This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Remote gateway cannot connect to SUM

I followed the instructions in the Administration Guide for Gateway Manager 4.300.pdf and already have my local Sophos gateway communicating with the local SUM. The remote gateway is configured and hitting the local UTM. 

The firewall logs show the following:

07:16:40 NAT rule #3 TCP  
***.***.***.*** : 51926

***.***.***.*** : 4433
 
[SYN] len=60 ttl=53 tos=0x00 srcmac=00:01:5c:66:c0:46 dstmac=00:1a:8c:43:40:59

So it appears that the DNAT rule is working, however the second IP in that log is the external IP of the local UTM. I do not see any reference to the LAN IP of the SUM Server in the firewall logs.

In the SUM=> Sophos UTM Manager, the allowed networks is set to 'Any'. For testing purposes, I am not requiring a shared secret. The same behavior occurred when the shared secret was required. 

The SUM is running 4.300-4  (no pending updates)
The UTM's are running  9.310-11 (no pending updates).

Below is the log from the central managment page of the remote gateway. Any help would be appreciated.

2015:04:25-07:10:53 ***x device-agent[19580]: 1 is not connected. Trying to connect
2015:04:25-07:10:53 ***x device-agent[19580]: Updating SUM IP address for path: acc/server1/server
2015:04:25-07:10:53 ***x device-agent[19580]: [1] Connecting to SUM (ip=***.***.***.***, port=4433).
2015:04:25-07:10:53 ***x device-agent[19580]: [1] Using SUM SSL connection.
2015:04:25-07:10:58 ***x device-agent[19580]: [1] SUM connection failure, retrying (ip=***.***.***.***, port=4433). SSL-connect: 'IO::Socket::INET6 configuration failed'
2015:04:25-07:11:04 ***x device-agent[19580]: [1] SUM connection failure, retrying (ip=***.***.***.***, port=4433). SSL-connect: 'IO::Socket::INET6 configuration failed'
2015:04:25-07:11:05 ***x device-agent[19580]: [1] Connection failed (ip=***.***.***.***, port=4433).
2015:04:25-07:11:05 ***x device-agent[19580]: Not reporting inotify: no role
2015:04:25-07:11:05 ***x device-agent[19580]: timer2 -> module 1 not executing: denied by role
2015:04:25-07:11:05 ***x device-agent[19580]: timer2 -> module 2 not executing: denied by role
2015:04:25-07:11:05 ***x device-agent[19580]: timer2 -> module 3 not executing: denied by role
2015:04:25-07:11:05 ***x device-agent[19580]: timer2 -> module 4 not executing: denied by role
2015:04:25-07:11:05 ***x device-agent[19580]: timer2 -> module 5 not executing: denied by role
2015:04:25-07:11:05 ***x device-agent[19580]: timer2 -> module 6 not executing: denied by role
2015:04:25-07:11:05 ***x device-agent[19580]: timer2 -> module 7 not executing: denied by role
2015:04:25-07:11:10 ***x device-agent[19580]: timer2 -> module 1 not executing: denied by role
2015:04:25-07:11:10 ***x device-agent[19580]: timer2 -> module 2 not executing: denied by role
2015:04:25-07:11:10 ***x device-agent[19580]: timer2 -> module 3 not executing: denied by role
2015:04:25-07:11:10 ***x device-agent[19580]: timer2 -> module 4 not executing: denied by role
2015:04:25-07:11:10 ***x device-agent[19580]: timer2 -> module 5 not executing: denied by role
2015:04:25-07:11:10 ***x device-agent[19580]: timer2 -> module 6 not executing: denied by role
2015:04:25-07:11:10 ***x device-agent[19580]: timer2 -> module 7 not executing: denied by role


This thread was automatically locked due to age.
  • you need to forward the sum traffic from the inet to your sum instance.  I would restrict the allowed network able to do this to only your utm networks not the inet as a whole.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • Moving to the SUM/ACC forum
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • The DNAT rule had automatically created such a firewall rule during the setup. Something else is preventing this traffic.
  • Hi,
    a couple of questions.
    1/. what networks are allowed on the SUM?
    2/. do you only want reporting or remote access to remote UTM?

    Ian M

    XG115W - v20.0.2 MR-2 - Home

    XG on VM 8 - v21 GA

    If a post solves your question please use the 'Verify Answer' button.

  • Thanks for the reply! I need a better way to track updates on these posts....
    To answer your questions:
    1. Allowed networks on the SUM is set to ANY
    2. I want to access the remote UTM.
  • Hi,
    please post the dnat rule that you are using. Also a screen shot of how the utm appears in the SUM management tab.
    Next question, is the SUM an allowed user in your external UTM? I would say by looking at the log entry that it is?
    I think the DNAT rule is where we must look. I have attached a screen shot of my dnat rule to allow the utm to acces the SUM.


    Ian M

    XG115W - v20.0.2 MR-2 - Home

    XG on VM 8 - v21 GA

    If a post solves your question please use the 'Verify Answer' button.

  • Thanks for the reply and screen shot. The DNAT rule running on the local UTM gateway appears similar. See pic below. The remote UTM does not appear at all in the SUM Manager. The only UTM which does appear is the local gateway (SG115). Additionally, when I view the local gateways' firewall rule I see the NAT rule in effect:
    09:46:10 NAT rule #1 TCP  
    x.x.x.x : 53202

    x.x.x.x : 4433
     
    [SYN] len=60 ttl=52 tos=0x00 srcmac=00:01:5c:66:c0:46 dstmac=00:1a:8c:43:40:59

    On the remote gateway, the external IP of my SUM server is set in Central Mgmt | SUM Settings...is that what you meant by "is the SUM an allowed user on my external UTM?" Can you clarify that part?

    I went thru local and remote setup of the admin guide (again) and couldn't find anything mis-configured. But clearly, something is!

    I setup another site and am getting the same error.
  • So after getting with Sophos support they were able to pin point it to one setting. The default gateway checkbox wasn't checked on the SUM's interface.

    Remote gateways are now checking into the SUM.

    See attached for screenshot of final fix.

    Thanks everyone for comments.