Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 4659 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Masquerade and SNAT issues

cliffg
I am currently evaluating Sophos UTM 9 as software on an existing machine. I have hit an issue that seems odd. If it were a bug, I'd think someone else would have hit it before now.

Small test lab. Two interfaces. One internal/private with a private address space, and one external/public interface connected to a cable-modem. The cable provider has provided 5 public static IP addresses.

I cannot get any outbound traffic to use any IP address besides the IP address specified on the external interface of the UTM GUI. I have created additional IP addresses on the "additional address" tab on the GUI. I've changed the masquerade rule to use the additional address, but the reported address is still the original address.

If I create an SNAT rule, it is ignored.

If I delete all NAT rules (including the default masquerade rule), traffic is *still* masqueraded (with NO RULES!) and uses the default address.

The only way to get it to use another of the 5 IP addresses allocated is to change it on the interface itself. Changing the IP address *DOES* work. But that still relegates all outbound traffic to that one IP address. The benefit of multiple masquerade rules, or *any* SNAT rules, seems completely lost, as does the GUI option to choose an additional address in the masquerade or SNAT rule process.

Thoughts?  Suggestions?  This needs to be resolved before a purchase can be finalized.


This thread was automatically locked due to age.
  • 0
    Firstly, what version of UTM are you running. 9.???

    Secondly, could you include screenshots of your masq and NAT rules, perhaps they are misconfigured.

    Since you just mention the one modem, I'm assuming that there aren't any multipath rules.

    As this is a pre-purchase trial, you may wish to contact the reseller you're going to work through either for direct support from them or to contact Sophos pre-sales engineering.
  • 0
    The version is 9.201-25

    There are no multipath rules

    masq is blank at the moment (but I'll include it)
    SNAT is as straightforward as it gets (but feel free to point out any glaring mistakes...it happens...)

    I've also included the masq rule I have tried.

    It is worth noting that the result is always the same. With the masq. Without the masq. And without the masq or the snat. (all blank).  The firewall does still masquerade my IPs to the external interface's primary IP. With no masq or snat, that is a surprise to me.
  • 0
    Hi, I'm guessing you're using the http proxy (Web Protection) which is not affected by your SNAT.

    Barry
  • 0
    Spot on. Initial tests do confirm that is/was the issue. So now the question becomes....

    How can I control what IP is used by the web protection proxy?
    In an ideal world, I'd like to keep all web traffic protected, but have my different VLANs mapped to different public IPs. Right now it seems to be all to one IP or disable filtering for my SNAT rules to kick in. I can see where I can create additional policies and filters, but no options seem to exist there (or anywhere) to select the interface (or more accurately, sub-interface.) 

    Did I miss something, or am I just asking too much?
  • 0
    Hi,

    I'm not sure it's possible; if no one else replies here, you can look to see if it's been requested or post a new feature request at
    UTM (Formerly ASG) Feature Requests: Hot (1975 ideas)

    Barry
  • 0
    Thanks. I did find a similar request (from 2009!) and have added my votes and commented on the issue. I'm surprised a request that old hasn't seen any movement but alas, not much I can do about that it seems. Hopefully older requests still get reviewed occasionally.