Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 5331 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Routing between Interfaces not working

akqadm
Hi,

I recently added a physical Interface to my ASG220 Cluster.
What obviously is not wokring is the routing between them.
The UTM added the new route automatically to their routing table.
A TCP Dump shows that requests arrive on the outside interface but are not shown on the inside interface.

We dont have IPS or Application control activated. Also there is not NAT config which could cause the problems.
I also configured appropriate Firewalls( outside --> inside any )
But these rule does not hit( iptables -L USR_FORWARD -vnx)

Interesting is that a ping works but https/ssh does not work. 

Does anybody has an idea would could be the problem here?


This thread was automatically locked due to age.
  • 0
    Morning,

    Ping is controlled through a different screen so if you have the UTM set to foward pings & traceroutes, the system generated rules will automatically cover the new interface.

    If you have the appropriate rules in place, what are the IP subnet's of the inside & new interfaces? And also, what IP address(es) are the clients on this new subnet trying to reach?

    Refer to this diagram: link for details but if packet's aren't hitting the forward chain, that means something in the client's request is causing the firewall to think the traffic has to either be dropped, or sent to the input chain.

    Most common problem I see on the forums related to traffic not reaching the forward chain is a bad dnat for outside traffic bound for the inside because the client PC's can only see the IP of the outside interface, the usual port forwarding from public outside IP to private inside IP problem..
  • 0 in reply to TheDrew
    So the WAN address is something like 87.X.X.X and the new inside ip is something like 46.X.X.X.


    Both Adresses are within our AS and i´m trying to reach the 46.X.X.X via a private IP 172.X.X.X

    There is no single DNAT configured for SSH. And there is also no general DNAT configured.
    This is really strange...
  • 0
    What always helps is to check Access Control Lists which are in front of the WAN IP -.-
    So it now works. Its not the fault of the Sophos but the admins....
    Nonetheless thanks for your quick support
  • 0
    Scott,

    Let's not discuss $$$enterprise level$$$ gear shall we? [:)] There's a reason I push Sophos and not Cisco or Juniper.
  • 0
    Lol.  You're the one who mentioned Cisco.  ;P