Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 5383 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Help with NAT (Second firewall)

ernyh
Hi guys, 

My knowledge in networking is severely lacking and I could use some help. 

Scenario: 

We only have one LAN but two ISPs and two firewalls. 
Firewall 1 - PfSense 
WAN 62.181.X.X
Internal 192.168.0.1 Gateway for all clients

Firewall 2 - Sophos SG135
WAN  89.107.X.X
Internal 192.168.0.2

The logic here is if internet goes down on WAN 1 we can manually change gateway on clients to Firewall 2 the SG135. 

Now to the problem:

I would like to be able to setup so FTP/SMTP is accessible from both IPs. 
But I cannot get DNAT to work on the SG135.
If I make a rule like ANY > FTP > External and Destination 192.168.0.10 (FTP server) it does not work. I guess that has do with the routing because 192.168.0.10 has the pfSense as default gateway?

How do I create a rule for this? 
I was able to get SSL VPN to work with a masquerading rule - VPN Pool (SSL) > External (WAN).


This thread was automatically locked due to age.
  • 0
    One thing that will help de-complicate your situation a lot is to dump the PFSense and use both WANs through the UTM via uplink balancing.  If one WAN goes down, all traffic will use the other link with no changes necessary on the clients.  Also will make your natting situation easier.
  • 0 in reply to Scott_Klassen
    One things that will help decomplicate your situation a lot is to dump the PFSense and use both WANs through the UTM via uplink balancing.  If one WAN goes down, all traffic will use the other link with no changes necessary on the clients.  Also will make your natting situation easier.


    I got a SG210 that will replace the PFSense box. But I will do that later. Even thou both WANs are the same LAN they not that the same physical location, one is i disaster recovery site connected by fiber.
  • 0
    Hi, ernyh, and welcome to the User BB!

    You wouldn't know since you're new here... Please [Edit] post #3, click on [Go Advanced], delete your external link and attach your image to the post. We can't know if that external site is properly protected. The only malware I've gotten in over 10 years was from an external link to a picture in this forum several years ago.

    Once that's done, we'll be able  to look at your network topology.  Is the fiber connection a direct one?  If the IPs on the two ends of that are not shown in your diagram, please note them.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi, ernyh, and welcome to the User BB!

    You wouldn't know since you're new here... Please [Edit] post #3, click on [Go Advanced], delete your external link and attach your image to the post. We can't know if that external site is properly protected. The only malware I've gotten in over 10 years was from an external link to a picture in this forum several years ago.

    Once that's done, we'll be able  to look at your network topology.  Is the fiber connection a direct one?  If the IPs on the two ends of that are not shown in your diagram, please note them.

    Cheers - Bob


    Thanks for the info, I've attached the file instead. The fiber connection is delivered by the DR-site and is transparent for us.
  • 0
    Thanks for making that change. [:)]

    I suspect that this can be done simply in the new SG 210 with Uplink Balancing and a Multipath rule, but it's unclear to me what you mean by a "transparent" fiber connection.  (Note: his response below indicates this idea can't work.) What is connected to what?

    Cheers - Bob
  • 0 in reply to BAlfson
    Thanks for making that change. [:)]

    I suspect that this can be done simply in the new SG 210 with Uplink Balancing and a Multipath rule, but it's unclear to me what you mean by a "transparent" fiber connection.  What is connected to what?

    Cheers - Bob


    We simply get a fiber that we conntect to your switch to connect the LANs.
  • 0
    So you're saying that there's no routing involved, that this connection simply joins the two Ethernet segments at Layer 2?

    Cheers - Bob
  • 0 in reply to BAlfson
    So you're saying that there's no routing involved, that this connection simply joins the two Ethernet segments at Layer 2?

    Cheers - Bob


    I guess so
  • 0
    Currently, your best bet is to use Uplink Monitoring in the SG 135 to start an IPsec VPN with the PfSense.  The PfSense would be configured only to respond, not to initiate the tunnel.  That will mean it takes a little time to establish the new connection.

    Once you have the SG 210 in place, you can use Uplink Balancing with a RED tunnel and Multipath rules.  You also will need firewall rules and a masq rule in the 135.

    If you need to get the IPsec tunnel in place quickly, you might consider hiring a local SCA-UTM to configure this.

    Cheers - Bob