Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 3869 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Confused setting up Astaro LAN <-> WAN

HMaster
Well I think I'm having a blond moment here. It looks like I am not very smart in configuring and implementing my Astaro Virtual Appliance in to my network. I think I will have to reconsidder some settings and so on.

What is the problem? Well I want to start a new network (Domain and IP-configuration) to replace the current setup.

The current situation is this.
Internet(WAN)  ADSL Modem/Router  Local(LAN)
IP= w.x.y.z  82.x.y.z WAN-side / 192.168.64.64 LAN-side  192.168.64.z
This is a LAN with a few NAT rules implemented in the Router and a small QoS setting running. I have a mail server and a server which host VPN/RDP (which is not very stable at the moment) running localy.

Now I am busy setting up a new server running VMWare ESXi 4.x with an Astaro Virtual, a Win2003/mail/ftp/rdp and a dmz/download system setup. But somthing is not going as planned. 
First of all I am confused how to setup the whole IP routing and eth0 and eth1 configuration. I think I am running around in circles and starting to get IP conflicts and wrong routings. My idea is using the router as is, create a new IP-subnet, with the Astaro as main component for security and VPN login (using the Remote Access via IPSec
Configuring ASG and Client). 

The setup would in my point of view be something like this:
Internet w.x.y.z  WAN-IP 82.x.y.z / LAN-IP 192.168.64.64 (Draytek Router)  Astaro Firewall + DMZ 192.168.64.254 (routerside) / 192.168.87.254 (newLANside)  LAN 192.168.87.z  
But now I am looking at the Astaro and think I am doing something wrong. The eth0 Internal NIC has at this moment the IP 192.168.64.254 and the eth1 External NIC has IP 192.168.87.254. But the GW is at this moment 192.168.64.64. This might be the problem, but I am not having the smart-moment. 
The server I set up can connect to the Internet when using an IP in the 192.168.64.z range, but not with the IP 192.168.87.z 

I am allready confused by the text above now. I could have a little help. 
I have two attachments which show the now used LAN setting of the Router and the settings in Astaro. 
NOTE: the settings in te router give a 2nd IP for routing 192.168.0.1 which is NOT used. NAT IP is used. 
The manual of the Astaro does not help me that much to get a bit smarter.


This thread was automatically locked due to age.
  • 0
    Hi,
    I would suggest you have your NICs reversed.

    You will end up confusing yourself using the router with a NAT and then trying to workout the NAT for the ASG to terminate your VPNs on.

    Ian M
  • 0 in reply to RFCat_vk_01
    I have started all over again. 
    Installed the new Appliance version 8.001 which is now upgraded to 8.003 last night. 

    The External NIC has now IP address 192.168.64.254 and has the GateWay 192.168.64.64 (Router IP adress)address and I marked it as DefaultGW. 
    The Internal NIC has a changed IP address 192.168.87.254 (was the base 192.168.0.1). 
    This Nic hasn't a GateWay yet. Correct me if I am doing something stupid. 

    When I look into the Manual I see at (7 Interfaces & Routing 7.1 Interfaces) an image with a totaly different setup, which confuses me. [:S]
  • 0
    Sounds OK so far, although it might be better to BRIDGE your router.

    Don't forget to setup Masquerading from LAN->WAN, and PacketFilter rules.

    Barry
  • 0
    Before I am going to bridge my router, I prefer to set up Astaro first next to the running routerconfig because there is still a Mailserver and VPN running in my "old" network. Maybe I am doing stupid things, but I try to master the learning curve. :-)

    When you take a look at the router-config, should I change the 2nd IP for Routing to an IP like 198.168.64.253/24 ?? 
    So that I put in the External NIC the GW address to 192.168.64.253/24 and set it to Default?
    For now, I am setting up an External network with some kind of DMZ like part which my "old" network is running. (correct???) 

    In the Internal network I have the right thing by using: 192.168.87.254/24 as main IP and not setting any kind of GW IP (blank) for this part? This is what in my thinking is not working? Because it looks like I am not connecting to the "Outside".  But when you say it is correct for now I am happy. 

    I am moving on to the next part. Having a Masquering set like INTERNAL --> EXTERNAL. Feels like too basic to me. 
    Should I use a Static Bridge setup GATEWAY Route like INTERAL (Network 192.168.87.0) --> EXTERNAL (Gateway 192.168.64.523 (new IP) ??? Or is this wrong? 

    The Packet-rules come next. With port 80 / 25 / 21 / .... and so on inbound
    Same as the part of connecting the Astaro to the Active Directry and DNS/DHCP/forwarders. 

    I feel myself not very smart though.
  • 0 in reply to HMaster
    The External NIC has now IP address 192.168.64.254 and has the GateWay 192.168.64.64 (Router IP adress)address and I marked it as DefaultGW. 
    The Internal NIC has a changed IP address 192.168.87.254 (was the base 192.168.0.1). 
    This Nic hasn't a GateWay yet. Correct me if I am doing something stupid.


    That sounds correct.

    The purpose of the default gateway in the Astaro (or any router) is to provide a "next hop" for any traffic it doesn't already know how to route. 

    In your case the router knows about 192.168.[64,87].x as eth0 & eth1 hold IP's on those subnets. So how does it get to 206.96.57.48? That's outside any range the Astaro knows so it has to contact another router, 192.168.64.64 in this case, and say "here's some traffic for 206.96.57.48, you figure it out."

