Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 3 replies
  • Subscribers 0 subscribers
  • Views 1280 views
  • Users 0 members are here
Options
Suggested

Bridge not working

vyruz
Hi,

I'm trying to use ASG as a bridging firewall to block DHCP traffic between 2 networks I have.
In March this year I had this setup (version 7.something) working in a VMWare workstation, but now I got a full blown ESXi server with vCenter at my disposal, I decided to rebuild this setup on the ESXi server.

Thing is, I can't seem to get it working again...

Here's my situation:
- Network A:
--- router on 192.168.2.1
--- DHCP pool start at 192.168.2.2
--- DHCP pool stop at 192.168.2.49

- Network B:
--- router on 192.168.2.51
--- DHCP pool start at 192.168.2.52
--- DHCP pool stop at 192.168.2.99

Now I could connect Network A & B just by using a cable between the two switches, however that would result in host of network A receiving DHCP leases from the router on Network B and vice versa.

So what I need between network A & B is a bridge which will filter out DHCP requests. And it is what i DID have working back in March this year until some months ago.

Sadly I've deleted the old VM running the working ASG configuration, so I can't check what I had configured back then...

The situation I have now is that ASG connected via eth0 to the switch of Network A, and connected via eth1 to the switch of network B.
If I bridge those connections (creating br0), and set an 'any - any - any : allow' rule, I cannot ping A-hosts from B-hosts and vice versa.

So my conclusion is that br0 on ASG is not forwarding any packets at all.
On the other hand however, the log files don't show any traffic being dropped...

Any ideas what I'm doing wrong?

thanks a million !
  • 0
    My first question in cases like this is: "are the packets even hitting the Astaro?"

    Try a tcpdump on the ASG for the appropriate interfaces and see if the traffic is arriving.  If not, the problem is elsewhere, not on the ASG.
  • 0
    Good point about using TCPdump...
    I've done that and am seeing strange results.
    when doing tcpdump on the br0 interface, I can't see any packets from network A (physically connected to eth0). I can however see packets coming from network B (physically connected to eth1).

    on the other side, when doing a tcpdump on eth0, i can see packets from network A, but not from network B.

    These are the tests I've done:
    - 2 hosts:
    --- host A on network A (connected to eth0 of ASG) with IP 192.168.2.101
    --- host B on network B (connected to eth1 of ASG) with IP 192.168.2.45
    tried pinging between both hosts

    Here's some of the output:

    ping from host A (192.168.2.101) to host B (192.168.2.45)

    tcpdump on eth0: 

    astaro:/root # tcpdump -i eth0 arp host 192.168.2.45

    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

    listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

    17:06:31.380981 arp who-has 192.168.2.45 tell 192.168.2.101

    17:06:36.745880 arp who-has 192.168.2.45 tell 192.168.2.101

    17:06:41.755569 arp who-has 192.168.2.45 tell 192.168.2.101

    17:06:46.770141 arp who-has 192.168.2.45 tell 192.168.2.101

    ^C

    4 packets captured

    4 packets received by filter

    0 packets dropped by kernel


    tcpdump on br0: 

    astaro:/root # tcpdump -i br0 arp host 192.168.2.45

    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

    listening on br0, link-type EN10MB (Ethernet), capture size 96 bytes

    ^C

    0 packets captured

    0 packets received by filter

    0 packets dropped by kernel




    ping from host B (192.168.2.45) to host A (192.168.2.101)

    tcpdump on br0: 

    astaro:/root # tcpdump -i br0 arp host 192.168.2.45

    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

    listening on br0, link-type EN10MB (Ethernet), capture size 96 bytes

    17:08:23.289878 arp who-has 192.168.2.101 tell 192.168.2.45

    17:08:28.511626 arp who-has 192.168.2.101 tell 192.168.2.45

    17:08:34.011951 arp who-has 192.168.2.101 tell 192.168.2.45

    17:08:39.511888 arp who-has 192.168.2.101 tell 192.168.2.45

    ^C

    4 packets captured

    4 packets received by filter

    0 packets dropped by kernel


    tcpdump on eth0 

    astaro:/root # tcpdump -i eth0 arp host 192.168.2.45

    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

    listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

    ^C

    0 packets captured

    0 packets received by filter

    0 packets dropped by kernel



    To me this means that packets from eth1 are being passed onto the bridge fine.
    but packets from eth0 are not reaching the bridge for some reason...
  • 0 in reply to vyruz
    Ok this is getting stranger by the minute...
    I've deleted and recreated the br0 bridge interface, and now it works a bit better.
    By better I don't mean it works entirely just yet, but I can see the solution can't be far now...

