Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 1745 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IP subnets

CVA23
Hello.

It's the first time I'm working with ASG UTM 220 and RED10. I'm currently deploying the first RED10 out of three.

All appliances (ASG 220 and RED10) are behind the ISP's routers, which for legacy reasons are NAT enabled and using private IP subnets between the router LAN interface and the Sophos aplliances WAN interfaces. 

After checking this forum I finally learnt that I have to forward port 3400 TCP/UDP to the Sophos WAN interfaces, and I will set this up next Monday. But I'm currently concerned about the fact that the ASG UTM 220 LAN subnet is 192.168.1.0/24 as well as and one of the ISP's routers LAN.

I guess this won't be a problen in order to get up the tunnel between the ASG 220 and the RED10 but, will it be a problem when it comes to route packets from RED10 LAN to the 192.168.1.0/24 subnet, because the ASG LAN AND the ISPs router LAN in the RED10 side match this subnet?

Regards.


This thread was automatically locked due to age.
  • 0
    Hi, CVA23, and welcome to the User BB!

    This is a general networking issue, not a Sophos one.

    We normally recommend that subnets in 192.168.0.0/16 be reserved for private homes and public hotspots.  ISPs typically use subnets in 10.0.0.0/8, so it's less confusing to solve strange problems if you don't use those.  You also will have problems with Remote Access and SIte-to-Site VPNs if you don't move to private subnets in 172.16.0.0/12.

    An alternative is to put a UTM 120 at the remote site instead of the RED.  That's a much more expensive solution than the RED though.

    Maybe there's another solution - what actual ISP and ISP hardware are at the remote site?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    As long as the 192.168.0.x issue is only on the ISP Router for the RED, don't worry. In unified mode the RED WAN side is completely logically separated from the RED LAN Side. If the RED side can be configured to another range as the UTM has locally configured, there's no routing trouble - even if the RED WAN side matches a UTM Lan Subnet ;o)

    If you have to keep the same problematic subnet on both sides, you may try bridging (RED to UTM, or the UTM itself in bridging mode) but this creates new troubles as possible IP conflicts which has to be resolved etc.

    Easiest way: 
    - Physically Connect RED between remote router LAN and your internal network ( switch?)
    - Use RED in unified mode and configure a completely different, own subnet per site...

    /Sascha
  • 0
    Hello again.

    Thank you, BAlfson and Sascha Paris for your quick answers. The actual scenario almost matches exactly the one described by Sascha but I chose Standard/Split Mode due to the fact that the main site doesn't have enough bandwidth to deal with traffic from all remote sites. Although, if necessary in order to avoid problems, I could switch to Standard/Unified Mode.

    I usually configure the ISP routers to disable NAT and let the public IP be directly assigned to the firewalls WAN interfaces. ISP routers I find tend to be low-end, poor featured routers and I want them to handle as little L3 and upper loads as possible, treating them as simple "media converters".

    Let's see tomorrow what happens, I'll tell you.

    Regards.
  • 0
    traffic from all remote sites

    When we started doing Internet Security, in situations where we weren't installing new networks from scratch, we began running into situations where small businesses were setup as you are now.  At first, we tried work-arounds, but we soon developed a hard line in favor of redoing network addressing.

    If you have multiple locations with the same addressing scheme, bandwidth is the least of your problems...

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML