Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 2473 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

how the heck do you SNAT on UTM?

pesos
I can't for the life of me get SNAT to work - although it was working for a brief time yesterday.  With Juniper it was quite straightforward - you create a mapped ip which is a 1:1 connection of an external ip to an internal one.  Then you simply create firewall rules that allow the traffic into the external ip - and rules that allow traffic out from the internal ip (and that outbound traffic appears to be coming from the external ip, not the ip of the firewall itself).  Simple.

Sophos is a bit more complicated.  First we have to add the ip(s) as an additional ip address.  OK, check.

1:1 Nat appears to be a whole other animal than what it sounds like, so we have avoided that.  We set up our DNATs which, once you get used to weird restrictions on how UTM handles its address objects and what can go where, was straightforward enough - and working.

But SNAT doesn't seem to work at all now after initially working yesterday...

I created a SNAT for a server, let's say 192.168.1.5 with a target of "Internet IPv4" for service ANY - and its translation is set to be the additional ip address 8.8.8.5 (not real ips of course).  For testing purposes I allow an automatic rule creation.  The moment I enact this, the server becomes unable to route out to the internet.  The weirdest part is that if I have a continuous ping already running - that ping continues to work!  New pings to the same address also work!  New pings to another address don't work.  This is a real security issue as it seems the UTM holds onto activerules for a LOOOOONG time after those rules are changed/removed.  Very strange.

Anyway, after reading these forums and spiceworks and finding a ton of conflicting information (and it becoming clear what a confusing mess NAT has been for UTM and how many changes there have been over the last 2-3 years adding to the confusion) I created a matching masquerade rule.  This seem to have no effect.  I've also tried just doing it with a masquerade rule and no SNAT.  Same issue - traffic simply stops routing.

Really hope I'm doing something stupid and this will be an easy fix...  Support (tier 1) was completely clueless and kept saying "it's a dns issue."  That right there should tell you all you need to know about UTM support.  Yikes!


This thread was automatically locked due to age.
  • 0
    Hi,

    1. how was it working before you added the SNAT if you had no SNAT and no Masq?

    2. what does the firewall log show with the SNAT enabled?

    3. please post a screenshot of the SNAT.

    Barry
  • 0
    Thanks Barry!

    Before we had a Juniper firewall :-)

    I went through the config with my sales rep just now and he confirmed it all looks right, and we actually pulled up the logs and confirmed that the traffic is going out (he checked on his web server and was able to see me hit it).

    Somehow the return of the traffic is breaking down I guess, so it appears like it just fails.

    We just discovered that we could make it work again by temporarily disabling and then re-enabling the additional ip address in question.  Then about 15 minutes later, it broke again and stopped (and was fixed by again disabling and re-enabling).  I fully expect it to break yet again in 15 or so.

    Very strange!  Perhaps we've discovered another fun 9.3x bug?  Not sure what else could affect the traffic in such a strange way...
  • 0
    [:D] This is great - email is now like snail mail - I just have to log in once a day to disable/reenable that ip and everyone's mail will be delivered for the day!
  • 0
    You need to open up a support case on this.
  • 0
    Yep we did. Tier 1 is stumped as usual. Waiting for tier 2 call back meanwhile have to babysit and tick/unstick every 15 minutes. Awesome!
  • 0
    Thanks everyone, I think we've at least pinned it down to some weird things happening with arp (might explain why turning the addtnl ip off and on kicks it back into gear)...  the weird thing is i'm not sure how the traffic would actually still get out all the way to a remote web server, but not be able to successfully return...