Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 25 replies
  • Subscribers 3 subscribers
  • Views 7296 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASL is beating me up

cschmit
Ok I just got my ASL system all set up and I went to put it in place on my network and a few problems have stoped me dead in my tracks.

1) THe NIC I have for External connections  is set for DHCP so that my ISP can give me my IP and stuff. For some reason ASL does not get and address asigned to it even after rebooting ASL and after rebooting my modem. 

2) I gave up on the DHCP on the WAN end and hardcoded the info for temp use. Once I did this I had connectivity to the WAN end. Now the problem is I get no connection to my internal side. I have linksys router that I am using as a router instead of a gateway and for some reason it does not see the connection from the ASL. Anyone ever set the ASL up with a Linksys router? 

I hope I have posted this in the right area. If not please accecpt my appology. If you can help me out with this I would greatly appreciate it.  


This thread was automatically locked due to age.
Parents
  • 0
    You should not enable DHCP on the external interface.

    What type of connection is it ? Cable / ADSL ?

    You should be able to set the router to connect to your ISP for you and configure it for straight passthrough of traffic.

    I guess the "green" side of your router would have a private IP address ?  Say 192.168.0.1 ?

    Try configuring the "red" interface of your Astaro box to the same IP network as the "green" side of your router.
    ie 192.168.0.2  Gateway will be your external IP.

    What IP range have you assigned to your internal LAN ?

     
  • 0 in reply to Simon Shaw
    What I am doing is putting the ASL before my linksys router so that the ASL is the first thing hit from the outside. I have a cable connection and when I set up my External nic I set it DHCP instead of static since my ISP does not give me a static IP. It changes every 6 months or so. As for my Internal IP, I am running 10.10.1.0    So I have the firewall at 10.10.1.1 and the router is the next step in at 10.10.1.2  
  • 0 in reply to cschmit
    [ QUOTE ]
    Internal   Internal_Network__ -> All / All   MASQ__Internal   None    

    [/ QUOTE ]

    oN YOUR MASQ. I have Internal_network_ -> All/All Masq_External None (interface)

    It maybe a typo but you have internal on both end of the MASQ.

    Also you need to tell the Linksys to act as a ROUTER instead of a GATEWAY since ASL takes on the role of the gateway and you are allowed only one gateway...  

    I had similar problem and that took care of it.  
  • 0 in reply to cschmit
    I think that MASQ__Internal  should be MASQ_External 
  • 0 in reply to Simon Shaw
    ok I corrected the Masq problem and changed my Linksys router from Gateway to Router and still no go. I even pulled the router out of the network and put a normal switch in and still no go. All my PC's, I have made sure that their gateway points to the ASL. Like I said before, I know the external NIC is getting to the internet since I can run Up2date. All my PC's on my nework can get to eachother so some where in the ASL it just won't let me out to the internet. Getting close to calling it quits on this thing. I spent 3 hrs on it last night and got no further then I have in the past. This is just getting stupid...lol....   
  • 0 in reply to cschmit
    Do not give up yet.
    I am going over the thread and going over my personal experience and see if we can get this right.

    In the meantime lets establish what we have.

    1.   You can see the Outside world (WAN) from ASL. 

    2.   You also did up2date service that means you can see the lan from with ASL Wedadmin which means you are accessing the wan from your lan. (possible proxy problem stoping the rest.
     
    3.   You can also ping the ASL server and each other within the network.
    4.    You have already done MASQ
    Questions/Suggestions now.
    5.    Both the required interfaces are up (obvious since you have connection)
    6.    I am also assuming you are on the same network.
    7.    Can you ping an external IP address (eg. yahoo.com 66.218.71.198)


    Lets start with basics.

    1.   You have checked that the interfaces are up.
    2.   Ensure that the MASQ is correct.
          Internal_Network__ -> All / All   MASQ_External None
         *** Note from internal Network to external.
                 
    3.   For testing you only want one packet filter rule 
    Any   Any   Any   Allow 
    4.   I would also turn off Proxies until I am sure everthing is up.

    That should be enough on any Network(with static IP). If I missed anything Simon or someone can fill me in.  


    If as in Q7 You can ping IP address but not using name ie 66.218.71.198 but not yahoo.com ensure that the gatway is ASL IP on your internal computers.
  • 0 in reply to LinuxVirgin
    ok first off I have no proxies set up at all so that is not a problem...

    I set the masq as you stated and set the filtering rules to any any any allow  and everything works. I am guessing some how I have a rule set up worng. I have tried several combinations of rules... none seem to work....lol   any works but then why use a firewall  LMAO......  
  • 0 in reply to cschmit
    Ok got a rule so I can let my internal PC's hit the Internet:

    Internal_network   Any Any  Allow

    Now the question is how do I set it up so people can hit my web server and mail server. For the webserver I had this rule:

    External_Network    Http    Megaserver     allow

    unfortunatly no one can see the webserver... [:)]  
  • 0 in reply to cschmit
    1.    1st of DEFINE your SERVERS and SERVICES.

           eg WEBSERVER  10.10.1.x  255.255.255.255
           Mail SERVER if different.

           in Definitions User Network for Servers and Services for Services.

          Most/All of the standard/generic services are already defined.

    2.   Then go to Network and define SNAT/DNAT (same place where MASQ is and define where each service is translated to.

        eg.  webhttp   Any -> wan_ext_Interface__ / HTTP   Internal_Interface__   websrv_server / HTTP  

        Define same for POP3, SMTP etc...
        important thing is unless it is defined it will not get thru.

    3.   That should get the services throu.
         remember however that you have totally opened all packet filters. Any Any ....
          So now you may want to be more specific.

    eg. for HTTP.
            Any   HTTP   Any   Allow

    The principle is...I Think... Packet Filter defines what goes thru.
    SNAT/DNAT loosely defines where the service takes place.

    p.s. Please remember when everthing is working to remove the 
    catch all Any Any Any Any Allow.

    cheers.
     
    p.s. p.s. Any one looking at these and thinks they are too loose let me know.  
  • 0 in reply to LinuxVirgin
    Thanks for the help. I pulled the any any any allow as soon as I found a filter that worked to get my computers on the internet....any any any allow was only up about 15 min.... [:O]  
  • 0 in reply to cschmit
    Well Thank you LinuxVirgin  and everyone else. My ASL is finally up and running. Sure learned alot and my network feels much more protected!   

    I do have 1 small quetion. I have been watching the logfile and have noticed 1 address hit me time after time on ports 67 & 68.... anyone have any ideas on this?? It isn't getting in but it sure fills up that log file...heheheh   Thanks again for all your help.   
  • 0 in reply to cschmit
    Google for services.  It's a good idea to learn about the more common internet services and what ports they run on.

    67 & 68 are DHCP traffic.

    Congrats on getting ASL running.
Reply Children
  • 0 in reply to Simon Shaw
    [ QUOTE ]
    Google for services.  It's a good idea to learn about the more common internet services and what ports they run on.

    67 & 68 are DHCP traffic.

    Congrats on getting ASL running. 

    [/ QUOTE ]

    You are right, I should know port info and I do but the info I have on 67 & 68 says it is bootstrap... I didn't find that it can also be DHCP till I did some serious digging....