    i've done the follwowing:
    - HOST A on network A with IP 192.168.2.55
    - HOST B on network B with IP 192.168.2.45

    -Host A connected (via switch) to eth0 of Astaro box
    -Host B connected (via switch) to eth1 of Astaro box

    -On Astaro box eth0 & eth1 bridged into br0
    -Any - any - any: allow  rule active

    Wireshark running on both hosts and tcpdump (params: '-i any icmp or arp')  running on Astaro box.

    when i do a ping from A to B this is what I'm seeing along the line:

    Wireshark on host A: 

    00:1a:92:61:a4:33     ff:ff:ff:ff:ff:ff     ARP      Who has 192.168.2.45?  Tell 192.168.2.55

    00:1a:92:61:a4:33     ff:ff:ff:ff:ff:ff     ARP      Who has 192.168.2.45?  Tell 192.168.2.55

    00:1a:92:61:a4:33     ff:ff:ff:ff:ff:ff     ARP      Who has 192.168.2.45?  Tell 192.168.2.55

    00:1a:92:61:a4:33     ff:ff:ff:ff:ff:ff     ARP      Who has 192.168.2.45?  Tell 192.168.2.55

    00:1a:92:61:a4:33     ff:ff:ff:ff:ff:ff     ARP      Who has 192.168.2.45?  Tell 192.168.2.55


    tcpdump on astaro's br0: 

    astaro:/root # tcpdump -nvi any icmp or arp

    tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 96 bytes

    23:27:55.020968 arp who-has 192.168.2.45 tell 192.168.2.55

    23:27:55.021009 arp who-has 192.168.2.45 tell 192.168.2.55

    23:27:55.021065 arp who-has 192.168.2.45 tell 192.168.2.55

    23:27:55.787397 arp who-has 192.168.2.45 tell 192.168.2.55

    23:27:55.787424 arp who-has 192.168.2.45 tell 192.168.2.55

    

    ^C

    5 packets captured

    5 packets received by filter

    0 packets dropped by kernel


    Wireshark on Host B: 

    AsustekC_61:a4:33     Broadcast             ARP      Who has 192.168.2.45?  Tell 192.168.2.55

    Vmware_d2:5a:05       AsustekC_61:a4:33     ARP      192.168.2.45 is at 00:0c:29[:D]2:5a:05

    AsustekC_61:a4:33     Broadcast             ARP      Who has 192.168.2.45?  Tell 192.168.2.55

    Vmware_d2:5a:05       AsustekC_61:a4:33     ARP      192.168.2.45 is at 00:0c:29[:D]2:5a:05

    AsustekC_61:a4:33     Broadcast             ARP      Who has 192.168.2.45?  Tell 192.168.2.55

    Vmware_d2:5a:05       AsustekC_61:a4:33     ARP      192.168.2.45 is at 00:0c:29[:D]2:5a:05

    AsustekC_61:a4:33     Broadcast             ARP      Who has 192.168.2.45?  Tell 192.168.2.55

    Vmware_d2:5a:05       AsustekC_61:a4:33     ARP      192.168.2.45 is at 00:0c:29[:D]2:5a:05

    AsustekC_61:a4:33     Broadcast             ARP      Who has 192.168.2.45?  Tell 192.168.2.55

    Vmware_d2:5a:05       AsustekC_61:a4:33     ARP      192.168.2.45 is at 00:0c:29[:D]2:5a:05


    So as you can see on the Host B side the responses are being sent accros the network.
    So why is the Astaro br0 not picking these up???

    I'm about to give up on this one, to me this seems like a bug, I've checked every setting about 5 times now, and I have no clue as to what is causing this problem.
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?