    Astaro will refuse to accept more then one default gateway in any event as that breaks the rules of routing.
  • 0 in reply to HMaster
    When you take a look at the router-config, should I change the 2nd IP for Routing to an IP like 198.168.64.253/24 ?? 
    So that I put in the External NIC the GW address to 192.168.64.253/24 and set it to Default?
    For now, I am setting up an External network with some kind of DMZ like part which my "old" network is running. (correct???)


    As i stated in an earlier reply, your default gateway must be your DSL Modem's IP address otherwise routing will remain broken.

    As far as the DMZ, I'm assuming the 'old' network is the 192.168.64.x network? Generally speaking the Astaro needs the DMZ to be a separate network from the external or internal interfaces.

    In the Internal network I have the right thing by using: 192.168.87.254/24 as main IP and not setting any kind of GW IP (blank) for this part? This is what in my thinking is not working? Because it looks like I am not connecting to the "Outside".  But when you say it is correct for now I am happy.


    Generally speaking the default gateway should always be on the external side, in this case your DSL Modem/Router. So far so good.

    I am moving on to the next part. Having a Masquering set like INTERNAL --> EXTERNAL. Feels like too basic to me. 
    Should I use a Static Bridge setup GATEWAY Route like INTERAL (Network 192.168.87.0) --> EXTERNAL (Gateway 192.168.64.523 (new IP) ??? Or is this wrong?

    It's as easy as the first part. [:)]

    The Packet-rules come next. With port 80 / 25 / 21 / .... and so on inbound
    Same as the part of connecting the Astaro to the Active Directry and DNS/DHCP/forwarders.


    Packet filter rules here will depend on what IP address's those servers use. I assume the DSL modem was doing port forwarding of specific ports in the old setup?

    If the servers are still on that 192.168.64.x network then Astaro can't really protect them as it won't even see the traffic. If however they are on the 192.168.87.x (internal) network, then you need to setup specific Destination NAT (DNAT) rules for each port/service you want.
  • 0
    Okay.... Now I am very confused. 

    My new to be Serve is configured: 
    IP 192.168.87.1
    SUB 255.255.255.0
    DefGW 192.168.87.254

    In the Astaro the NICS
    eth0 192.168.87.254/24
    eth1 192.168.64.254/24 + GW 192.168.64.64

    When I do a PING to 192.168.87.254 --> full reply with no packet drop
    When I do a PING to 192.168.87.254 --> full reply with no packet drop
    When I do a PING to 192.168.64.64 (or everything from 1 to 253) --> Request Time out + 100% loss 

    Till now used settings: 
    Static routing: 
    Route Type: Gateway Route
    Network: LAN Internet Group (192.168.87.0/24)
    Gateway: Router (192.168.64.64)

    Masquerading:
    Network: Internal (Network)
    Position: 1
    Interface: External
    Use address: >

    Forwarders:
    ISP DNS1 (IP address 194.x.y.z)
    ISP DNS2 (IP address 194.x.y.z)


    What am I doing wrong? Because I was thinking that when I am able to ping the OuterNetwork on 192.168.64.254 I would be able to ping the rest of that subnet. I need to get back to the books.
  • 0
    Hi, if you have manually created a static route, get rid of it.
    Astaro will automatically create a route for the default gateway.

    Barry
  • 0 in reply to HMaster
    My new to be Serve is configured: 
    IP 192.168.87.1
    SUB 255.255.255.0
    DefGW 192.168.87.254

    In the Astaro the NICS
    eth0 192.168.87.254/24
    eth1 192.168.64.254/24 + GW 192.168.64.64

    That's correct.

    When I do a PING to 192.168.87.254 --> full reply with no packet drop
    When I do a PING to 192.168.87.254 --> full reply with no packet drop
    When I do a PING to 192.168.64.64 (or everything from 1 to 253) --> Request Time out + 100% loss

    Double check under Network Security --> Packet Filter --> ICMP that everything except "Log ICMP Redirects" is checked. Without the two "Firewall forwards ..." options checked I'd expect that exact behavior you noted.

    Till now used settings: 
    Static routing: 
    Route Type: Gateway Route
    Network: LAN Internet Group (192.168.87.0/24)
    Gateway: Router (192.168.64.64)

    Masquerading:
    Network: Internal (Network)
    Position: 1
    Interface: External
    Use address: >

    Forwarders:
    ISP DNS1 (IP address 194.x.y.z)
    ISP DNS2 (IP address 194.x.y.z)

    Ditch the static route as was mentioned earlier. The rest is fine.

    What am I doing wrong? Because I was thinking that when I am able to ping the OuterNetwork on 192.168.64.254 I would be able to ping the rest of that subnet. I need to get back to the books.

    What's happening with the firewall, assuming ping forwarding is turned off, is that any pings that would enter on eth0 and leave on eth1 are being dropped. As the pings don't have to exit eth1 to reach either of the Astaro's IP address (its all internal), the unit is responding to the pings on both addresses.
  • 0
    Yaaayyyy It works... 
    After I found out that a NAT Rule to open the ports to the outerworld. Did I felt stupid forgetting to accept connections to the Internet. But at least I have a working router part of the system. Next is the configuration of the rules outbound and setting up the proxy's. I didn't expect it would be so much work to understand and set this thing up. 

    For this first part many thanks for helping me going through the process. I will go on with asking questions and trying to understand the system.
Cookie Information Banner