Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 1 subscriber
  • Views 8801 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Internet stops after adding NAT to Web Server (http DNAT)

dreamertr
Hello all,

After I setup http service for my OWA (Outlook Web Access) Internet traffic stops (from LAN). When I disable this rule the Internet traffic became normal, but than it' s impossible to connect to my OWA from outside. [:S]

Traffic Source -> any
Traffic Service-> http
Traffice Destination -> External Wan
NAT mode -> DNAT
Destination -> My Internal mail server (OWA)

ASTARO ASG 7.400
Pattern 9229

Thanx in advance


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to BarryG
    Did you mean "Packet Filtering" or "Intruson Protection" when saying IPS?
    If I disable one of them is then the firewall ability disabled?

    I have to setup proxy for my clients/PC' s to let them surf on web. Wtthout proxy settings defined sometimes the Internet is working and sometimes not.


    My Masquerading Settings
    Internal (Network) -> External (WAN)

    DNAT/SNAT Settings:
    - DNAT
      Traffic selector: Any->http->External (WAN)
      Destination translation: Internal mail server (192.168.x.x)
      Automatic packet filter rule: yes

    Thank you BarryG
  • 0 in reply to dreamertr
    Barry & Simon, is he going to have a conflict between his HTTP DNAT to OWA and the HTTP Proxy?  We always put OWA on an additional address on the External interface, so I have to admit that I haven't tried it his way.

    Thanks - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hello,

    Yes my Exchange is in my local network. I mean on the same network as my PC' s are.

    I don't want to use the http Proxy. I want to connect all my PC's directly connected to the internet. I get problems to connect my PC's to the internet when I route the http service to my Exchange Server. I really need to do this to connect to my OWA from outside.

    Thnx
  • 0 in reply to dreamertr
    Hello BAlfson,
    Are you using an frontend server for the OWA which is in DMZ. Did I undertood what you mean. If so I have only one server and it is working in my local network as Virtual Server. 

    Do you mean Fontend (Exchange)-Backend (Exchange) ?

    Thnx
  • 0 in reply to dreamertr
    I assume you have a single server within the network, that it is running OWA, Exchange and AD for you.

    What version of Astaro?

    Do you have a fixed public IP?  More than 1?
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    HI I have only one Server. The AD and Exchange and one static WAN IP.
    My ASTARO is v 7.400 Pattern 9336

    Thnx
  • 0 in reply to dreamertr
    I would check with your ISP to see how much it costs to have more static IPs.  Here, it's about $10/month to have five.  With a single IP, it's trickier to have SSL VPN, the User Portal, OWA and web browsing.  If you also can get an additional public IP via DHCP, then you can use DynDNS to help resolve this.

    I take it you don't have a Web Security subscription for the Astaro, but you do have Mail Security.

    The easiest thing to do is to change OWA to go over https, and that adds a little security.  People will have to change their access to https://yourdomain.com/exchange/, and you'll need to change your DNAT rule to capture HTTPS instead of HTTP.  You also need to change the SSL port for the User Portal on the 'Advanced' tab to something like 1443, and access to it will be on https://yourdomain.com:1443/.

    The other downside is that you must put SSL VPN(s) on another port because you only have one IP.  

    The alternative is defining a new SSL-OWA service and then making the change on your Exchange server to the SSL port for the 'Default Web Site' in IIS.

    Like I said, it's a lot easier with another public IP.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Barry & Simon, is he going to have a conflict between his HTTP DNAT to OWA and the HTTP Proxy?  We always put OWA on an additional address on the External interface, so I have to admit that I haven't tried it his way.

    Thanks - Bob


    I wouldn't think there would be any problem unless the proxy were misconfigured to listen on the ext interface.

    Barry
  • 0 in reply to BarryG
    Barry, he's not using the HTTP Proxy, and when he turned the DNAT on, browsing stopped.  I don't understand it, but I've never put myself in a position where I might have the conflict.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    For fun, try defining a new network definition:

    Name: Any Internet Site
    Type:  Network
    Address: 0.0.0.0
    Interface:  Change this to whatever your external or internet interface is
    Netmask: /0

    In your DNAT rule, change the Source to the Any Internet Site defition we just created.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.