Bridge mode on DSL modem with dynamic IP

Hi, PPPoA doesn't work the same way as DHCP... do you have the EXT interface set to PPPoA or PPPoE mode?

Barry

Hi Barry,

The Ext interface is set to PPPOA, and I have added the appropriate user credentials for my ISP. The DSL modem is just set to bridge and seems to be connecting OK.

Many thanks,

Hi,
I haven't tried som eof the features in 7.500 PPPoE since the beta. Basically you will need to have the following fields filled in. Using PPPoA you will need to provide additional information which I have never tried because my ISP uses PPPoE.

Basic PPPoE
1/. user name
2/. password
3/. check you MTU should be around 1492.
4/. type and hardware (Eth1)
5/. tick (enable) default g/w

Ian M

Thanks Ian,

I have those settings, have captured to following from the PPPoA event log - this repeats multiple times:

2009:12:06-12:55:32 perimeter pppoa-sh: pptpc[21708] looking for IP info in /var/run/pptp/eth1#REF_UWEykJlEZZ 
2009:12:06-12:55:32 perimeter pppoa-sh: pptpc[21708] /var/run/pptp/eth1#REF_UWEykJlEZZ not found, check ip-up script 
2009:12:06-12:55:32 perimeter pppoa-sh: pptpc[21708] shutting down pptp connection  0.0.0.0
2009:12:06-12:55:37 perimeter pppoa-sh: pptpc[21708] removing UNIX domain socket /var/run/pptp/0.0.0.0 
2009:12:06-12:55:37 perimeter pppoa-sh: pptpc[21708] verifying running processes 
2009:12:06-12:55:37 perimeter pppoa-sh: pptpc[21708] pppd:  : call REF_UWEykJlEZZ ipparam eth1#REF_UWEykJlEZZ failed
2009:12:06-12:55:37 perimeter pppoa-sh: pptpc[21708] pptp: call manager or gre-gateway failed
2009:12:06-12:55:37 perimeter pppoa-sh: pptpc[21708] one or more processes missing 
2009:12:06-12:55:37 perimeter pppoa-sh: pptpc[21708] shutting down pptp connection  0.0.0.0
2009:12:06-12:55:42 perimeter pppoa-sh: pptpc[21708] removing UNIX domain socket /var/run/pptp/0.0.0.0 
2009:12:06-12:55:42 perimeter pppoa-sh: pptpc[21708] encountered 10 errors so far 
2009:12:06-12:55:42 perimeter pppoa-sh: pptpc[21708] connection terminated after 15 sec 
2009:12:06-12:55:42 perimeter pppoa-sh: pptpc[21708] connection terminated prematurely 
2009:12:06-12:55:42 perimeter pppoa-sh: pptpc[21708] restarting connection in 30 sec 
2009:12:06-12:55:42 perimeter pppoa-sh: pptpc[21708] 10/3 critical error threshold 
2009:12:06-12:56:37 perimeter pppoa-sh: pptpc[21708] initiating PPTP connection 
2009:12:06-12:56:37 perimeter pppd-pppoa[22812]: pppd 2.4.3 started by (unknown), uid 0
2009:12:06-12:56:37 perimeter pppoa-sh: pptpc[21708] waiting 10 sec for ip-up script 
2009:12:06-12:56:37 perimeter pppd-pppoa[22812]: using channel 178
2009:12:06-12:56:37 perimeter pppd-pppoa[22812]: Using interface ppp0
2009:12:06-12:56:37 perimeter pppd-pppoa[22812]: Connect: ppp0  /dev/ttyp0
2009:12:06-12:56:37 perimeter pppd-pppoa[22812]: Script /usr/sbin/pptp-current 0.0.0.0 --nolaunchpppd finished (pid 22813), status = 0x1
2009:12:06-12:56:37 perimeter pppd-pppoa[22812]: Modem hangup
2009:12:06-12:56:37 perimeter pppd-pppoa[22812]: Connection terminated.
2009:12:06-12:56:37 perimeter pppd-pppoa[22812]: Exit.

I have reconfigured the external interface from a standard ethernet to PPPoA as I hadn't decided how I was going to connect to the outside world when I originally built the box.

The way I read this log snippet is that either it's objecting to the lack of a stated IP number for the EXT interface (most likely) or it doesn't like the fact that I've changed the EXT interface from standard ethernet to PPPoA. Since my ISP requires that customer external router interfaces are set to dynamically assigned, and my understanding is that a bridged DSL modem won't actually have an IP number it's going to be difficult for me to assign a value for the NIC address or the modem IP.

