Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 3 subscribers
  • Views 2156 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

f/w not routing?

Judson
Folks, I'm new to astaro, but so far it seems very cool.

Issue is, pingable everywhere, yet can't get from inside to outside (firewall not routing?).

Config:
PCI slot 1, vga card
PCI slot 2, eth0:  3C905B (inside)
PCI slot 3, eth1:  Intel pro 100 (outside)
PCI slot 4, ZNYX 4-port

Because I'm in eval, can only use one of 4 ports on ZNYX card, but i don't have it configured right now at all.

Outside is also private, NATd, as it connects to a DSL modem.  I am currently locked out of this modem, but it is set with one external public IP and internal NATd IP.

Outside:  192.168.1.0
Inside:  192.168.2.0

Modem, internal interface:  192.168.1.1
f/w, external interface:  192.168.1.2

f/w, internal interface:  192.168.2.1

Default gateway for inside machines:  192.168.2.1

I have tried setting up a default route for the internal f/w interface to the external (next hop) IP of 192.168.1.2, but that doesn't make a difference.  I *think* I'm doing something wrong here, but not certain.  Routing ain't hard, but then again, who knows?

All rules are wide open right now.

NOTE:  I've already tried the above without the ZNYX card (which wouldn't work as the first PCI ethernet card), but that didn't make a difference.

On firewall, *can* ping external, public IP interface of modem, and *can* ping internal PC.  It just appears that the f/w isn't routing.

I've added one rule:  any to any on any accept,
(it's showing green), and no proxies are enabled.
I like to KISS at first.

Any help is much appreciated (it's probably
something obvious).

Thanks,

Jud.


This thread was automatically locked due to age.
  • 0
    One more piece of information:  the firewall successfully sent me an e-mail notification (system restart); therefore *it* can do DNS lookups (strange, as I don't remember setting up the DNS proxy - wonder how it grabbled the IP of my DSL provider's DNS server?), and communicate externally just fine.

    Jud.
  • 0 in reply to Judson
    Jud,

    "private IPs" are not routed as per definition.
    i.e. 
    10.0.0.0        -   10.255.255.255  (10/8 prefix)
    172.16.0.0      -   172.31.255.255  (172.16/12 prefix)
    192.168.0.0     -   192.168.255.255 (192.168/16 prefix)

    All (routing) equipment should work this way. 
    So I would not expect ASL to route private IPs.
    Because of this i've never thought about routing (or NATing) between private Networks. It may work if you have two routers back to back and configure their interfaces accordingly (but this is bridging).

    Maybe i'm not exactly correct, but you need to give your modem another IP and your internal if (private IPs) MUST be NATed to the external if (official IP) to pass ASL.
    Or use offical IPs on both sides. Then you may set a route between the networks. 

    greez   
  • 0 in reply to AllanDoe
    As far as I can see you need to create a Masquerading rule.

    This is done by choosing Network -> NAT/Masquerading.

    Add a new masquerading rule.
    Use "Network: ANY" for now, and "Interface: eth1", which is your outside.

    You do not have to add any static routes.

    LHE
  • 0 in reply to lhe
    I deliberately left out the *external* IP
    of the modem for normal obfuscation security
    reasons, i.e. don't ever advertise one's IP
    info on the net.  Also, I don't have a choice
    but to do it this way:  my circuit requires
    that the modem uses the one public IP I'm 
    allowed.  As for private IP routing, I've
    had an f/w doing 192.168.1.0 to 192.168.2.0
    for years just fine.  All ya need is to give
    it the next hop.  Of course, it ain't routable
    publicly, that's for sure, and never has been.

    In sum, since the adsl modem is already doing
    the NAT part, everything else should work.
    However, I'm already anxious to try the
    Masquerading rule.  Maybe that'll take care
    of things - perhaps Astaro wants to control
    the natting when it sees the private IP networks?
  • 0 in reply to Judson
    You're right and you're wrong.

    In theory, Astaro would not need to do Masquerading, 
    BUT your dsl router doesn't know how to find 192.168.2.x, so you DO need the MASQ.

    Barry
     
     [size="1"][ 28 August 2002, 17:17: Message edited by: barrygould ][/size]
  • 0 in reply to BarryG
    I'm feeling fairly stupid right now - I've had NAT running on my current firewall for a year already - and just forgot to translate those rules into Astaro. 

    However, it still doesn't work, unfortunately, but there may be other factors at work...  I'm still investigating.  In the meantime, I'm moving forward with the old one to meet a self-imposed deadline.

    Thanks,

    Jud.