new install questions

1. Is there any kind of data pass-through from Eth0 to Eth3 or Eth4. Do I need to configure this a certain way. I want to make sure I am not going to cause a packet storm.

There shouldn't be. One thing of note is that you don't need a separate dedicated interface for the Management of the Astaro. Running the LAN side through eth0 is just fine and we do that in production. Also, in a standby configuration you won't need a second IP address for the standby unit. It's literally on standby so you just make changes to the primary and it'll get replicated over the heartbeat.

The only thing I'd suggest changing, aside from consolidating your LAN side interfaces, is to consider using eth0 for LAN, eth1 for Internet, eth2 for DMZ (if you use it) and eth3 or 4 for the heartbeat. It's a minor thing but most Astaro documentation and forum posts assume that arrangement, and hardware is designed around that.

IMO, It'll save everyone some mental gymnastics when you ask for support on the forum. [;)]

Lastly, you don't need to assign an IP range to the hearbeat link as Astaro handles all the communications. How they do it under the hood I have no idea but it "just works." 

2. When the Standby server is in standby, is traffic passed from Eth3 to Eth4? Again, concerned about packet storms if the Active server is also passing the same traffic.

When the server is in standby it doesn't do anything other then listen to the heartbeat for a failure of the primary server. From an operational standpoint the second unit doesn't exist.

3. Do I use the same license key on both, or do I need different ones.

You just install the license key on the primary server. You only need separate licenses if you want to run a cluster of multiple machines in an Active-Active configuration. Because of how Astaro distributes the workload, there's one master and one or more slaves, there's no benefit to a two node cluster.

4. I am assuming the configuration I make on the Active server will be replicated to the standby server over the heartbeat cable. Is this correct?.

Data is replicated over the heartbeat link with one of the networks listed as being a backup heartbeat in case the primary cable fails.


As an aside, I actually have tested this in production. I was demoing the system to my bosses a month or so after the pair of 120's went into production and right in the middle of the busiest day of the month, with all our staff in the office, remote offices in full swing and the auditors snooping around I yanked the power cord on the primary node.

My crackberry beeped an alert and the office kept humming. I've never heard a peep from management since about that system being too expensive. [:D]

Hi, as Andrew says, you don't need dedicated management interfaces (eth0 in your diagram).

Also, you should never connect 2 interfaces to the same switch.

If all you're doing is WEB and eMail, you don't really need bridging either, unless you're using Transparent Mode.

Barry

I would like to do transparent mode. I do not want to depend on a setting at the end users location to route the traffic through the filters. We have laptops that come and go from our network as well as many technically savy users that could easily bypass a proxy 

I had set up the separate management interface because I assumed that once I added the interfaces to a Bridge, they would  no longer have an IP address assigned to them and I would not be able to reach the web interface. Looking at the configuration, this seems to be the case as I do not see anywhere to assign an IP to the bridge.

Should I be setting this up in a different configuration? I do not want to do any natting as our firewalls will do that.

The reason I set up the ports the way they are is that Eth1 and Eth 2 are only 10/100 while Eth3 and Eth4 are Intel Gb cards.

Thank you.

Why have the ASGs and the firewalls? The ASG will do that function and reduce the complexity of your network.

Ian M

We have Cisco ASA 5510 firewalls that handle other functions such as IPS, Remote VPN, Site to Site VPN and many others. I am sure that ASG could do everything that the Cisco's could do, but not without causing a huge interruption to our user base. We also have 60+ external ip addresses with hundreds of security policies that all translate to internal servers that would all have to be remapped. I have no interest whatsoever in doing that at this time.

Our current infrastructure has the content filter seperate from the firewalls and it has worked well for many years, so I would like to keep it that way for now. I am just trying to figure out the best way to set these up to work in our network. 

The current device I have that I am replacing has 3 interfaces. It has Eth0 for the Lan, Eth1 for the firewall side and Eth2 for the heartbeat. Eth0 and Eth1 appear to be bridged together so it is a transparent pass through for data that filters content as it passes through based on the content and the user authentication level.

Everyone gets a default set of rules. Some users have much broader access than others based on security groups they belong to. If they are not part of a specific group, they only have the default rules. That is really the setup I am trying to replicate. If there are any how to guides that will get me to this point, I would really appreciate a pointer to them.

Thank you.

Hi, I'm pretty sure you can assign a management IP to a bridge, but it's been a long time since I've done one.

Barry

Ok, I was able to assign an ip address to the bridge, but I am only able to reach that ip address if my Eth0 management interface is plugged in.

Also, with the bridge up, I am only able to ping through the bridge. I am not able to access any web sites or services such as ftp.