Oh, I should add that nominating IP numbers for the Ext interface and the Modem (and assigning the corresponding IP number for the modem's mgt interface - the only IP related value I can give it) also doesn't work although I don;t have a log file snippet from those settings just yet.

Does this clarify the problem at all?

Hi,
you could be a bit cheeky and see if the connection will work using PPPoE.

At one stage I contemplated trying PPPoA, but there is no way the modem would respond to an IP address when in bridged mode because the packets are encapsulated and not seen by the modem. Which implied an ethernet connection which the modem watches.

Ian

Hi Ian,

Gave it a try, but no joy. It looked worth a shot! 

One thing that's causing me to struggle with diagnosing this problem, is that I don't understand why you would need to specify modem and NIC IP numbers for a PPPoA connection. I want to avoid double NATing, and assigning IP numbers for the modem and Ext interface implies that a separate subnet between the Astaro box and the modem is required. Can anybody shed any light on this?

I've retraced my steps tonight and confirmed that the modem will connect to the ISP when I specify the user credentials on the modem itself and am presented with a public IP number and also in bridge mode where I only have to specify the VCI / VPI values.

Thanks again,

Hey all,

Still working on this issue, although I think I'm just going to have to bite the bullet and double NAT using a DSL router instead of a modem. Before I go down that road, can anyone shed any light on how these settings are supposed to work? Here's how it looks to me:

If you want to use the PPPoA option on your external interface, most DSL services are offered on a dynamic IP only basis and require that your outermost TCP/IP interface is set accordingly. There isn't an explicit option for dynamic IP on the Ext interface, and leaving the IP / netmask values as all zeros doesn't work (not that I thought it would, I was just trying all options)

I haven't tried NONAT yet using a DSL router (I will test this), but I'm expecting the same result since the Astaro Ext interface will still need to be dynamically assigned. All that's changed there is the de-encapsulation and authentication has been moved one stage further out.

So - do I absolutely have to use a DSL router to handle de-encapsulation and authentication and have an 'interim' DMZ between DSL router and Astaro box if I want to use Astaro with a PPPoA service? If not, can anyone tell me what I am doing wrong on the Ext PPPoA configuration?

Advice gratefully received!

Hi All 
Myself Rahul from India and this is my first post to Astaro

I am having ASG 320 and want to  impement  web filtering, IPS, Anti-virus, Anti-Spam and integration with AD from the box. 

PIX firewall with internal ip address as 172.32.0.1/16. Pix firewall is connected to L3 Switch (3750) whose port (connected to PIX)has ip address is 172.32.0.2

 

Pix has lot of static NAT statements and has mapped at least 5 public IP addresses to IP address to internal servers. All the servers are in the 172.16.0.0/16 range. The L3 Switch is connected to L2 switches which bear network addresses 172.16.0.0/16, 172.18.0.0/16, 172.19.0.0/16, etc. There are no Vlans. All the subnet are routed from local LAN at L3 switch. PIX also have these LAN addresses mapped to 172.32.0.2 for outbound traffic.

 

Please find attached network diagram for your reference.

------------------------------------------------------------------------------------------------------------------------------
[SIZE="4"][FONT="Arial Black"]
Solution 1[/FONT][/SIZE]

In Ist part we had noted that the initially installed cyberoam was having only 1 ip address i.e 172.32.0.3/16 (Management IP) and was working in the network. So considering the same we bridged all 8 interfaces and gave br0 an ip address of 172.32.0.3 for Management. After bridging, all the interfaces were marked as internal interfaces.

Also we defined following networks: LAN 1 – 172.16.0.0/16, LAN 2 - 172.18.0.0/16, LAN 3 - 172.19.0.0/16 as Network definitions.

We enabled following services

1.       HTTP proxy (allowed networks LAN 1, LAN 2, LAN 3, Internal)

2.       IPS

 

The box was put to live testing (removed cyberoam and replaced it with our ASTARO). At first the nothing was working as no packet filters were defined. I defined  following packet filters

1.       From LAN 1 to any           service any         allowed

2.       From LAN 2 to any           service any         allowed

3.       From LAN 3 to any           service any         allowed

4.       From Internal to any       service any         allowed

 

Still I was not able to connect any client to internet. So I disabled HTTP proxy + IPS, but still we were not able to get the clients through. To enable ping I enabled ping to the firewall and through the firewall. Also I selected Standard at operation mode in the HTTP proxy page. After doing so clients were able to go to internet and browse. We tested for the mail, clients were able to send mail but were not able to receive the same. After assessment we realized it was because no traffic was allowed from outside to inside. So for testing purpose, we changed the policy and set it to

From any             To any                 service any         allowed.

