Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 1893 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Missing Packets???

chrisb009
Greetings,
Recently set up the software version for home use - Sophos UTM 9.305-4. I'm currently in the testing phase. One issue I have ran across is missing packets - ports used via imap and smtp (ports; 465 (SSL), 587 (TLS), 993 (SSL), 995 (SSL)) to be specific. I added the necessary services to the generic email rule to cover all the outbound services as listed above. Outlook still fails to retrieve mail - nothing in the firewall, IPS or any other logs indicate the specific packets are being dropped. Any idea?

Thanks,

Chris

**UPDATE**
Seems I can send and receive email from Hotmail within outlook however the rest of the accounts cannot send or receive. Still no information in the log files to help troubleshoot this issue. Haven't found much of any content with the forums regarding this issue. BTW - all the email accounts within outlook functions 100% with a SonicWall TZ210 in production. Not sure why the Sophos UTM is failing with no logs to indicate where it is blocking/dropping the packets.


This thread was automatically locked due to age.
  • 0
    So - I've read several articles for hours on end - researched this for over 14 hours yesterday. Seems the resolve is to proxy to a email sever. This is what I do not want to do as it would require client changes within outlook pointing to the UTM. Outlook is installed on laptops thus if my laptop is pointed to an internal UTM outlook is unusable outside the network. Has anyone simply be able to pass the UTM's proxy to allow internal email functionality on the following ports: 143, 465, 587 and 993? I don't want to open up ports; simply NAT through the UTM and control this traffic. I don't care about processing the inbound/outbound mail due to the fact it makes outlook unless away from the network.
  • 0
    Ok - I'm finally getting there - slowly but surely. What I found - after - monitoring one of the machines is that outlook is randomizing ports. After I found this behavior I also found out that logging was not on by default against the mail rule so I turned on logging for the firewall mail rule. Sure enough - packets are coming in with random ports - 192.***.***.***:62515 → 192.***.***.***:993 in which the firewall is dropping. I'm assuming I need to create some NAT's to fix this behavior - any suggestions?

    -Chris
  • 0
    The source port will always be random.

    Your service definitions should have 1:65535 for the source port.

    Barry
  • 0
    Update - the firewall is now passing the traffic however I continue to fail login on all know good accounts within outlook. Seems the secured traffic is being hung up someplace...can't say for 100% sure. In the past - last Thursday before I removed the SonicWall and put the Sophos UTM in production - I was presented with a cert error that I had to accept within outlook as it's a shared cert. I checked all accounts with an alternative connection (handheld via cellular) - all accounts are up and functioning. Not sure where to go from here...

    Thanks,

    Chris
  • 0
    So - I did further testing - turned off all the security products to include the web protection and found no internet access even though I have a firewall rule allowing internet access. Why would simply shutting off the web filtering feature break all internet traffic? I tested outlook - same condition (failed trying to log into the email servers) with everything shut off. Firewall log indicated all packets were flowing and none were blocked however something else is stopping traffic. I don't understand why web filtering would need to be on to allow internet destined traffic. Does a route have to be created to allow the traffic to continue? Seems there are other "forces" at play here which I don't fully understand.

    -Chris
  • 0
    Do you have a Masquerading rule?

    Barry
  • 0
    I have one Masquerading rule - for a SIP server but that's it.

    -Chris
  • 0
    You need a MASQ rule for your internal network to your external WAN IP.
  • 0 in reply to Scott_Klassen
    I put the masquerading rule in place for the entire network, Outlook is now functioning. I have a few questions regarding the masquerading rule available within the Sophos UTM; if the FW is providing proper routing characteristics from the external network to the internal network why would each and every device on the network need to be seen as the external IP, will masquerading the entire network via the Sophos UTM provide any undesirable characteristics such as security concerns and - I believe I know the answer to this one however for good measure I'll ask - will masquerading mask any UTM security services (IPS, etc) from functioning?

    Thank you all for the help and guidance....it's greatly appreciated!

    -Chris
  • 0
    Masquerading or NAT is required if you are using RFC1918 IP addressing internally, otherwise how can the reply packets come back?

    Barry