Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 15 replies
  • Subscribers 0 subscribers
  • Views 2715 views
  • Users 0 members are here
Options
Suggested

[8.173][QUESTION][ANSWERED] AAA Port / Host

Robert Tausend
Hi Ulrich,

i would use the AAA client over my RED Device which works in splitmode. What Host do i need to forward to my Astaro to have the AAA client conect to my ASG?

Thanks
Robert
  • 0 
    Astaro Beta Report
    --------------------------------
    Version: 8.173
    Type: QUESTION
    State: ANSWERED
    Reporter: Robert Tausend
    Contributor: 
    MantisID: 
    Target version: 
    Fixed in version: 
    --------------------------------

  • 0
    Hi Robert,

    AAA uses the IP address 1.2.3.4 to connect to the ASG.

    Cheers
     Ulrich
  • 0 in reply to da_merlin
    AAA uses the IP address 1.2.3.4 to connect to the ASG.


    That's ridiculous for a number of reasons:

    1) That's a routable IP. You can't just hijack it. Please follow the rules of the Internet, devs.
     
    2) What if you aren't using the ASG as a gateway, only as a content filter? It will never see the client attempt to contact 1.2.3.4 (so that it can hijack it), and the client will never be able to authenticate.

    3) There are easy and better ways to do this, like:  

    • including a simple config file or registry key with the proxy server's address in it
    • make the client always try to contact a hard coded, reasonably unique documented DNS name and leave it up to the DNS admin to create that A/CNAME/TXT record and point it at the correct proxy server
    •  Ask during client installation or allow a command line option
    •  Attempt to send to the proxy configured in IE
    •  use a custom DHCP option
    •  etc...


    Please fix this.

    -Adam
  • 0
    as much as i can understand your points, i think the way your write your posts is not the right!

    ridiculous is the way you startet the post.

    just my two cents ...

    robert
  • 0 in reply to Robert Tausend
    as much as i can understand your points, i think the way your write your posts is not the right!

    ridiculous is the way you startet the post.

    just my two cents ...

    robert


    Which part of my post was worthy of ridicule? 
    I certainly didn't intend any personal offense to anyone, but I do think that the decision to hijack a public IP for this is certainly absurd.
  • 0
    imho to start a post with


    That's ridiculous for a number of reasons:


    isn't nice. Thats what i didn't like about your post. It sounds like if you try to affront someone of the astaro team ... the guys doing realy a great job, maybe it would be much better to ask why they are doing it this way...

    Robert
  • 0
    Well the better question would be to ask what ip 1.2.3.4 is. We have one or two smart people at Astaro, and this ip is used not just by us but by *everyone* where a fake routable ip is needed, to the point where the poor Aussie that owns it just laughs at his situation it's also blacklisted by...well most of the Internet. A quick google search will be most informative on this. 

    Hence, I doubt the RFC police will mind. [;)]
  • 0
    1.2.3.0/24 is owned by APNIC and they do actually use it as a bogon honeynet to monitor unwanted traffic patterns.  All of the RIRs have a similar block that they use.

    @Angelo:  
    We have one or two smart people at Astaro

    So, what does that say about the rest?  ;P
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0 in reply to AngeloC
    Well the better question would be to ask what ip 1.2.3.4 is. We have one or two smart people at Astaro, and this ip is used not just by us but by *everyone* where a fake routable ip is needed, to the point where the poor Aussie that owns it just laughs at his situation it's also blacklisted by...well most of the Internet. A quick google search will be most informative on this. 

    Hence, I doubt the RFC police will mind. [;)]


    I learned something new today...does that mean I can go home?  [:D]
  • 0 in reply to danodemano
    Thats what i didn't like about your post. It sounds like if you try to affront someone of the astaro team ... the guys doing realy a great job, maybe it would be much better to ask why they are doing it this way...

    Robert


    I'm sorry for my tone. I didn't mean to criticize anyone personally on the dev team, I'm a big fan of the products and work they do; I just didn't agree with this decision. Perhaps I shouldn't have called it "ridiculous".

    Well the better question would be to ask what ip 1.2.3.4 is. We have one or two smart people at Astaro, and this ip is used not just by us but by *everyone* where a fake routable ip is needed, to the point where the poor Aussie that owns it just laughs at his situation it's also blacklisted by...well most of the Internet. A quick google search will be most informative on this. 

    Hence, I doubt the RFC police will mind. [;)]


    There's more than one or two! Again, I love the product and the praise the team; just not this decision. I know that IP, and more often 1.1.1.1, are widely used as a fake IP, and it's criticized just as often as it's used. Using 1.1.1.1 or 1.2.3.4 as a "fake" IP because "everyone else does it" doesn't make it a proper practice. 

    In my mind, an even better question here is: Is there a reason this is hard coded, and isn't configurable?

    -Adam
Unfiltered HTML