Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 16416 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Multiple WAN IPs for Hosts

michael.flagler
I have an existing setup with Sonicwall where I have a port on the Sonicwall designated as a DMZ zone with an IP address range for the additional IPs we were assigned from our ISP. This is connected to a switch which has all of our externally accessible servers connected to it. Each server has a WAN IP assigned to it, and the Sonicwall firewall rules are opened to allow only traffic on the services each server needs to each server's IP. This is allowing these servers to be protected even in the DMZ.

What is the recommended method to doing this on the Sophos UTM?  I am currently playing with a trial in a VM which is connected to the WAN, LAN, and DMZ networks. I was thinking of creating a bridge between the WAN network and a 3rd NIC on the UTM, but wasn't sure if that was protecting my servers. I've also read on the forums that DNAT/SNAT could be used if I did this with the LAN connections on the servers using internal IPs and additional addresses on the WAN interface (I'm not sure if I would have issues with Web Server Protection and any of these web servers). I also saw some comments on getting the ISP to set up a transfer network for me. (I'm unfamiliar with this, so not sure how that would work.)

If possible I'd like to eventually migrate from the Sonicwall to the Sophos with minimal hassle, but I understand it may not be as easy as I think. What's the best recommendation to keep my servers protected and still have them accessible externally.

The servers on the DMZ are Exchange 2007 (SMTP, HTTPS), 3CX PBX (SIP, HTTP), FileZilla FTP (FTP), and a Linux Apache web server (HTTP, HTTPS).

Thank you in advance for anyone's help.

Michael


This thread was automatically locked due to age.
  • 0
    I just went through this, however I migrated from a Smoothwall. You will need to create a WAN interface and assign it a public IP and Gateway from your ISP. This will be the only interface with a gateway. You then need a lan interface on your internal network. The UTM will know how to route addresses it is attached to, but if you have vlans, you will need to create network objects and static routes to point back to the proper gateways. I spent too much time getting that figured out. Under Interfaces and Routing --> Interfaces, there is a tab called Additional Addresses. You will need to create a new address object for each IP individually (It does not support a range) and assign it to teh WAN interface. You will then need to create a DNAT rule for each of those addresses to point to the internal ip of the device on the ports you want to allow. You can either create the firewall rule manually or have it create it automatically. I hope this helps. Some things are not clearly explained in the documentation.
  • 0
    I thought about that route, but my only concern with it was that our PBX software has had issues in the past with our Sonicwall and NAT, so that's why I started using the DMZ to fix those issues. I have heard that Sonicwall doesn't support NAT as fully as other UTMs, so that may be the issue, and it may not exist with Sophos. (Even on the DMZ, the PBX has a firewall/NAT checker, which still doesn't pass fully on the Sonicwall, although I have been able to make our external phones work with some tweaking - which I'm hoping goes away with the potential move to Sophos).

    Is it possible to change over as seamlessly as possible by keeping the servers on the WAN IPs, or is this just inherently insecure?
  • 0
    If you want to keep the servers with Public IPs, then I would expect that you connect the switch with your servers to an interface on the UTM and make sure you do not have masquerading turned on for them under (Network Protection --> NAT) so it will use their IP addresses in the request.
  • 0
    I think in order to keep them with their IPs, I'd have to create a bridge between the WAN and the 3rd NIC on Sophos to allow them to pass data, but I don't know how much filtering/protection they have then on the bridge.
  • 0
    I have not setup a bridge on the UTM. I would expect that you would still need to create rules in the firewall, for the bridged interface, to allow any traffic you needed to pass. You could also do Nat with the servers that support it and then just create a separate interface for the PBX and leave it setup with the public IP on it's own interface.
  • 0
    So is it my understanding that with a bridge that the only protection that server would have would be the restriction of services and nothing else? Or would there be any IPS protection, etc?
  • 0
    I believe IPS would work since it is at the network protection level, You would need to add that network to the local network setting in the Global IPS settings for it to scan that traffic.
  • 0
    Hi, Michael, and welcome to the User BB!

    A bridge limits future choices, so I would just stick with the DMZ on public IPs.  WebAdmin automatically creates routes between subnets defined on the UTM's interfaces, so you only need firewall rules allowing the traffic you want (no NAT or masquerading required, as Tom mentions).
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    So are you saying I should contact my ISP and have 2 subnets set up and have the DMZ routed to the primary WAN IP? Or am I totally confused?
  • 0
    Yes, define three interfaces on the UTM: Internal, External and DMZ.  The DMZ interface will use one of the public IPs for "DMZ (Address)" and your servers will use that IP as their default gateway.  Your ISP will simply route the DMZ subnet via the IP of "External (Address)."  Add firewall rules and you're done!

    You may decide that you want to change to having a DMZ with private IPs with the public IPs as Additional Addresses on External.  This would allow you to use the SMTP Proxy to protect Exchange and Webserver Security (reverse proxy) to protect the HTTP/S servers.

    In any case, you will want to consider using QoS to guarantee outbound traffic doesn't get overwhelmed by outsiders downloading from the FTP and HTTP/S servers.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML