Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 16285 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[SOLVED]Additional addresses (alias) configuration

GabrieleDelconti
Hello,

as Application Service Provider we have several UTM connected to internet uplinks via dedicated transfer (somewhat called "glue") /29 network, then a pool of public IP, on which our Virtual Hosts are mapped to, is routed behind the public IP of the UTM WAN interface (which belongs to the glue network).

The above configuration is pretty standard. Other vendors, for example Checkpoint, do not require any Alias or proxy arp configuration. Packet routed to the WAN interface are captured by the firewall engine and processed accordingly security and NAT rules.

It seems that Sophos UTM require Additional Address configuration for each and every IP to be captured and processed even if these IPs belong to a subnet that is already routed to the WAN IP.

How these additional address should be configured, specifically:

1) can the entire Virtual Hosts subnet, let's say /24 be configured as a single item or each IP need to be added one by one?


2) How the network mask has to be defined?
The official documentation says nothing abut this and I have found here discrepant information: /32, the mask of the WAN interface (which is not relevant in our case), the mask of the subnet of IP routed behind the WAN, ...



Thank you in advance for clarification.

_lele_


This thread was automatically locked due to age.
Parents
  • 0
    lele, I'm confused by your question.  If you have a network segment with servers with public IPs and you have defined an interface on that segment, then WebAdmin should create the routes for you.  You should not need any Additional Addresses, Proxy ARP or NAT rules, just firewall rules.

    On the other hand, if you have a subscription that includes Webserver Protection, I would recommend using Additional Addresses on the External interface and private IPs on the servers.  WebAdmin allows you to map an entire /24 public subnet to a /24 private subnet (the term used for a subnet NAT in the UTM is "1-to-1 NAT").  When you have a successful WAF configuration Firewall Profile, Real Server and Virtual Server) for a server, disable the subnet DNAT by Adding the related public IP to a NoNAT rule preceding the DNAT.  The DNAT for that IP must be disabled because DNATs have priority over proxies (see #2 in Rulz).

    Cheers - Bob
Reply
  • 0
    lele, I'm confused by your question.  If you have a network segment with servers with public IPs and you have defined an interface on that segment, then WebAdmin should create the routes for you.  You should not need any Additional Addresses, Proxy ARP or NAT rules, just firewall rules.

    On the other hand, if you have a subscription that includes Webserver Protection, I would recommend using Additional Addresses on the External interface and private IPs on the servers.  WebAdmin allows you to map an entire /24 public subnet to a /24 private subnet (the term used for a subnet NAT in the UTM is "1-to-1 NAT").  When you have a successful WAF configuration Firewall Profile, Real Server and Virtual Server) for a server, disable the subnet DNAT by Adding the related public IP to a NoNAT rule preceding the DNAT.  The DNAT for that IP must be disabled because DNATs have priority over proxies (see #2 in Rulz).

    Cheers - Bob
Children
No Data