Please Help NewB

Welcoe to the User BB!

Normally, within the LAN, the traffic should not go through the Astaro.

Apparently, Astaro can talk to the world, so it sounds like you might need to create a NAT rule for Masquerading: 'Internal (Network) -> External'.  If you used the wizard to configure initially, you likely already have a packet filter rule like 'Internal (Network) -> Web Surfing -> Internet : Allow'.

If you want to take advantage of the URL control and antivirus offered by the HTTP/S Proxy, enable it and add "Internal (Network)" to the list of 'Allowed networks'.  The easiest will be to start off with the Proxy in "Transparent" mode.  Later, if you'd like for it to handle all the web traffic, you'll be able to disable the two rules in the previous paragraph and switch the Proxy to "Standard" mode.  That also will require configuring the LAN Settings in the browser of each device in the LAN.

Cheers - Bob

Thanks, Bob

I added the NAT rule "Internal Network >> WAN interface" and I have internet access again.

Now the fun begins as I try to understand all I can do with this software!

Aloha from Maui, Hawaii

Rich

I still have some problems.  I have three computers here: one running Linux, and two Windows 7.  I can always reach the internet with the Linux box, but rarely with the Windows 7 computers.  I say "rarely" because I have changed something and found I could connect - shouted "harrah" - only to find that the next time the computer came up it would not have internet access.  I have numerous devices here, such as WAPs, which have fixed IPs, and I assume that I have to list them as static DNS entries, and have done so.  My office desktop (one of the W7 computers) had a fixed IP and would not connect.  When I changed it to DHCP, it connected.  My wife's laptop (another W7 installation) was wirelessly connected using DHCP and would not connect; when I changed it to fixed, it connected.  Then later on both lost internet access.  By "connected" I mean that I could access the internet - both cleanly connected to the LAN and could access other computers and devices regardless of the configuration. 
I hate to be a pest, but have you any more suggestions for me?
Thanks

Rich, say you did you didn't have internet access, what did you observe that led you to that conclusion?

DNS is primarily used to translates names like www.astaro.org  into IPs like 85.27.66.35, so I'm not sure what your use here refers to.

DHCP primarily assigns IP addresses, subnets and default gateways to devices requesting such assignments.  It shouldn't make any difference if you assign those manually or with DHCP as long as the information is consistent.

Cheers - Bob

My office desktop (one of the W7 computers) had a fixed IP and would not connect.  When I changed it to DHCP, it connected.

When you setup a fixed IP, you need to specify the default gateway which is typically the router (the Astaro) that's plugged into your Internet connection. If you don't specify the correct IP, the PC will still be able to see the other PC's on the local network, just not the rest of the world.

DHCP automatically assigns the correct parameters into your PC to connect to the net which is why I suspect it worked after you switched.

My wife's laptop (another W7 installation) was wirelessly connected using DHCP and would not connect; when I changed it to fixed, it connected.

Your wireless AP, is it one of the combo units that you hang off your Internet connection & it doles out IP addresses? I ask because depending on how it's connected/configured you can have some problems with unit's connected to it, especially if the IP range it doles out overlaps with the Astaro.

Probably what happened is the DHCP within the WiFi AP is handing out incorrect info to WiFi clients and the static info you entered was the correct one.

Best thing to do is to disable the DHCP within the AP and make sure the cable between it & the network is plugged into one of the LAN ports. Some AP's though won't forward DHCP traffic through the wireless so if the unit doesn't, you either have to turn DHCP back on and use a separate range for wireless *or* (my preferred) purchase a true WiFi AP which does just the AP function. My preferred unit is the EnGenius EAP9550, which Astaro's AP30 appears built off coincidentally, [:D]

Then later on both lost internet access.  By "connected" I mean that I could access the internet - both cleanly connected to the LAN and could access other computers and devices regardless of the configuration.

What symptoms do you attribute to "lost internet access"? If your browser doesn't connect it can be several causes. If you ping an IP address outside your LAN, 207.194.97.57 for example, do you get pings back? If you do a nslookup on a random domain www.andrewkay.com for example, do you get an IP back? Also, does the linux box work fine throughout all this? If the linux box stays online & "just works" it's most likely problems with the Win7 boxes.

Secondly, do you have Astaro's Web Security enabled during this? If so start by disabling it. We as clean a setup as possible to diagnose this.

To diagnose this properly I'd like to know what the IP's are of both Win7 boxes are when using DHCP & static addresses. I also need to know what the IP info is of the Astaro's internal interface & the WiFi AP.

Sorry if I'm throwing lots of questions at you but I need this to diagnose it.

Thanks in advance for all your help.

I said static "DNS" entries, I should have said "DHCP Static Mappings".  Sorry about that, I was writing fast and didn't notice what I'd written.  The reason I assign static addresses to several devices around my home here is that I need to communicate with them now and then, and don't want to have to search high and low for their current IP addresses (examples: WAPs and Logitech Music receivers).  When things did not work properly, I decided to enter each of these devices' MAC addresses and static IPs into the DHCP Static Mappings.  Normally I would have thought that this would only be necessary if I was assigning them IP addresses within the DHCP assignment range, but I was desperate.  Of course, I can delete all of them easily enough if it is a problem to have the mappings there.  With my router I just need to assign the static IP within the device and don't need to tell the router anything.  Probably the Astaro server is the same?

My observation that I did not have internet access comes from being unable to receive a web page from my mail server and common sites like Google. 

I set up the IP address for the Astaro box to be 192.168.1.1 just so that I would not need to change the gateway address in all of the devices to which I have static IPs assigned.

I have disabled DHCP in all places except the Astaro box (or the router, in my original setup).  So my APs are just that, no more.  They are Hawking units, and have always worked perfectly (and still do when I am connected up with the router rather than the Astaro box).

