Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 3 subscribers
  • Views 10025 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Multiple Class-C Networks on one Interface (Routing Questions)

MasterTH
Hi,

we've got an astaro gateway. This gateway should protect our Servers against attacks from outside. 
The point is, that the Servers are in different subnets which are bound to VLANs. This VLANs are assigned to the switch-Ports we have on the astaro. Behind the astaro the server got an internal ip-Adress and the astaro should route the traffic of them to the internet an back.

Our Problem. If i bind the internal IP-Adress to the Interface (lag0) no server can access the internet and they are not accessible from the internet. I alread made the needed network security rules and so on. If a assign an IP-Adress from the subnet to the interface everything works fine.

How can i tell the astaro that it should route traffic from server a through gateway a and traffic from server b through gateway b. Even if the IP-Adress isn't assigned to an interface (just added to additional IP-Adresses)

Thanks a lot.


This thread was automatically locked due to age.
  • 0
    First, the interface binding doesn't work as you're thinking.  It's important to set all Host and Network definitions with 'Interface: >', otherwise, you will have problems like the one you've described.  Unless instructed by an Astaro Support employee to bind a definition to a specific interface, you should leave all on >.  The only definition that should be bound to an interface is the Astaro-delivered "Internet" definition that cannot be modified.

    You don't say what version of Astaro. If 7.5 or higher, you should use Uplink Balancing with Multipath rules to determine the WAN connection used for traffic initiated by a particular server.  If the traffic is inbound requests from the internet to a server, then the connection used for the response will depend on the inbound connection.

    Are you using DNATs or Web Application Security to guide inbound traffic to internal servers?

    If I've misunderstood your question, perhaps a simple diagram would help.

    Cheers - Bob
  • 0 in reply to BAlfson
    We use astaro v8.300

    we are using dnat to guide the incoming traffic to the servers, correct.

    So we decided to use multipath rules. Can you please give me a little tip, how to configure it to get this thing working?

    Would be great.


    Big Thanks
  • 0
    I'm not sure what you want to accomplish.

    It is possible to force the Astaro to send a response out a different interface.  However, when a request to one of your servers arrives at an interface, the response must leave by the same interface.   If the response leaves from a different interface, the requestor's firewall will drop it as "uninvited."

    Multipath rules cannot determine the IP on which a request arrives; that is determined by public name servers.

    Cheers - Bob
  • 0
    What 'Interfaces' are defined on lag0 and lag1 - only VLAN 165 on lag0 and VLAN 240 on lag1?  What is the network defined for VLAN 165?  - for 240?  If there aren't VLAN interfaces for the other networks, how do you route between them?

    Cheers - Bob
  • 0 in reply to BAlfson
    each lag has two interfaces as it is shown in the diagram.

    lag0 = eth1 & eth2
    lag1 = eth3 & eth4


    We've one VLAN on each lag for internal use, the subnets are the local /24 subnets you can see in the diagram.
  • 0
    lag0 = eth1 & eth2
    lag1 = eth3 & eth4

    Yes, I had understood that.  In Astaro WebAdmin, in 'Interface & Routing >> Interfaces', on the 'Interfaces' tab, you have some "Interfaces" defined.  Please [Go Advanced] below and show a picture of that page.

    Also, please explain if you have another VLAN switch or router connected to the Astaro and what it is.

    Also explain what is the default gateway for each subnet and where that IP is.

    Cheers - Bob
  • 0
    Hi Bob,

    at first big thanks that you take care of our problem.
    i added the interface screen as attachment.

    currently the subnet 82.211.x works fine everything on this subnet works as it should do. But the gateway 84.200.x is not recognized 


    2012:02:25-23:13:10 astaro1-1 service_monitor[16441]: id="4002" severity="info" sys="System" sub="loadbalancing" name="plugin_trace4: [84.200.4.141] HOP 1 82.211.2.1 pingable" 

    this is what i can see in the logs. it appears when i disable and enable the interface again. I didn't get it, why the interface does not use it's own gateway as first hop.
  • 0
    Hm - I think one part of your problem is, that you have defined a default gateway on your internal interfaces - asg uses interfaces with set def gw as external interfaces. I think you should remove the def gw entries on the vlan interfaces, set ip's of the vlan to the interfaces an set that ip as def gw on the devices in the vlan - or do the routing on the vlan switches.

    Regards
    Manfred
  • 0
    That does look different, Manfred, but I think he must have Uplink Balancing enabled - in fact, those two subnets are public IP ranges, so that might not be unreasonable.  It also looks like the VLANs aren't properly defined.

    The diagram in Post #5 is inconsistent with the picture in Post #9.  There is too much unknown about this situation to make intelligent recommendations.  If you have a complete network diagram, and would like to email me a link to it, I'll try to help.  Click on my name above to email me (Englisch/Deutsch, ist egal).

    In fact, it looks like this is complex enough and high-profile enough to justify spending a few hundred Euro on a local consultant with good Astaro experience to get you started.  Once the basic design for the configuration is defined, it should be easy for you to complete it yourself.

    Cheers - Bob