7100+ 10.12.RU9 : test next filter (no matching route)

[Henri]

Hallo,

ich würde gerne den POP3 Proxy in unserer Sophos UTM nutzen.
Leider gibt's hier ein Routing Problem, wir haben hier ein paar UTMs mit ähnlicher Konfig ohne Problem so konfiguriert.

Danke

Henri

[Firewall] 2018/06/24 14:08:19,437
Packet matched rule ALLOW_MAIL_POP3_VIA_UTM
DstIP: 81.169.145.131, SrcIP: 172.20.55.100, Len: 60, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 995, SrcPort: 38966, Flags: S
Seq: 2933914592, Ack: 0, Win: 29200, Len: 0
Option: Maximum segment size = 1460
Option: SACK permitted
Option: 08 = b3 f8 47 e4 00 00 00 00
Option: NOP
Option: Window scale = 7 (multiply by 128)

test next filter (no matching route)

Filter 000001cd from Rule ALLOW_MAIL_POP3_VIA_UTM:
Protocol: 6
Src: 00:00:00:00:00:00 172.20.55.100/255.255.255.255 0-0
Dst: 00:00:00:00:00:00 0.0.0.0/0.0.0.0 995-995 (WAN ifc INTERNET)
use routing tag 205
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
accept

Filter 000001dc from Rule ALLOW_MAIL_POP3_VIA_UTM:
Protocol: 6
Src: 00:00:00:00:00:00 172.20.55.100/255.255.255.255 0-0
Dst: 00:00:00:00:00:00 0.0.0.0/0.0.0.0 110-110 (WAN ifc INTERNET)
use routing tag 205
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
accept

sh ipv4-fib

Rtg-Tag 205

Prefix Next-Hop Interface Type
--------------------------------------------------------
0.0.0.0/0 10.0.205.88 VLAN205_FWWAN Static
...

[Henri]

Hallo,

das ist noch relevant:

Ifc.: BUNDLE-1
VLAN205_FWWAN 10.0.205.5 255.255.255.0 205

Hab das FW und Routing Tag für diese Verbindung in 1205 (statt dem IF Tag 205) geändert, um keine Konflikt zu erzeugen, leider mit gleichem Ergebnis.

Danke

Henri

[Bernie137]

Hallo Henri,

ich würde gerne den POP3 Proxy in unserer Sophos UTM nutzen.

Dann mach das doch.

Leider gibt's hier ein Routing Problem

Ja? Inwiefern? Wie ist denn der Netzwerkaufbau bzgl Routing?

Gruß Bernie

[backslash]

Hi Henri,

dein Fehler ist, daß du in der Firewall-Regel als Ziel offenbar "Gegenstelle INTERNET" angegeben hast, während die Defaultroute im Routing-Tag 205 laut FIB auf die Gegenstelle VLAN205_FWWAN geroutet wird. Das paßt nicht zusammen und deshalb sagt die Firewall "no mathing route"... Ersetze das Ziel in der Regel durch "ANYHOST" und es wird klappen...

Gruß
Backslash

[Henri]

Hallo Backslash,

genau das war es, Merci vielmals.

Also 255.255.255.0/0 match nur mit ANY in der FW Regel?

Viele Grüße

Henri

[backslash]

Hi Henri,

Also 255.255.255.0/0 match nur mit ANY in der FW Regel?

die Defaultroute wäre 255.255.255.255/0... das mit den ganzen 255 ist dem CLI des LANCOMs geschuldet, das keine 0-Werte als Index in einet Rabelle zuläßt. in der Firewall kannst du die Defaultroute auch mit %a0.0.0.0 %m0.0.0.0 angeben (genau so ist letztendlich "ANYHOST" auch definiert)...

Der Punkt bei dir ist, daß die Angabe einer Gegenstelle letzendlich zwei Bedingungen enthält:

1. das Zielnetz (bei dir 0.0.0.0/0)
2. das Ziel-Interface

Das Paket matcht zuerst auf das Zielnetz - das wurde ja auch so im Trace ausgegeben. Wenn du das nun Paket umtaggst, dann paßt das Ziel-Interface nicht mehr - und auch das wurde im Trace mit dem "no matching route" ausgegeben,,,

Gruß
Backslash

[Henri]

Hallo Backslash,

vielen Dank für die ausführliche Erklärung, jetzt verstehe ich auch, wieso es ab und zu mit "Internet" beim Tagging nicht funktioniert hat.

Viele Grüße

Henri