Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 20 replies
  • Subscribers 1 subscriber
  • Views 4514 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Setting up a separate work interface on 9.002-12

Zeable
I am trying to set up a separate work related network in my home. Originally I have my firewall set up with an inside interface with a few 192.168.x.x subnets and outside interface set as default route to the Internet. It is providing several services such as proxy, ntp, email forwarding, etc successfully using AD for authenticating web traffic. At this point, everything is working exactly as expected.

Now what I want to do is set up a new internal “work” interface in the 10.x.x.x network and have all traffic for this subnet go over an IPSec tunnel while leaving the inside interface alone. The tunnel itself was easy enough to set up but the routing is eluding me at this time.

Under Connections I have an IPSec connection set up with my internal 10.x.x.x subnet listed as the Local network and Strict Routing enabled. In Remote Gateway s tab I can set up 0.0.0.0 for the remote networks and the tunnel connection works as expected but all routing for my 192.168.x.x network now fails. If I try to ping an external IP, such as google.com, from the firewall it will fail. If I change the remote networks to 10.0.0.0/8 then I can still get to my work network from the internal work interface and I can now route the home inside interface as expected. However, I have several subnets I need to get to over the tunnel and really need to leave it at 0.0.0.0.

I really need to route everything from my work interface out the tunnel and to segregate the inside from the work interfaces.

Update: apparently, only the routing on the firewall itself is affected. I can ping IP's and Trace route from internal networks through the firewall but can't resolve hostnames since the firewall is being used as a forwarder. I also found that ping and traceroute do not work on the firewall using the tools section??


This thread was automatically locked due to age.
  • 0 in reply to BarryG
    masquerading rule object REF_ASZscJtHSl
    status switch (status) = 1 
    source network (source) = network object "192.168.x.x" 
    outgoing interface (source_nat_interface) = ethernet standard interface object "External" 
    outgoing address (additional_address) = empty value 
    comment (comment) = empty value 

    ====================================================
    NAT rule object REF_PacNatAnyFromWork
    status switch (status) = 1 
    group (group) = empty value 
    traffic source (source) = interface network object "Work (Network)" 
    traffic service (service) = any service object "Any" 
    traffic destination (destination) = any address object "Any" 
    destination address (destination_nat_address) = empty value 
    destination service (destination_nat_service) = empty value 
    source address (source_nat_address) = empty value 
    source service (source_nat_service) = empty value 
    log switch (log) = 0 
    auto-packetfilter-rule switch (auto_pfrule) = 1 
    comment (comment) = empty value 
    apply to IPsec switch (ipsec) = 0 

    NAT rule object REF_LMcpzDjGth
    status switch (status) = 1 
    group (group) = empty value 
    traffic source (source) = any address object "Any" 
    traffic service (service) = TCP and UDP service object "SIP" 
    traffic destination (destination) = interface address object "External (Address)" 
    destination address (destination_nat_address) = host object "herby" 
    destination service (destination_nat_service) = empty value 
    source address (source_nat_address) = empty value 
    source service (source_nat_service) = empty value 
    log switch (log) = 0 
    auto-packetfilter-rule switch (auto_pfrule) = 1 
    comment (comment) = empty value 
    apply to IPsec switch (ipsec) = 0 

    NAT rule object REF_CqvwdYLWcd
    status switch (status) = 1 
    group (group) = empty value 
    traffic source (source) = any address object "Any" 
    traffic service (service) = TCP service object "BitTorrent" 
    traffic destination (destination) = interface address object "External (Address)" 
    destination address (destination_nat_address) = host object "peter" 
    destination service (destination_nat_service) = empty value 
    source address (source_nat_address) = empty value 
    source service (source_nat_service) = empty value 
    log switch (log) = 0 
    auto-packetfilter-rule switch (auto_pfrule) = 1 
    comment (comment) = BitTorrent 
    apply to IPsec switch (ipsec) = 0 

    NAT rule object REF_KPObvcqvYx
    status switch (status) = 1 
    group (group) = emule 
    traffic source (source) = any address object "Any" 
    traffic service (service) = TCP service object "emule_tcp" 
    traffic destination (destination) = interface address object "External (Address)" 
    destination address (destination_nat_address) = host object "peter" 
    destination service (destination_nat_service) = empty value 
    source address (source_nat_address) = empty value 
    source service (source_nat_service) = empty value 
    log switch (log) = 0 
    auto-packetfilter-rule switch (auto_pfrule) = 1 
    comment (comment) = emule_tcp 
    apply to IPsec switch (ipsec) = 0 

    NAT rule object REF_xPtgSCAhwH
    status switch (status) = 1 
    group (group) = emule 
    traffic source (source) = any address object "Any" 
    traffic service (service) = UDP service object "emule_udp" 
    traffic destination (destination) = interface address object "External (Address)" 
    destination address (destination_nat_address) = host object "peter" 
    destination service (destination_nat_service) = empty value 
    source address (source_nat_address) = empty value 
    source service (source_nat_service) = empty value 
    log switch (log) = 0 
    auto-packetfilter-rule switch (auto_pfrule) = 1 
    comment (comment) = emule_udp 
    apply to IPsec switch (ipsec) = 0 

    NAT rule object REF_PacNatImapFromAny
    status switch (status) = 1 
    group (group) = empty value 
    traffic source (source) = any address object "Any" 
    traffic service (service) = TCP service object "IMAP" 
    traffic destination (destination) = interface address object "External (Address)" 
    destination address (destination_nat_address) = host object "tigger" 
    destination service (destination_nat_service) = empty value 
    source address (source_nat_address) = empty value 
    source service (source_nat_service) = empty value 
    log switch (log) = 0 
    auto-packetfilter-rule switch (auto_pfrule) = 0 
    comment (comment) = empty value 
    apply to IPsec switch (ipsec) = 0 

