Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 13 replies
  • Subscribers 0 subscribers
  • Views 2661 views
  • Users 0 members are here
Options
Suggested

Connecting two subnets

robotken
Hi guys,
I'm a bit new to the world of astaro but I like it very much so far and I'm trying to roll it out at a client of mine.

Essentially I have ASG Business Free edition installed on an older rackmount box. There are 3 NICS installed. One as the wan interface, one as the current internal network and the last as another network they recently needed to gain access to in the same building. These last 2 internal networks are what I'm attempting to get talking to eachother.

eth0: 10.0.0.0 / 24 (current internal LAN)
eth2: 10.0.11.0 / 24 (new network)

the server has 2 broadcom netxtreme BCM704 NICS and one Altima AC9100 (badged as netgear) installed... 

I've tried every manner of connecting them I could think of. Bridging, vlans, static routes, appropriate packet filter rules...

We really just need to be able to share resources between the 2 subnets. Whatever will work. Can anyone give me the 5 minute rundown on how to achieve this? Is the Business free edition capable of it?

Thanks very much for any assistance!
Ken
  • 0
    Why not bridge eth0 and eth2 and assign a single subnet 10.0.0.0/23?
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Why not bridge eth0 and eth2 and assign a single subnet 10.0.0.0/23?


    I tried this but not as 23. Would that make the difference? Do I need any packet filter rules for this bridging to work?
  • 0
    I only suggested the /23 because you had two /24s before, and I assumed you might need the additional IP-space.
    Through bridging, several Ethernet networks or segments can be connected to each other. The data packets are forwarded through bridging-tables, which assign the MAC addresses to a bridge port. The resulting bridge will transparently pass traffic across the bridge interfaces.

    Note – Notice that such traffic must explicitly be allowed by means of appropriate packet filter rules.

    So, if you want everything to pass in both directions: 'Internal (Network) -> Any -> Internal (Network)'.  And that leaves you with the equivalent of connecting the two physical networks together with a switch before connecting the switch to the Internal interface.

    Cheers - Bob
    PS But, your first approach should have worked with two PF rules: 'Internal (Network) -> Any -> New (Network) : Allow' and 'New (Network) -> Any -> Internal (Network) : Allow'.  You'll also need to add "New (Network)" to 'Allowed Networks' in HTTP, DNS, etc. and add a masq rule: 'New (Network) -> External'.  I know this seems like a bit more effort, but it would allow more granular control of the traffic between the two nets in the future.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    I only suggested the /23 because you had two /24s before, and I assumed you might need the additional IP-space.

    So, if you want everything to pass in both directions: 'Internal (Network) -> Any -> Internal (Network)'.  And that leaves you with the equivalent of connecting the two physical networks together with a switch before connecting the switch to the Internal interface.

    Cheers - Bob


    Bob,
    Thanks for your help so far.
    So I have the packet filter rules you mentioned and I have the bridge set up between eth0 and eth2. Do I need to have an IP assigned to eth2 (the new subnet) before bridging? It seems to want to bridge only if that interface is unused.

    Almost there... but still not quite.
    Thanks again!

    Ken
  • 0 in reply to robotken
    Yes, you have to delete the interface you configured for 'New' before you can create the bridge.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Yes, you have to delete the interface you configured for 'New' before you can create the bridge.


    Ok so current status is this:

    I have a bridge connection setup between my eth0 and eth2. The bridge is assigned 10.0.0.1/23

    The new subnet I need to access is on 10.0.11.0

    I've got packet filters setup as follows:

    Internal Network --> any --> Internal Network

    Still not able to ping anything on the 10.0.11.0 subnet.
    Do I need explicit rules with the specific subnet input or a static route to the other network?

    It feels like I'm very close, but something still not in the right spot.

    Thanks,
    Ken
  • 0
    Sorry, I thought you would change that subnet to 10.0.1.0/24.  If you want to leave it as-is, then change the netmask in the interface definition to /20 (255.255.240.0) and that will solve the problem for anything between 10.0.0.0 and 10.15.255.255.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Sorry, I thought you would change that subnet to 10.0.1.0/24.  If you want to leave it as-is, then change the netmask in the interface definition to /20 (255.255.240.0) and that will solve the problem for anything between 10.0.0.0 and 10.15.255.255.

    Cheers - Bob


    br0 is now set as 10.0.0.1/20

    I still can't ping across subnets :-(

    Sorry I feel like something is missing on my end...
  • 0
    Ping?  Have you allowed pinging on the 'ICMP' tab of 'Network Security >> Packet Filter'?  If that was the issue, then your initial approaches probably worked just fine.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Robotken, 
    bridging the two subnets on the ASG and/or changing the subnet mask on the ASG will help you nothing as long as you do not change the routing/subnetting of the other network devices in your two LANs, too.
    So EITHEr use brdinging on the ASG (with the /20 netmask) but then you have to feine the /20 netmask on all of your network devices, too
     
    OR:
     
    - keep the /24 network masks on all the devices but ensure the ASG has an IP address in one network on one interface  oand of the other network on the other interface. On all network devices, ensure that there is a route (default route or additional route) that points to the ASG IP.
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?