Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 2538 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Strange routing issue / nat

tlamming
Ok so we have a UTM 9 device at a main office. It has two connections to the internet. One over comcast, one over AT&T fiber.

We have a DNAT rule that forwards all https traffic to an internal server with an ip of 192.168.1.X

Normally the rule is set up to go through the AT&T line to the device, but, out of all sites, one cannot seem to get to this server over the AT&T public interface IP. If I change the dnat rule above to come in through the comcast connection, and of course the site types the ip address of the comcast public interface on the sophos, it works fine.

What I have noticed is that the two public IP's, the site, and the main office, look to be on the same subnet. This has to be the issue; I've tried adding SNAT to force traffic to come back out through AT&T on the sophos, but it doesnt help.

If i disable the comcast connection on the sophos device, the site that has all the problems can then get in over the AT&T public interface on the sophos, no problems.

Kind of confused at this point. What am I missing?

I look at the logs and I dont see anything out of the ordinary. No packets being dropped. Is this a routing issue?


This thread was automatically locked due to age.
  • 0
    Are you using Uplink Balancing and Multipath Rules by chance?  Are there any site-to-site VPN connections from the remote site and the main office?
  • 0 in reply to Scott_Klassen
    Are you using Uplink Balancing and Multipath Rules by chance?  Are there any site-to-site VPN connections from the remote site and the main office?


    Yes, they are using up link balancing but no multipath rules for this. The nat rules are using the specific interfaces, not the primary uplink object. No Vpn between the site and the main office.
  • 0
    Have you checked the server logs to see if they were getting through, but just not receiving responses?  You also could have the DNAT log access.

    What happens when the other site tries to do a traceroute to your AT&T IP?  If they're not even getting to you, this is a problem in the configuration of AT&T's last-hop router.

    Then again, with WebAdmin, there's no point in having anything larger than /32 for a subnet on a WAN interface.

    Cheers - Bob
  • 0
    I appreciate the response guys!

    I'll take a look at the server logs, I hadnt looked because when I do a tracert from the site it seems to get killed halfway through, unless I disable the comcast interface at the main office, then it works. Bizarre. 

    The site can use the comcast IP and the site will load up just fine. We could just use comcast, but they use an URL with a certificate assigned to it and it points to the ATT interface, so we'd like to keep using that. 

    There is a DNAT log specifically? I've just been monitoring the firewall log.
  • 0
    Yes, in the firewall log if you enable logging in the NAT rule.

    when I do a tracert from the site it seems to get killed halfway through, unless I disable the comcast interface at the main office

    So, it sounds like the traffic is not reaching the UTM at all.  Where does the traceroute die?  What ISP does the remote site have - Comcast?

    Cheers - Bob
  • 0
    Yep the site has comcast, which looks like comcast has assigned an IP that is in the same subnet as their main office comcast line. Weird, huh?
  • 0
    Definitely sounds like a Comcast routing issue.  I bet they wind up giving you a short, free extension of their service. [;)]

    Cheers - Bob