Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 2 subscribers
  • Views 3093 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

RED Bridge Question

ben83
Hope this question is not too stupid...

When i configured a Sophos UTM (Site A) to connect as a RED to another Sophos UTM (Site B), and i want to forward incoming WAN Traffic from "Site A" to a Device on "Site B" do i still have to use "Full NAT"?

Reason of me asking is that on "Site B" using Full NAT on "Site A" via Site-to-Site, Incoming Traffic appears to be originating from "Site A" (of course)

What i mean to ask is:
Is there a way to bridge a WAN Port (or a specific Port Range) on "Site A" to be like an Extra WAN Port on "Site B" including seeing the "real" origin IPs the traffic is really coming from and also to use it as an outgoing connection (for example just for E-Mail) in Multipath?

Thanks!

Ben


This thread was automatically locked due to age.
  • 0
    Interesting question, Ben.  I haven't tried it, but you might be able to do this:
      Bridge the External interface to the RED tunnel in Site A
    • Activate Uplink Balancing in Site B and configure a Multipath rule binding 'Any -> Any -> Any' to the External interface
    • Configure a new interface in Site B with the target public IP for the server you want the public to reach and the default gateway assigned to the External Interface in Site A.
    • Add the new interface to 'Active interfaces' in Uplink Balancing
    • Bridge the RED tunnel in Site B to the new Interface
    • Create a DNAT in Site B 'DNAT : Internet -> Web Surfing -> {New Interface} (Address) : to {Server}'
    • If the foregoing works, add a Multipath rule at the top of the list binding 'Any -> SMTP -> Internet' to the new interface.

    That was an interesting exercise, but the best way to do what you want would be using Webserver Security.  No bridging is required, so all you need is a regular IPsec tunnel.  To quote Scott Klassen, "The original IP will be added into the HTTP_X_FORWARDED_FOR header, which is where your web server needs to look for this information."

    Let us know which solution you choose.  If the RED approach works, it would be interesting to know!

    Cheers - Bob
  • 0
    what i tested so far is outgoing connections via multipath. That is working perfect.
    After adding all nessesary rules on Site A, i choosed the Red Connection as the ANY/ANY Gateway on Multipath for a subnet of mine. All Traffic went out over that perfectly.