 

After changing the firewall filter , we were able to send and receive the mails and also browse the internet. So traffic was moving both directions as required. 

At this point I again enabled the HTTP proxy and in the URL filtering defined various categories to block. But web filtering didn’t  worked. We tried to specify an particular URL even, but web filtering didn’t worked for that website. Tried blocking with wildcard notations as well, but still it didn’t worked.

 

[SIZE="4"][FONT="Arial Black"]Solution 2[/FONT][/SIZE]

After lot of thought process we came to conclusion that it might be because there is no zone change in this scenario, box is not able to filter traffic. So I suggested that if we can create 2 zones with different ip address scheme for LAN and for WAN. I suggested to change the LAN IP to some new ip address scheme, but client was reluctant for the same as he had 172.32.0.2 (IP address of the connection from L3 switch to PIX) was referenced in lot of statements in PIX.

 

So we decided to reset the box, create 2 zones and then check the results.

 

We decided to keep eth0 as per the default at 192.168.0.1/24 for management purpose. Also I gave eth1 ip address of 172.32.0.3/16 and connected the same to WAN interface coming from the Pix firewall. We gave default gateway of 172.32.0.1/16. I bridged interface eth4/5/6/7 as br0 and gave ip address of 172.32.0.4/16. We set packet filter :

From any             To any                   Service Any        Allowed

But in this scenario we were not able to even get traffic to internet.

 Also tried the solution

[SIZE="4"][FONT="Arial Black"] SOLUTION 3[/FONT][/SIZE]
1) Network >> Interface 
a) eth 0 ip 192.168.0.1/24
 
2) Configured eth1 and eth 2 in bridge  and no convert interface was selected.
3) Created new bridge interface and assigned 172.32.0.3/16 and default gateway 172.32.0.1.
      4)  Network Definitions

a) Default- 0.0.0.0/0 bound to bridge interface
b) LAN16-172.16.0.0/16 bound to bridge interface.
c) LAN17- 172.17.0.0/16 bound to bridge interface.
d) LAN18-172.18.0.0/16 bound to bridge interface.
e) LAN Group- added all the Lan’s network.



4) Packet Filter Rule – Source(Any),Destination(Any).Service(any)-allow
5) No Nat
6) Enabled Web Security
         Allowed Networks- LAN Group
         Scan https
         Transparent Mode-full Transparent
7) Pix connected to eth 1 and Switch to eth 2.
8) Nating for 172.16.32.3 in PIX was dynamic because of which  Astaro   was reaching yahoo.com,google.com by name.

configuration the Clients were able to ping to websites but they were not able view the pages in the browser.

Thanks

Hi, Rahul, and welcome to the User BB!

It's really hard to address so many things all at once.  If I were doing this, I would get rid of the Pix and the switch and replace those functions with the Astaro, but I'll make some observations on what you're trying to accomplish.

Your "default" definition for 0.0.0.0 sounds like the definition "Internet" that is pre-loaded in the Astaro; I recommend you use that instead so that communication with Astaro and other users here will be clear.

Although the Internet definition is bound to the interface with a default gateway, no other definition should be, so you should remove the binding from all of the definitions you made.

I don't see the reason to define the different LANs.  Just create the interface with 172.16.0.x/14 instead of several /16s.  I don't understand why you would use public IPs (172.32.x.x) in your private LAN; fortunately, none of the IPs you mentioned are in use; I don't see any reason not to have the inside addresses of the Pix be in the 172.16.0.0/14 range.

If you want to keep the LANs separated, you could bridge several interfaces and create packet filter rules limiting traffic between them.

Although I haven't done it, I think that your choice of full transparent mode is correct when using the proxy on bridged interfaces.

Check the 'Content Filter (HTTP)' log to see if the traffic is flowing through the proxy and why it is being blocked.

Cheers - Bob

Hi Bob

I can't replace the Pix and switch from the scenario given also i have to place the Astaro as per n/w diagram without changing the configuration of Pix  and other devices.
I also want to tell you that with the same scenario the cyberoam  utm is working fine. 


Pls suggest me with some solution 


Rahul