Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 16283 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[SOLVED]Additional addresses (alias) configuration

GabrieleDelconti
Hello,

as Application Service Provider we have several UTM connected to internet uplinks via dedicated transfer (somewhat called "glue") /29 network, then a pool of public IP, on which our Virtual Hosts are mapped to, is routed behind the public IP of the UTM WAN interface (which belongs to the glue network).

The above configuration is pretty standard. Other vendors, for example Checkpoint, do not require any Alias or proxy arp configuration. Packet routed to the WAN interface are captured by the firewall engine and processed accordingly security and NAT rules.

It seems that Sophos UTM require Additional Address configuration for each and every IP to be captured and processed even if these IPs belong to a subnet that is already routed to the WAN IP.

How these additional address should be configured, specifically:

1) can the entire Virtual Hosts subnet, let's say /24 be configured as a single item or each IP need to be added one by one?


2) How the network mask has to be defined?
The official documentation says nothing abut this and I have found here discrepant information: /32, the mask of the WAN interface (which is not relevant in our case), the mask of the subnet of IP routed behind the WAN, ...



Thank you in advance for clarification.

_lele_


This thread was automatically locked due to age.
Parents
  • 0
    You don't need Proxy ARP to have a public subnet behind the UTM.  It will handle the traffic in the same fashion as the Checkpoints if your ISP routes the subnet to an IP on the External interface.  All you need is to make firewall rules.  WebAdmin will create the routes needed.

    Cheers - Bob
  • 0 in reply to BAlfson
    You don't need Proxy ARP to have a public subnet behind the UTM.  It will handle the traffic in the same fashion as the Checkpoints if your ISP routes the subnet to an IP on the External interface.  All you need is to make firewall rules.  WebAdmin will create the routes needed.

    Cheers - Bob


    [SOLVED] I do confirm that Sophos UTM behavior is the same as Checkpoint.

    The problem here was that the ISP we contracted in that world region wrongly implemented last route as "route interface" instead of "route next hop". Hence the reason why proxy arps were initially required to capturing L2 packets routed to the Ethernet segment instead of our WAN interface.

    That route configuration was done for no further clarified "security reasons".

    Thank you to all,

    _lele_
Reply
  • 0 in reply to BAlfson
    You don't need Proxy ARP to have a public subnet behind the UTM.  It will handle the traffic in the same fashion as the Checkpoints if your ISP routes the subnet to an IP on the External interface.  All you need is to make firewall rules.  WebAdmin will create the routes needed.

    Cheers - Bob


    [SOLVED] I do confirm that Sophos UTM behavior is the same as Checkpoint.

    The problem here was that the ISP we contracted in that world region wrongly implemented last route as "route interface" instead of "route next hop". Hence the reason why proxy arps were initially required to capturing L2 packets routed to the Ethernet segment instead of our WAN interface.

    That route configuration was done for no further clarified "security reasons".

    Thank you to all,

    _lele_
Children
No Data