[SOLVED]Additional addresses (alias) configuration

1) can the entire Virtual Hosts subnet, let's say /24 be configured as a single item or each IP need to be added one by one?

Additional addresses need to be added individually.

2) How the network mask has to be defined?

/32 is the proper CIDR for an individual IP.

lele, I'm confused by your question.  If you have a network segment with servers with public IPs and you have defined an interface on that segment, then WebAdmin should create the routes for you.  You should not need any Additional Addresses, Proxy ARP or NAT rules, just firewall rules.

On the other hand, if you have a subscription that includes Webserver Protection, I would recommend using Additional Addresses on the External interface and private IPs on the servers.  WebAdmin allows you to map an entire /24 public subnet to a /24 private subnet (the term used for a subnet NAT in the UTM is "1-to-1 NAT").  When you have a successful WAF configuration Firewall Profile, Real Server and Virtual Server) for a server, disable the subnet DNAT by Adding the related public IP to a NoNAT rule preceding the DNAT.  The DNAT for that IP must be disabled because DNATs have priority over proxies (see #2 in Rulz).

Cheers - Bob

Additional addresses need to be added individually.

/32 is the proper CIDR for an individual IP.

Thank you. I'm using /32 additional address for each Virtual Host being created.

Unfortunately, having hundred of virtual hosts, the Webadmin is being filled by Broadcast and Network entries (a pair for each and every additional address being created), which are of no use.
On the other hand each Additional Address can be directly used in Load Balancing rules. No need to create duplicated redundant objects here.

For HTTPS, you only need one public IP for Webserver Protection as differentiation is made based on the certificate.

If you are hosting 100 domains that use HTTP, I would use the public IPs on the servers themselves and not use Webserver Protection.

Do let us know what you decide.

Cheers - Bob

For HTTPS, you only need one public IP for Webserver Protection as differentiation is made based on the certificate.

If you are hosting 100 domains that use HTTP, I would use the public IPs on the servers themselves and not use Webserver Protection.

Do let us know what you decide.

Cheers - Bob

Bob, our business is SaaS. We generally do need separate IP for each client for several reasons that are not relevant here (while we use domain-based instance whenever feasible). Webserver protection, http, https are not related to may question.

My question was focused on different behaviour between Sophos UTM and and UTM from other vendors, notably Checkpoint which we extensively use since 2001 in our nine hosting locations worldwide.

In short:

[FONT="Courier New"]UTM WAN IP ---uplink---ISP ROUTER---internet

^^^^^^^^^^^^^^^^^^^^^ this is a small interconnection (glue) subnet, usually /29
[/FONT]
One or several subnets of public IPs are routed toward UTM WAN IP by the ISP as next hop. The above configuration is pretty standard and used worldwide by ISP serving SaaS providers like us.

Checkpoint: UTM does not need to proxy arp each public IPs since these additional IPs are already entering the UTM, thanks to the next hop route configured by the ISP.

Sophos: additional IP configuration is required, otherwise the UTM does not capture the incoming traffic directed to the public IPs belonging to the networks of additional IPs provided by ISP (or by us where we act as LIR).

Anyway the problem is solved configuring each IP as additional /32 IP on WAN interface whit the minor problem described in the attached image above.

_lele_

whit the minor problem described in the attached image above

While there isn't a way to keep these from being created, both in the Network Definitions sections and anywhere you select a Network Definition to add to a box, there is a dropdown filter you can use, so that you don't have to look at them and make the lists easier to scroll through.

While there isn't a way to keep these from being created, both in the Network Definitions sections and anywhere you select a Network Definition to add to a box, there is a dropdown filter you can use, so that you don't have to look at them and make the lists easier to scroll through.

Great suggestion! Will use the dropdown with existing Interface Address filter to limit interface clogging.

I'm in the process of migrating one of our hosting locations, with several hundreds of IP-based Virtual Hosts, from Checkpoint to Sophos because CP technology is not well-liked in that region of the world...

Thank you,

_lele_

Great suggestion!

No problem.  Have fun.  [:)]

You don't need Proxy ARP to have a public subnet behind the UTM.  It will handle the traffic in the same fashion as the Checkpoints if your ISP routes the subnet to an IP on the External interface.  All you need is to make firewall rules.  WebAdmin will create the routes needed.

Cheers - Bob

You don't need Proxy ARP to have a public subnet behind the UTM.  It will handle the traffic in the same fashion as the Checkpoints if your ISP routes the subnet to an IP on the External interface.  All you need is to make firewall rules.  WebAdmin will create the routes needed.

Cheers - Bob

[SOLVED] I do confirm that Sophos UTM behavior is the same as Checkpoint.

The problem here was that the ISP we contracted in that world region wrongly implemented last route as "route interface" instead of "route next hop". Hence the reason why proxy arps were initially required to capturing L2 packets routed to the Ethernet segment instead of our WAN interface.

That route configuration was done for no further clarified "security reasons".

Thank you to all,

_lele_