Bridge mode on DSL modem with dynamic IP

Hi All 
Myself Rahul from India and this is my first post to Astaro

I am having ASG 320 and want to  impement  web filtering, IPS, Anti-virus, Anti-Spam and integration with AD from the box. 

PIX firewall with internal ip address as 172.32.0.1/16. Pix firewall is connected to L3 Switch (3750) whose port (connected to PIX)has ip address is 172.32.0.2

 

Pix has lot of static NAT statements and has mapped at least 5 public IP addresses to IP address to internal servers. All the servers are in the 172.16.0.0/16 range. The L3 Switch is connected to L2 switches which bear network addresses 172.16.0.0/16, 172.18.0.0/16, 172.19.0.0/16, etc. There are no Vlans. All the subnet are routed from local LAN at L3 switch. PIX also have these LAN addresses mapped to 172.32.0.2 for outbound traffic.

 

Please find attached network diagram for your reference.

------------------------------------------------------------------------------------------------------------------------------
[SIZE="4"][FONT="Arial Black"]
Solution 1[/FONT][/SIZE]

In Ist part we had noted that the initially installed cyberoam was having only 1 ip address i.e 172.32.0.3/16 (Management IP) and was working in the network. So considering the same we bridged all 8 interfaces and gave br0 an ip address of 172.32.0.3 for Management. After bridging, all the interfaces were marked as internal interfaces.

Also we defined following networks: LAN 1 – 172.16.0.0/16, LAN 2 - 172.18.0.0/16, LAN 3 - 172.19.0.0/16 as Network definitions.

We enabled following services

1.       HTTP proxy (allowed networks LAN 1, LAN 2, LAN 3, Internal)

2.       IPS

 

The box was put to live testing (removed cyberoam and replaced it with our ASTARO). At first the nothing was working as no packet filters were defined. I defined  following packet filters

1.       From LAN 1 to any           service any         allowed

2.       From LAN 2 to any           service any         allowed

3.       From LAN 3 to any           service any         allowed

4.       From Internal to any       service any         allowed

 

Still I was not able to connect any client to internet. So I disabled HTTP proxy + IPS, but still we were not able to get the clients through. To enable ping I enabled ping to the firewall and through the firewall. Also I selected Standard at operation mode in the HTTP proxy page. After doing so clients were able to go to internet and browse. We tested for the mail, clients were able to send mail but were not able to receive the same. After assessment we realized it was because no traffic was allowed from outside to inside. So for testing purpose, we changed the policy and set it to

From any             To any                 service any         allowed.

 

After changing the firewall filter , we were able to send and receive the mails and also browse the internet. So traffic was moving both directions as required. 

At this point I again enabled the HTTP proxy and in the URL filtering defined various categories to block. But web filtering didn’t  worked. We tried to specify an particular URL even, but web filtering didn’t worked for that website. Tried blocking with wildcard notations as well, but still it didn’t worked.

 

[SIZE="4"][FONT="Arial Black"]Solution 2[/FONT][/SIZE]

After lot of thought process we came to conclusion that it might be because there is no zone change in this scenario, box is not able to filter traffic. So I suggested that if we can create 2 zones with different ip address scheme for LAN and for WAN. I suggested to change the LAN IP to some new ip address scheme, but client was reluctant for the same as he had 172.32.0.2 (IP address of the connection from L3 switch to PIX) was referenced in lot of statements in PIX.

 

So we decided to reset the box, create 2 zones and then check the results.

 

We decided to keep eth0 as per the default at 192.168.0.1/24 for management purpose. Also I gave eth1 ip address of 172.32.0.3/16 and connected the same to WAN interface coming from the Pix firewall. We gave default gateway of 172.32.0.1/16. I bridged interface eth4/5/6/7 as br0 and gave ip address of 172.32.0.4/16. We set packet filter :

From any             To any                   Service Any        Allowed

But in this scenario we were not able to even get traffic to internet.

 Also tried the solution

[SIZE="4"][FONT="Arial Black"] SOLUTION 3[/FONT][/SIZE]
1) Network >> Interface 
a) eth 0 ip 192.168.0.1/24
 
2) Configured eth1 and eth 2 in bridge  and no convert interface was selected.
3) Created new bridge interface and assigned 172.32.0.3/16 and default gateway 172.32.0.1.
      4)  Network Definitions

a) Default- 0.0.0.0/0 bound to bridge interface
b) LAN16-172.16.0.0/16 bound to bridge interface.
c) LAN17- 172.17.0.0/16 bound to bridge interface.
d) LAN18-172.18.0.0/16 bound to bridge interface.
e) LAN Group- added all the Lan’s network.



4) Packet Filter Rule – Source(Any),Destination(Any).Service(any)-allow
5) No Nat
6) Enabled Web Security
         Allowed Networks- LAN Group
         Scan https
         Transparent Mode-full Transparent
7) Pix connected to eth 1 and Switch to eth 2.
8) Nating for 172.16.32.3 in PIX was dynamic because of which  Astaro   was reaching yahoo.com,google.com by name.

configuration the Clients were able to ping to websites but they were not able view the pages in the browser.

Thanks

Your "default" definition for 0.0.0.0 sounds like the definition "Internet" that is pre-loaded in the Astaro; I recommend you use that instead so that communication with Astaro and other users here will be clear.

Although the Internet definition is bound to the interface with a default gateway, no other definition should be, so you should remove the binding from all of the definitions you made.

I don't see the reason to define the different LANs. Just create the interface with 172.16.0.x/14 instead of several /16s. I don't understand why you would use public IPs (172.32.x.x) in your private LAN; fortunately, none of the IPs you mentioned are in use; I don't see any reason not to have the inside addresses of the Pix be in the 172.16.0.0/14 range.

If you want to keep the LANs separated, you could bridge several interfaces and create packet filter rules limiting traffic between them.

Although I haven't done it, I think that your choice of full transparent mode is correct when using the proxy on bridged interfaces.

Check the 'Content Filter (HTTP)' log to see if the traffic is flowing through the proxy and why it is being blocked.

That's the best I can do - try those things (especially the subnet definition on the bridge) and report back again.

Cheers - Bob

Hi Bob 

We resolved the issue by implementing Solution 3. The reason the solution 3 was not working was due to the wrong packet rule also we had made a NAT rule.

Now with same scenario the Astaro is working fine

Thanks for your ideas.


Regards 
Rahul

Hi Bob 

We resolved the issue by implementing Solution 3. The reason the solution 3 was not working was due to the wrong packet rule also we had made a NAT rule.

Now with same scenario the Astaro is working fine

Thanks for your ideas.


Regards 
Rahul