The setup wizard started the Web Security in Transparent mode.  Of course, I can easily disable it.

The Linux box did not have internet connectivity when I hooked up the Astaro box this morning.  So it is not stable either, apparently.  As a result, and because I have the same IP address for the router as the Astaro box, I cannot look at the details of the setup as I write this.  To change back and forth I have to unplug the cable from the modem to the router and plug it into the Astaro eth1, and plug and unplug the connection to eth0 and the router from the switch (since they have the same IP address).  It is just a tad tedious to change but not too bad.  It was nice when the Linux box worked, as I could then switch the browser back and forth between the Astaro administration interface and the email.  No longer.  Sigh...

I assigned IP addresses of 192.168.1.84 to the Linux box and 192.168.1.85 to my W7 desktop.  I have a large home here and cover it with four WAPs, assigned IP addresses of 192.168.1.241, 192.168.1.242, 192.168.1.243 and 192.168.1.244.  I set up the DHCP function in the Astaro box to assign addresses in the range 192.168.1.100 to 192.168.1.163.  Part of my Logitech music system is set up to receive addresses from the server and part is fixed (for historical reasons).  The former do show up on the ipv4 lease list, as do my W7 computers when they are set up that way.  Normally I assign a static IP to the desktop (192.168.1.85, as mentioned above) and let the laptop get an address from the server.  The laptop shows up in the lease list as expected.  The IPs in the lease list are all in the range 192.168.1.100 to 192.168.1.109.  When I do a scan of the LAN for connected devices, I can see all of them, with their MAC addresses and IP addresses just as I set them up (plus the DHCP assigned devices).

When I finish writing this I will go back and reconnect the Astaro server, and try to ping outside IP addresses such as the one in your post, and also will try nslookup as well and will let you know what I find.  Who knows, the Linux box may work again!  Also, I'll turn off the security functions.

Thanks again,

Rich

Hi,

When I reconnected the Astaro box, once again I lost internet connectivity.  I tried pinging 207.194.97.57 on all the computers and the requests always timed out.  I could not get a web page response from my mail web client or google on any machine.  On the other hand, from the Linux box I did get a response to nslookup for Untitled Document, as 64.6.241.10.  Pinging this timed out, however.

It turns out the web security was disabled; I must of done this at some point to see if it helped.  I left it disabled.

When I connected up the Linksys router and disconnected the Astaro box, I tried again from each of the computers.  I could see web pages from the usual sources, pings to the above addresses returned responses, and I could get a response from nslookup on the Linux box.  I had never done this (nslookup) from a Windows machine before; I tried typing  at the command line in DOS but got no response (that is, the system responded but said that the DNS query timed out).

Thanks

Rich

That narrows it down to the Astaro itself.

Firstly, Under the ICMP tab of the packet filter, could you make sure the ping & traceroute settings are all checked. You'll need those to ping beyond the Astaro and I don't recall if they're enabled by default.

Secondly, what rules do you have listed in the packet filter? I have six that were setup on my install, DNS, Terminal Apps, Instant Messaging, VoIP, Email & Web. Astaro's firewall runs on a 'default deny' policy which means you have to have rules enabling certain traffic otherwise it will get blocked.

Quick way to test if it's the packet filter rules is to temporarily enable a rule with:

Source: Internal Network
Service: Any
Destination: Any

That will allow *all* outbound traffic through the Astaro.

Lastly, disable the Web Filter altogether till we get this sorted out. Other's have had better luck but I've had issues with the Transparent Proxy, and I'd rather not walk you through setting up the regular proxy till we get this sorted out. [:)]

Hi Drew,

By default, the IMCP settings for ping enabled "Firewall is Ping Visible" and "Ping from Firewall" but not "Firewall forwards Pings".  Neither of the Traceroute settings were checked.  Checking these and Applying made no difference.  Once I set up the new rule you suggested, I had internet access from the Linux computer but not from the W7 units.  I disabled the rule and lost the internet at the Linux box, re-enabled it and got it back.  But the W7 computers continue to balk at the setup.  The laptop is wireless, and indicates it is connected to the SSID of my wireless setup here.  But the network it is connected to is "unidentified" and there is no internet access.  The desktop is wired and says the same about the network.  I have disabled and re-enabled the network adapters on both computers to no avail.  I have rebooted them, also with no effect.

Meanwhile, I do have access from the Linux box, with the last rule enabled.  I had four other rules added by the setup wizard: internal -> any for DNS service, VoIP Protocols, Email Messaging and Web Surfing.  I did not have Terminal Apps or IM because I left them out when I ran the wizard.  I noticed that I had Country Blocking enabled (don't know how this happened) but I disabled it.  No countries were checked, however.

Both the laptop and the W7 desktop were running on DHCP, while the Linux box was running on a static IP.  I changed the desktop to a static IP (192.168.1.85) and entered it as a DHCP Static Mapping, and it started working (that is, I had internet access again).  When I did the same for the laptop (192.168.1.86), it too got access to the internet.  When I got back to the Linux box, I realized that I had not entered the latop static IP and MAC address as a DHCP Static Mapping but it still worked.  So I went back to the laptop and turned off the static IP to see if it would work, and it did not.  Once again, "unidentified network" showed up.  When I turned it back to a static IP, I got access again.

So I went to the DHCP information, and saw that I had entered my external IP address as the gateway, probably thinking that it was the gateway for the Astaro server.  When I changed this to 192.168.1.1, the laptop was able to access the web using DHCP.  I then changed the W7 desktop to DHCP and it worked as well.  I then changed it back to a static IP since that's the way I usually run here.

So, now I need to set up the appropriate rules, and start using the Web Filter.  If you could give me some pointers I'll try to take it from there without bothering you further.  I really appreciate your time in this!

Regards

Rich