Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 3871 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Confused setting up Astaro LAN <-> WAN

HMaster
Well I think I'm having a blond moment here. It looks like I am not very smart in configuring and implementing my Astaro Virtual Appliance in to my network. I think I will have to reconsidder some settings and so on.

What is the problem? Well I want to start a new network (Domain and IP-configuration) to replace the current setup.

The current situation is this.
Internet(WAN)  ADSL Modem/Router  Local(LAN)
IP= w.x.y.z  82.x.y.z WAN-side / 192.168.64.64 LAN-side  192.168.64.z
This is a LAN with a few NAT rules implemented in the Router and a small QoS setting running. I have a mail server and a server which host VPN/RDP (which is not very stable at the moment) running localy.

Now I am busy setting up a new server running VMWare ESXi 4.x with an Astaro Virtual, a Win2003/mail/ftp/rdp and a dmz/download system setup. But somthing is not going as planned. 
First of all I am confused how to setup the whole IP routing and eth0 and eth1 configuration. I think I am running around in circles and starting to get IP conflicts and wrong routings. My idea is using the router as is, create a new IP-subnet, with the Astaro as main component for security and VPN login (using the Remote Access via IPSec
Configuring ASG and Client). 

The setup would in my point of view be something like this:
Internet w.x.y.z  WAN-IP 82.x.y.z / LAN-IP 192.168.64.64 (Draytek Router)  Astaro Firewall + DMZ 192.168.64.254 (routerside) / 192.168.87.254 (newLANside)  LAN 192.168.87.z  
But now I am looking at the Astaro and think I am doing something wrong. The eth0 Internal NIC has at this moment the IP 192.168.64.254 and the eth1 External NIC has IP 192.168.87.254. But the GW is at this moment 192.168.64.64. This might be the problem, but I am not having the smart-moment. 
The server I set up can connect to the Internet when using an IP in the 192.168.64.z range, but not with the IP 192.168.87.z 

I am allready confused by the text above now. I could have a little help. 
I have two attachments which show the now used LAN setting of the Router and the settings in Astaro. 
NOTE: the settings in te router give a 2nd IP for routing 192.168.0.1 which is NOT used. NAT IP is used. 
The manual of the Astaro does not help me that much to get a bit smarter.


This thread was automatically locked due to age.
Parents
  • 0
    Okay.... Now I am very confused. 

    My new to be Serve is configured: 
    IP 192.168.87.1
    SUB 255.255.255.0
    DefGW 192.168.87.254

    In the Astaro the NICS
    eth0 192.168.87.254/24
    eth1 192.168.64.254/24 + GW 192.168.64.64

    When I do a PING to 192.168.87.254 --> full reply with no packet drop
    When I do a PING to 192.168.87.254 --> full reply with no packet drop
    When I do a PING to 192.168.64.64 (or everything from 1 to 253) --> Request Time out + 100% loss 

    Till now used settings: 
    Static routing: 
    Route Type: Gateway Route
    Network: LAN Internet Group (192.168.87.0/24)
    Gateway: Router (192.168.64.64)

    Masquerading:
    Network: Internal (Network)
    Position: 1
    Interface: External
    Use address: >

    Forwarders:
    ISP DNS1 (IP address 194.x.y.z)
    ISP DNS2 (IP address 194.x.y.z)


    What am I doing wrong? Because I was thinking that when I am able to ping the OuterNetwork on 192.168.64.254 I would be able to ping the rest of that subnet. I need to get back to the books.
  • 0 in reply to HMaster
    My new to be Serve is configured: 
    IP 192.168.87.1
    SUB 255.255.255.0
    DefGW 192.168.87.254

    In the Astaro the NICS
    eth0 192.168.87.254/24
    eth1 192.168.64.254/24 + GW 192.168.64.64

    That's correct.

    When I do a PING to 192.168.87.254 --> full reply with no packet drop
    When I do a PING to 192.168.87.254 --> full reply with no packet drop
    When I do a PING to 192.168.64.64 (or everything from 1 to 253) --> Request Time out + 100% loss

    Double check under Network Security --> Packet Filter --> ICMP that everything except "Log ICMP Redirects" is checked. Without the two "Firewall forwards ..." options checked I'd expect that exact behavior you noted.

    Till now used settings: 
    Static routing: 
    Route Type: Gateway Route
    Network: LAN Internet Group (192.168.87.0/24)
    Gateway: Router (192.168.64.64)

    Masquerading:
    Network: Internal (Network)
    Position: 1
    Interface: External
    Use address: >

    Forwarders:
    ISP DNS1 (IP address 194.x.y.z)
    ISP DNS2 (IP address 194.x.y.z)

    Ditch the static route as was mentioned earlier. The rest is fine.

    What am I doing wrong? Because I was thinking that when I am able to ping the OuterNetwork on 192.168.64.254 I would be able to ping the rest of that subnet. I need to get back to the books.

    What's happening with the firewall, assuming ping forwarding is turned off, is that any pings that would enter on eth0 and leave on eth1 are being dropped. As the pings don't have to exit eth1 to reach either of the Astaro's IP address (its all internal), the unit is responding to the pings on both addresses.
Reply
  • 0 in reply to HMaster
    My new to be Serve is configured: 
    IP 192.168.87.1
    SUB 255.255.255.0
    DefGW 192.168.87.254

    In the Astaro the NICS
    eth0 192.168.87.254/24
    eth1 192.168.64.254/24 + GW 192.168.64.64

    That's correct.

    When I do a PING to 192.168.87.254 --> full reply with no packet drop
    When I do a PING to 192.168.87.254 --> full reply with no packet drop
    When I do a PING to 192.168.64.64 (or everything from 1 to 253) --> Request Time out + 100% loss

    Double check under Network Security --> Packet Filter --> ICMP that everything except "Log ICMP Redirects" is checked. Without the two "Firewall forwards ..." options checked I'd expect that exact behavior you noted.

    Till now used settings: 
    Static routing: 
    Route Type: Gateway Route
    Network: LAN Internet Group (192.168.87.0/24)
    Gateway: Router (192.168.64.64)

    Masquerading:
    Network: Internal (Network)
    Position: 1
    Interface: External
    Use address: >

    Forwarders:
    ISP DNS1 (IP address 194.x.y.z)
    ISP DNS2 (IP address 194.x.y.z)

    Ditch the static route as was mentioned earlier. The rest is fine.

    What am I doing wrong? Because I was thinking that when I am able to ping the OuterNetwork on 192.168.64.254 I would be able to ping the rest of that subnet. I need to get back to the books.

    What's happening with the firewall, assuming ping forwarding is turned off, is that any pings that would enter on eth0 and leave on eth1 are being dropped. As the pings don't have to exit eth1 to reach either of the Astaro's IP address (its all internal), the unit is responding to the pings on both addresses.
Children
No Data
Cookie Information Banner