Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 1187 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Please help me setup a Astaro classroom lab

jacqueusi
Hi everyone. I posted earlier about a technical issue which is now resolved. Having gotten past that, I am requesting additional assistance. I would like to teach others basic firewall concepts using Astaro. The most elegant way would be to setup a virtual lab. I am a bit confused about how to approach this.

Current configuration.

1. MacBook Pro, 4G RAM running Bootcamp and Windows 7 for the lab.
2. Latest Astaro virtual appliance.
3. ONE Internet connection via wireless gateway. IP scheme is 192.168.1.X/24, gateway 192.168.1.1

What I would like to do is have an Internal  network, an external Internet connected network. I would then have an internal client  that would have use Astaro as the default gateway and access the Internet via 192.168.1.1. The client would also have scanning tools available such as Nessus to test rules. I would also like to run Nessus from the external Internet side .

Any suggestions on how to best approach. I was able to access the Astaro Management console by changing the wireless interface from DHCP 192.168.1.X to 192.168.0.3, but 1. that means no Internet access, and 2. my laptop is now on the "Internal" network which I don't want.

Thank you in advance.


This thread was automatically locked due to age.
  • 0
    Hi,
    a couple of questions
    1/. what IP address did you provide for the ASG during installation.
    2/. what interface did you choose as your default during installation.

    You will need to login, change the IP address of the other NIC then login using that interface.

    I am not sure what you plan to teach, but basic firewall setup would be good for you to learn first..
    Also read the manual that comes on your ASG after installation.

    There is also the FAQ and knowledge base on the myastaro web site.

    Ian M
  • 0 in reply to RFCat_vk_01
    Greeting from Michigan, USA, and thank you for the prompt response. In regards to your questions:

    1/. what IP address did you provide for the ASG during installation.
       ASG virtual appliance has a default IP address of 192.168.0.1 for eth1

    2/. what interface did you choose as your default during installation.
       ASG virtual appliance has a default interface of eth1

    3. You will need to login, change the IP address of the other NIC then login using that interface.
       I took care of that early in my lab setup. Unfortunately, that makes my laptop and immediate network (192.168.1.X/24) the "Internal Network". As a teaching lab, I have no means of running port scans such as Nessus and writing rules to block Internet access for example. Ideally, I would like to position my laptop on the Internal network, and then have ASG route out the Internet, ONLY when the rulebase permits it.

    I'm thinking I need to setup a Windows 7 Loopback adapter. Still trying to figure this out.
  • 0 in reply to jacqueusi
    I am a bit confused?

    you set the internal to 10.x.x.1/24 and assign the DHCP server on that interface to allocate 10.x.x.2-10.x.x.254/24
    you set the external interface to fixed 192.168.1.2/24
    for your internal traffic the default gateway becomes 10.x.x.1
    in the dhcp server you add dns of 10.x.x.1
    you will need to add DNS of 192.168.1.2 or what ever your network admin provides
    your external gateway is 192.168.1.2

    On your external network the mac sits with an address of 192.168.1.3 or something similar.

    Ian M
  • 0 in reply to RFCat_vk_01
    I think part of the problem is the use of Windows 7 & VMware Player as the virtual environment.

    IMHO, Player was never really intended for use beyond running a OS as a simple install w/ one NIC. On a linux host a setup like this can be faked to some extent using route & IPtables. Under Windows 7/Vista/XP, Player is further crippled because those OS's were never really designed with this sort of scenario in mind.

    Really what the OP needs to do is to start fresh with an Astaro install on bare metal, or ESXi (which will handle this scenario easily), and go from there. I've played with various setups similar to the OP on Player and I've never had any luck getting them to work properly.
  • 0
    I am a bit confused?
    * Not confused at all. What you listed are the requirements I would like to establish for my virtual lab.

    1. I would like to set the internal to 10.x.x.1/24 and assign the DHCP server on that interface to allocate 10.x.x.2-10.x.x.254/24
    2. I would like to set the external interface to fixed 192.168.1.2/24
       * Actually, the external gateway interface I would like to assign an unassigned IP address in my internal network, say 192.168.0.254. The 192.168.1.1 IP is what is what is set in the documentation, and the .2 is the suggested IP to access the Admin interface.
    3.  I would like to set internal traffic the default gateway becomes 10.x.x.1.
       * Noted, thank you. ... in the dhcp server you add dns of 10.x.x.1 you will need to add DNS of 192.168.1.2 or what ever your network admin provides your external gateway is 192.168.1.2
    4. On your external network the mac sits with an address of 192.168.1.3 or something similar.
       * Actually, I would like to rid my network of the 192.168.1.X range. My Mac and true network w/Internet access is 192.168.0.X/24

    Thank you! Just going through this exercise has given me some clarity.
  • 0
    Andrew: Really what the OP needs to do is to start fresh with an Astaro install on bare metal, or ESXi (which will handle this scenario easily), and go from there. 

    * I can't do a bare metal install. *Correction* I've done a bare metal and it was cake :-) I plan on documenting this lab so distance learning students can benefit from it. Physical hardware beyond one box is not going to be available. 

    Certainly Server is a serious consideration. Can you give guidance on how to best setup VMnet0, VMnet1, and VMnet8?

    Thanks!
  • 0 in reply to jacqueusi
    If you plan to keep the entire lab within your own laptop and no external client's will be attached there is one possible way to approach this. I'm not near my test rig so I'm going based on memory so ymmv.

    When setting up the virtual machine within player you'll want to add & tweak the network cards. The first NIC you create should be set to host only mode as this nic will be used by your laptop to access the inside of the ASG. The second NIC should be configured in bridge mode as it will be the 'outside' link. You can then install the ASG as usual and go from there.

    In my experience, There are limitations to this setup. Firstly, because bridging between Player & Windows touches *all* physical interfaces, there's no way that I know of to limit Player's 'bridge' interface to a specific physical NIC. Because of that you can't bridge VMNet8(?) and the Wired NIC together for external clients..

    Secondly, It may be possible with windows to manually tweak the routing tables to use the ASG's 'internal' interface as the gateway. I haven't tested that scenario myself as I mainly use this config for limited testing of firewalls, something I haven't done in a while since I started using Astaro. [:)] My main concern with the routing is at what level the interfaces get bridged. I think it's low enough that the routing tables won't impact it but I can't say for sure. If you do try that I'd be happy to find out what your experience is.
  • 0 in reply to TheDrew
    Drew, I'm on the fence of giving your suggestion a shot or going with server. Will post results in a few days.

    Thanks!
  • 0 in reply to jacqueusi
    Just note though that ESXi has to be installed on bare metal so you will need a dedicated box. It's not like VMware Player which is run on top of a host system.
Cookie Information Banner