Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 3 subscribers
  • Views 1173 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Bunch of questions

markcasey
I'm currently in the position of deciding on purchasing a new firewall..

Here's what's happening:

* We're going to switch from a slow ADSL line to a leased line.
* We've purchased a bunch of iphones and want to use them to connect to our exchange server over the internet via a vpn (big plus of astaro)

At the moment i'm undecided. Between a newer version of the GB1000 (our current firewall) the GB2000 or an Astaro firewall. The big bonus of the GB2000 is that configuration can essentially be copied across from the old one with only the VPN configuration being an issue.

Break down.

GB2000:

Much more expensive than an Astaro firewall
Relatively easy configuration (moving from a GB1000 to 2000)
Support doesn't seem as extensive as Astaro (no support forum like here for example)
Is proven to me
Lacks documentation for iphone VPN

Astaro:

An unknown to me
Cheaper
Looks good
Seems to be decently well documented
Is being pushed for by my boss because of the lower cost


The problem as I see it with the Astaro is that it's totally different from what i'm used to, hence configuration issues.

For example, if I say have a router address range of 62.49.111.111/29 how do I go about a DMZ that is accessible from the local lan to the webserver in that dmz? For example a user types www.ourcoolwebsite.com will it be possible to configure astaro to direct the resolved domain traffic direct to the webserver in the dmz correctly? I've experimented with other firewalls in the past that could not do this.

For example we'll have a dmz with an ip address range of 172.16.0.1/24 and a local lan with a range of 192.168.0.1/24. When the user types www.ourcoolwebsite.com and it resolves to 123.123.123.123 the firewall will correctly redirect that traffic to the webserver in the dmz rather than trying to fetch it from the internet. Other things too, like for example the webserver being able to access a SQL server (port 1433/tcp) which is on the local lan. (say 192.168.0.2)


Advice is much appreciated.


This thread was automatically locked due to age.
  • 0
    Hi,
    first thing I would recommend is you read the manual while experimenting. My review of the menus implies you can do most of what you are after.

    I haven't tried the routing you are after, I only have the simple static routing in place.

    Do you plan to use the proxy? If you are then in what mode?

    I have the proxy enabled in standard mode with bypass proxy for some routes/addresses. The address range I want to route to another LAN is in the bypass the proxy settings on both IE and firefox.

    Ian M
  • 0 in reply to RFCat_vk_01
    Mark-

    The Astaro can easily handle the scenario you have described by using NAT and packetfilter rules to control access across the zones.  Depending on your DNS setup, we may need to add a static DNS entry to the Astaro to prevent address resolution loops, but that's easy.

    See my PM for more info.
  • 0

    For example, if I say have a router address range of 62.49.111.111/29 how do I go about a DMZ that is accessible from the local lan to the webserver in that dmz? For example a user types www.ourcoolwebsite.com will it be possible to configure astaro to direct the resolved domain traffic direct to the webserver in the dmz correctly? I've experimented with other firewalls in the past that could not do this.

    For example we'll have a dmz with an ip address range of 172.16.0.1/24 and a local lan with a range of 192.168.0.1/24. When the user types www.ourcoolwebsite.com and it resolves to 123.123.123.123 the firewall will correctly redirect that traffic to the webserver in the dmz rather than trying to fetch it from the internet. Other things too, like for example the webserver being able to access a SQL server (port 1433/tcp) which is on the local lan. (say 192.168.0.2)

    Advice is much appreciated.


    Among many other advantages, the Astaro includes DNS forwarding and redirection.  You can setup your devices with whatever IP you need (e.g. the 172... address) for your local (192...) computers and they will resolve and find them at the 172 address.

    And yes, you can selectively bring your SQL traffic from the DMZ through the firewall to your SQL server.

    You can download a 30 day license and learn and play to your heart's content.  You might also work with a reseller who can help guide you through your setup.
  • 0
    I'm wondering why you need a VPN just for iPhones to access Exchange data? Assuming you want to use ActiveSync, this all happens over HTTPS via the same web server that handles Outlook WebAccess. You just poke a hole in your firewall for 443 to the Exchange web server and you're done. 

    Are you in a situation where even the Exchange *web server* isn't allowed to be exposed to the Internet, even via SSL??
  • 0 in reply to jkmichael
    Having slain this dragon just recently, I would suggest that you DON'T want to use the iPhones in VPN mode - you will drain the batteries so fast that the phones won't be mobile at all!

    I documented a cheat-sheet from my experience here: Using iPhone 3G with Exchange ActiveSync

    Cheers - Bob
  • 0 in reply to jkmichael
    I'm wondering why you need a VPN just for iPhones to access Exchange data? Assuming you want to use ActiveSync, this all happens over HTTPS via the same web server that handles Outlook WebAccess. You just poke a hole in your firewall for 443 to the Exchange web server and you're done. 

    Are you in a situation where even the Exchange *web server* isn't allowed to be exposed to the Internet, even via SSL??


    Purely security reasons, I only want external access to exchange through a VPN. Allowing anyone and everyone to try and connect in is just asking for trouble in my view. And this is purely for a select number of users too, 12 in fact.

    I consider the main server too critical to the company to risk external access, any machine that I allow external access (web server, ftp server) I put in the dmz. I don't take chances when it comes to security.

    For example, even though the ftp server runs on openbsd I still have it in the dmz. It's just good practice for any machine that is accessible from the internet.

    Having slain this dragon just recently, I would suggest that you DON'T want to use the iPhones in VPN mode - you will drain the batteries so fast that the phones won't be mobile at all!

    I documented a cheat-sheet from my experience here: Using iPhone 3G with Exchange ActiveSync

    Cheers - Bob


    Frankly, iPhones don't have great battery life anyway. 2.1 has helped a little but users are charging them everyday here. That's what we get for a 3G phone with a big display, murders battery life. The single biggest complaint I got when we switched company phone users to the iphone was battery life, I don't think vpn will make a big difference in what is pretty bad battery life already.

    Hopefully future updates will help decrease battery usage and future iphone versions have chips that have lower energy use.