    NAT rule object REF_paOutEjmZj
    status switch (status) = 1 
    group (group) = empty value 
    traffic source (source) = any address object "Any" 
    traffic service (service) = TCP service object "HTTPS" 
    traffic destination (destination) = interface address object "External (Address)" 
    destination address (destination_nat_address) = host object "rabbit" 
    destination service (destination_nat_service) = empty value 
    source address (source_nat_address) = empty value 
    source service (source_nat_service) = empty value 
    log switch (log) = 0 
    auto-packetfilter-rule switch (auto_pfrule) = 1 
    comment (comment) = https 
    apply to IPsec switch (ipsec) = 0 

    NAT rule object REF_gYnXHcqtlz
    status switch (status) = 1 
    group (group) = empty value 
    traffic source (source) = any address object "Any" 
    traffic service (service) = TCP service object "HTTP" 
    traffic destination (destination) = interface address object "External (Address)" 
    destination address (destination_nat_address) = host object "rabbit" 
    destination service (destination_nat_service) = empty value 
    source address (source_nat_address) = empty value 
    source service (source_nat_service) = empty value 
    log switch (log) = 0 
    auto-packetfilter-rule switch (auto_pfrule) = 1 
    comment (comment) = http 
    apply to IPsec switch (ipsec) = 0
  • 0
    The strict rules state to only route packets to the tunnel if they originate from the 10.175.252.0 subnet.

    That's correct, so why would you expect your 192.168.x.y internal IPs to be able to go through the tunnel?  Or do you?  Where is 10.175.252.3/29 - on a separate interface?  Why did you show DNATs that use the "External (Address)" in the traffic selector?  Are "rabbit" and the others Hosts at work?  Are those definitions bound to a specific interface or left with 'Interface: >'?

    Cheers - Bob
  • 0
    Hi,
    The "NAT rule object REF_PacNatAnyFromWork" doesn't seem to be set to do anything; what is it for?

    Barry
  • 0 in reply to BarryG
    The 192.168.x.x network is NOT supposed to go through the tunnel. Only the Work interface wich is the 10.175.252.0/29 network.

    The "NAT rule object REF_PacNatAnyFromWork" section is set as a NO NAT so the 10.175.252.0 network is never translated.

    So the question still stands, if I use ping from the tools menu, why does it use the work interface IP as the source and not the internal interface. Is there a way to set the Internal interface as the default interface for the firewall to use for internal functions?
  • 0
    When you are pinging from the Astaro, it will use the address of the interface that it believes is the "gateway" for that traffic.

    Example:

    eth0: 192.168.0.1/24
    eth2:  192.168.1.1/24


    From Support>>Tools>>Ping Check Tab.  If I ping 192.168.0.2, the source will be 192.168.0.1.  If I ping 192.168.1.2, the source will be 192.168.1.1.

    From the shell, you can run ping with -I to manually specify the interface or address.
  • 0 in reply to Scott_Klassen
    I do understand that it uses the interface it believes to be the default interface for the destination. What I don't understand is why it is using my work interface as the source for a routable IP such as Google.com. 

    My external interface is connected to the Internet and is set up as the default route. I have a tunnel set up to only allow the work interface traffic over the tunnel and it is set up as a default for everything coming from work.

    So, when I ping an external IP from the tools menu it doesn't use the obvious external interface but instead uses the work interface.

    Sorry if I am missing something but I really don't understand the logic behind this.
  • 0
    Zeable, I'm still confused.  You started this thread saying that your local 192.168.x.y subnet wouldn't route correctly.  Is that issue resolved and is this pinging issue something new, or do you still have the original issue and you believe the problem with pinging is also causing that?

    If the latter, then I'd be curious to know if you have the same issue under 8.306.  I haven't moved anyone to V9 yet, but was ready to do new installs with V9 until I came back to this thread today.  Now I wonder if it's not a config error, but a V9 bug that you're the first to discover.  If you have the same problem under V8.3, then it's not a bug (uniquely) in V9...

    Cheers - Bob
    PS And, if you have no problem under V8.3, restoring that backup on a V9 install would confirm whether it was your original configuration or a bug in V9.
  • 0 in reply to BAlfson
    Sorry fot the confusion but yes, the thread was originally opened because of a routing issue. However, I have since found that it was not the routing of the 192.168.x.x that was the problem but the way the firewall was handling internal functions such as DNS. I had this problem with 8.3 and upgraded to 9 hoping this would correct the problem. Overall, I am happy with the upgrade itself and just hope I can find a resolution to the problem.

    Does anyone know if the order of the interfaces makes a difference? Right now I have Eth0 as Internal, Eth1 as External and Eth2 as Work.
  • 0
    Interface order should make no difference.  This is either a "broken" config file or some undderlying conflict between modules.  The only way to get this in front of one of the developers will be to get it to show up when the 9.1 beta is on.

    Cheers - Bob
  • 0 in reply to BAlfson
    Well, I have it working but not the way I want it to be. i have moved my work network off of an individual interface and onto my internal network. Now the 10.175.252.x is routing over my 192.168.x.x network and the tunnel is now working as expected. I still want it to use a different interface but can't figure out how to prevent the firewall from using that interface as its default source. I can do it on an ASA5520 but can't do it on this which is a little frustrating.