Initial Configuration Problems

Here's an update.

After all the updates, the ASL version is 3.214.

I configured eth0 to be an 'external' network device (named 'external1'), assigned a public ip address that is assigned by my isp.

I configured eth1 to be an 'internal' network device (named 'internal1'), and assigned a static ip address to it as well, c-class 192.168.1.1, netmask 255.255.255.0, 'None' was selected for default gateway.

I configured a masq. rule for traffic to route from the 'internal' to the 'external' network devices. To be more specific:

Internal1_Network__ -> All / All   MASQ__External1

My workstation is the test computer on the inside, so I configured a static ip (IP: 192.168.1.2, NETMASK: 255.255.255.0, GATEWAY: 192.168.1.1)

I can get ping replys from everything in the firewall from my workstation, but nothing outside it. Any ideas?

All other configurations are default settings from installation, minus the admin setup.

I currently have a second private network in my home that I am using to administer asl, so I know that the net is there, since I can come from outside to the firewall. I just can't seem to get outside that box, argghhh!!

What I really need help with after I can get outside the box (no pun intended), is DNAT/SNAT.

Thanx

Hey You Will Also Have To Setup UP A Packet Filter Rull To Allow The Private Network / Any / Any.  This should help resolve your issue.  You may also try seting up a SNAT Instead Of A MASQ is a lot cleaner with less issues.

I think that I might have another issue. I would like to start from the beginning to make sure I have followed the appropiate steps to setup asl 3.2.

I reinstalled since I have added another NIC. I am trying to make sure that if I make a change that is very crucial, that I can still access the firewall's webadmin. So currently, eth0 is setup as the 'webadmin' port, and is used only for that. so here's the current config I have setup:

ISP ROUTER--->SWITCH1===>ASL--->SWITCH2===>workstation&webserver
...............................^ 2xCAT5e from switch1 to asl

ISP IP Range: 69.x.x.34-40
Subnet Mask:  255.255.255.240
Gateway IP:   69.x.x.33

What is to be accomplished:
1. Access from workstation to/from the WWW
2. Access to/from webserver to/from the WWW
For all practical purposes, I will refer to the webserver as 'web1' and the workstation as 'ws1'.

Network->Interfaces:
dev......ip....................subnetmask..............gateway
eth0....69.x.x.34...........255.255.255.240.......69.x.x.33||webadmin at the moment
eth1....69.x.x.35...........255.255.255.240.......69.x.x.33||Name: External1
eth2....192.168.1.1.......255.255.255.255........undefined||Name: Internal1

Definitions->Networks:
I am unsure what to setup here. I have seen replies in the forums where for every machine inside there is a network definition, but since I have the NICs config'ed, and they are listed in this section, and can be referred to in other sections of asl, I am confused as to why I would setup anything else here. I have tried to follow some of the examples here in the forums and the manual, but I know I must be missing something. If I need to setup something here to accomplish my task (which is listed above) please let me know. Also, when referencing these devices, should I reference the 'Interface' or the 'Network' and why/when?

Network->Routing:
Do I need to do anything here? I have seen few references to this feature in the forums, but the online demo clearly uses it.

Network->NAT/Masquerading:
Now I know I need to setup something here, but everything I have tried has failed, even with packet filtering rules. I would really like to use D/SNAT instead of masquerading, and any specific instruction to my specific scenario is welcome.

Packet Filter->Rules
Very Simple: Any/Any/Any/Allow. I did this to ensure traffic on initial setup(didn't happen). Green Graphic selected. I figured this made the rule 'active' vs. red which I intuitively took as 'disabled'. Correct me if I am wrong.

Packet Filter->ICMP:
Everything is enabled here for testing purposes.

No other settings have been changed from the default, minus the initial System->Settings setup.

If anyone can help, it is greatly appreciated. Please be as specific as I was in this post. It took me an hour to write this thing and to make sure I was clear on my predicament. Any replies are welcome, but please give clear instructions. As you see, I am new to astaro.

