Routing Question

Hi,
do your users on the local network require access to the DMZ?

If yes, then bring the DMZ inside the ASG and allow the ASG to do the routing. Put the adtran in bridging mode and move all firewall functions to the ASG.

Replace the Barracuda with the http/s proxy with webfiltering enabled.

Ian

Hi, Justin, and welcome to the User BB!  I'm glad the West Coast Sales Manager got you hooked up with a reseller.

Have you participated in one of the demos done by Astaro?  Charles Treacy and the other pre-sales guys are excellent at this, and you might want to use them as a part of your demonstration to your execs.

I agree with Ian about how this should end up, but maybe  your configuration now should depend on what you're trying to demo to your Execs.

A final note would be that Astaro is a dream for an experienced networking/security person to manage once it's been installed.  It is quite another thing to design the configuration in the first place - that really requires an experienced Astaro installer.  Unless you have the authority to agree now to pay for this work if you buy the Astaro, I suspect your reseller would not volunteer to do this for you at this point.

What is the goal of your demo?   What do you want them to see?

Cheers - Bob

Ian,

Local network users do not require access to the DMZ. The Adtran is handling our fiber connection with an ethernet hand off from the ISP. Once i get the ASG config worked out the Adtran is going bye bye [:)]

Part of my test is showing the ASG can provide web filtering, IPS(Which we don't have now), browsing/bandwidth reporting, VPN, (IPSEC Site to Site), SSL for remote users and via our Android and iPhones.

Bob, 
I rarely have our VARs configure everything that we purchase, how else do you learn? I know if I walk though the fire I end up with a much better understanding of how the device works and a really good idea of what future issues are likely to come up.

For purposes of the test, since this will be behind an existing firewall, what you may want to consider is using the Astaro as a semi-transparent in-line device.  Just bridge the WAN and LAN interfaces, then put the web and SMTP proxy into transparent modes.  This will save you from having to make major configuration changes to your existing network until after your "powers that be" approve the purchase.  I had an Astaro setup like this for quite some time before I finally kicked the perimeter Cisco ASA to the curb.

Justin, I understand, and you're right that there's no substitute for going through the whole thing yourself.  It's one of the reasons Astaro allows folks to use the complete package with few limitations for free at home.

I've seen experienced Cisco installers make design decisions for their Astaro that caused problems later.  The right setup decisions are more about flexibility and ease-of-change/addition in the future than about making it work up front.

Normally, most of my time setting someone up is understanding the existing network and explaining to the new admin which choices were made.  After that, I get some calls with quick questions, but people have few problems they can't solve themselves.

Anyway, if you do have an experienced Astaro reseller, it might be worth budgeting $500 (since you'll be able to do a lot of it yourself) to get some help with the initial setup of your actual system.  That's free advice, but, hopefully worth a bit more than you paid for it. [;)]

Cheers - Bob