums. I am attaching some screen caps for you guys to look at.  In my set up I have a netmask of /27 for my external network as we have a lot of sites and FTP sites and a bunch of junk going on.  In the ASA set up, I would take the exact external IP for a particular site that is set up in DNS and make a nat rule pointing directly to an internal IP on one of three web servers.  So mine would look more like Any -> HTTP -> 174.x.x.x  sent to 192.x.x.x.  I have worked with Astaro in the past and that seemed correct.   

    The more and more I look at it, it feels like there is either a very simple issue causing this problem, or a major setting issue.  I double checked all of my external Gateway settings with my ISP and they felt it should be correct.  Plus I had the ASA console up right beside the Sophos webadmin when I created it so I could double check.

    A note I forgot to make, while the UTM was installed over the weekend, I did open the firewall live log and it looked like all packets were being dropped.  I am at a loss on this.  The ASA is in place right now as we need to be working, but the next time I can get back in to try the UTM would be probably tomorrow.  I will post screen caps of that as well.
  • 0 in reply to jerrylyoungii
    I have more captures, but I hit the limit on the recent post.

    In the first set I gave the UTM interfaces and the ASA interfaces.

    the UTM Masq and then what I assume acts in the same way for the ASA. It is a dynamic Nat rule.

    and then I gave what the definition of the site I am working on looks like.  I am wondering if the DNS settings would help at all to fill all of that in.?.?

    In these 5 captures I am including the DNAT rule for the site I am working on.

    I read about having issues in getting to sites if the UTM was not doing DNS, as my domain controller is doing DNS and it could work to try some full Nat set ups, so I followed the post I found on that and included 2 of those.

    I am also including two caps of the ASA Nat set ups.  It almost appears as though they are source nat rules instead of DNAT rules.  Someone correct me if I am wrong.
  • 0 in reply to jerrylyoungii
    And for my final set of screen captures, I have my email set up.

    When I took over this job and ended up having to switch ISPs and we changed our IPs out, I ran into a big set of problems with email.

    We have 3 mail domains.  Each having its own external IP that DNS records were created for, and then a fourth MX record was made.  The first three are supposed to fail over once they dont get a response to the MX record which should then send all mail to the firewall.  It used to come into an internal IP for a barracuda device.  Since the barracuda is gone, I just figured the UTM would scan the mail and forward it on to the mail server with the wizard set up.
  • 0
    Hi Jerry,

    The NAT's are broken, that I can see. And if all three you've shown are active, that may be why things aren't working, at least of the http side.

    Position of rules in the UTM world sets precedence so if two NAT rules could match, the first one in order triggers. Good idea is to set NAT's up in order of narrowest to widest. In your case, the Position 1 NAT catches both internal and external clients because of the "Any" in the source. Try deleting that one and leave the Position 2 Full NAT and the Position 10 DNAT in place. The position 2 FullNAT is narrower then the Position 10 DNAT as it only catches the LAN clients.

    Now, When you setup a Full NAT (both source and destination IP translation), the changed source needs to be the UTM's internal interface, not the public IP.
  • 0 in reply to TheDrew
    Hi Jerry,

    The NAT's are broken, that I can see. And if all three you've shown are active, that may be why things aren't working, at least of the http side.

    Position of rules in the UTM world sets precedence so if two NAT rules could match, the first one in order triggers. Good idea is to set NAT's up in order of narrowest to widest. In your case, the Position 1 NAT catches both internal and external clients because of the "Any" in the source. Try deleting that one and leave the Position 2 Full NAT and the Position 10 DNAT in place. The position 2 FullNAT is narrower then the Position 10 DNAT as it only catches the LAN clients.

    Now, When you setup a Full NAT (both source and destination IP translation), the changed source needs to be the UTM's internal interface, not the public IP.


    Thank you Andrew.
    I will give this a try.  I originally, before I deleted and started over, had solely DNATs like the 10 position one for all of my sites as Any -> http -> relevant external IP  change to relevant internal IP.  That was not working however.  

    I should get a chance hopefully to plug the UTM back in tomorrow night and try some more things.  

    Any ideas on the mail server issue or those drop packets I noticed?

    I feel like, while my set up is slightly more complex, it shouldn't be this hard to at least get to a website with a simple DNAT and Firewall rule.
  • 0 in reply to jerrylyoungii
    I fiddled with the suggestions you guys had and still didn't make a ton of headway on the HTTP issues.  However, I was just fumbling around and starting playing with the additional addresses feature.  I started to created all of my external IPs on the eth1 external interface. Then I used those newly created interface in my dnats and pointed them to my internal websites and low and behold they worked.  Now I would like to know if this is going to screw with any of the protection of the UTM. Thoughts?
  • 0
    update 2:
    SMTP fixed.  This was more my fault than anything and silly settings issue.

    Down to my final issue I see so far.  FTP dnats are not allowing connecting to internal FTP server.  I am using teamviewer still to get to my laptop at home and the connections continue to time out.  Packets are being dropped however.  Attaching image of drops.