Thanx Everyone
PS-Happy New Year!!! (My Time:1:06AM:Central)  

Below you will find a layout of a proper configuration.  You really do not need more than two network adapters unless are going to be running three networks as I have in the example.  If you are wanting to be able to use your additional IP addresses then you will just want to add an addtional address to the public nic.  Also note you will then set in the configuration that you only access the web admin from the private address.  See Configuration information below.

DMZ1   Standard ethernet interface   10.x.5.x (Static)   edit   
UP   eth2 [ NIC Type ]   255.255.255.0 (Static)   remove   

PRIVATE1   Standard ethernet interface   10.x.6.x (Static)edit   
UP   eth0 [ NIC Type ]   255.255.255.0 (Static)   remove   

PUBLIC20   Standard ethernet interface   64.x.x.20 (Static)   edit   
UP   eth1 [ NIC Type ]   255.255.255.0 (Static)   remove   

PUBLIC21   Additional address on ethernet interface   64.x.x.21 (Static) edit
UP   eth1 [ NIC Type ]   255.255.255.0 (Static)   remove   

PUBLIC22   Additional address on ethernet interface   64.x.x.22 (Static)edit
UP   eth1 [ NIC Type ]   255.255.255.0 (Static)   remove   

PUBLIC23   Additional address on ethernet interface   64.x.x.23 (Static)edit
UP   eth1 [ NIC Type ]   255.255.255.0 (Static)   remove

Ok. I did all that. Now do I need to setup anything in the Definitions->Networks?

Thanx

Hey,

The Network - definitions part is there to first of all define logical names for your networks or devices. Next is to use these definition for assigning specific funcitons to them. E.g. if you want to define a masquerading rule, you must then also define for which DEFINED NETWORKNAME that rule is applicable. 

Simple example:
In Definitions - Networks, add a network:
Name:...........IP address:.....Mask:
HOME_LAN.....10.10.10.0......255.255.255.0

Then define a Masquerading rule on it:

In Network - NAT: Add new NAT rule
Name:      MaskMe
Rule type: Masquerading
Network:   HOME_LAN
Interface: outside

I always start by adding definitions for all my (local AND REMOTE) networks and nodes that could possibly come into play in the ASL. I find it that using these definitions makes defining and reading rules a lot easier compared to staring at IP numbers (specially at 1AM   [;)]  ).

Hope this helps.

HAPPY NEW YEAR!

Thanx for the info. I will try it.

I have another question regarding setup in Definitions->Networks, and in Network->Interfaces regarding subnet masks and default gateways.
Besides the subnet mask that is assigned by my ISP, what other subnet masks do I need to incorporate? I see asl requires under Definitions->Networks that the subnet mask 255.255.255.255, but when I configure my test workstation which is an XP box, it will only allow me to setup a subnet mask of 255.255.255.0 for any c-class private IP address. Also under Network->Interfaces, I am unsure as to what gets assigned a subnet mask, and what does not. I assume that any IP address that is provided by my ISP requires my ISP's subnet mask value, but what about the 'inside' devices?

Also, a question about default gateways. What gets assigned what default gateway? Like I stated before, I assume that any value supplied to me by my ISP is required for proper setup, so what do I assign the inside interfaces?

I beleive that these issues could be the root of some of my configuration problems.

Thanx All

Well, this is basic IP ntworking   . In your network settings, for the external interface you should indeed use the subnetmask that was given to you by your ISP. 

The internal interface you determine yourself. If you have an internal class C network, the subnet mask should be 255.255.255.0, which in Astaro can also be entered as 24. 

If you define a single device (eg your PC or a printer), it should be 255.255.255.255 (or: 32).

Regarding gateways: make sure to specify a default gateway on your external interface (as defined by your ISP). For the internal interface, specify 'none'. Any routing required on your internal should be manually added from the 'routing' page. I once made the mistake of also giving the internal interface a default gateway. That f...d up all my communications since the Astaro did not know which routes to take...

Good luck!

Ahhh...I knew it! I knew there was something in my config of the gateways that I was having a problem with. Thanx a bunch.

I will try some config changes and get back to you.

Ahhh...I knew it! I knew there was something in my config of the gateways that I was having a problem with. Thanx a bunch.

I will try some config changes and get back to you.