Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 1631 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Unable to isolate two seperate subnets on Astaro 8.201 running in hyper-v

rayik
I am running 8.201 home license in hyper-v.  Three physical nics on hyper-v host  I have configured all three nics in astaro as follows:

Host Red nic      =   Astaro  eth0     >    External (WAN)   (DHCP - Cable Moden)
Host Green nic   =   Astaro   eth1    >    Internal     (192.168.100.20)            
Host Purple nic   =   Astaro   eth2    >   Wireless router NIC    (192.168.1.20)

The purpose of this set up is to isolate the house's wireless network from our wired home domain network.

The problem is the Internal network (eth1) and Wireless Router NIC (eth2) can connect to each other.  From 192.168.100.x you can successfully ping devices on 192.168.1.x (and vice versa). 

It's not just pings that get through.  From a stand alone pc on the Internal network (eth1) at 192.168.100.x, you can connect to the webGUI configuration page of a wireless router on the Wireless Router network (eth2) at 192.168.1.x. 

The astaro is configured to allow pings to and through it.

This seems to be an astaro problem and not a hyper-v issue.  If the astaro guest is shut down, you can not longer ping from network to network.  Once the astaro  is started, you can ping from network to network.

Set up is:  


NAT masquerading:

Internal (Network)  >  External (WAN)
Wireless router NIC (Network) > External (WAN)


Firewall rules:

Internal (Network) >  DNS >  any  [ALLOW]
Internal (Network) > web surfing > any  [ALLOW]
Wireless router NIC (Network) >  DNS >  any  [ALLOW]
Wireless router NIC (Network) >  web surfing > any  [ALLOW]


DNS (should not matter since pings connect)

Allowed networks:

Internal (network) 
Wireless router NIC (Network)

Forwarders:

208.67.222.222 (OpenDNS)
208.67.220.220 (OpenDNS2)


DHCP:

Wireless router NIC  [Range 192.168.1.179 through 192.168.1.199]
Internal  [Range 192.168.100.171 through 192.168.100.199]



To try to isolate Wireless router NIC network (eth2) from the Internal network (eth1) I tried two seperate things (one at a time and not together)

Firewall rules:

Wireless router NIC (Network) >  DNS >  External (Network)
Wireless router NIC (Network) >  web surfing > External (Network)

This stopped internet connectivity from the Wireless router NIC.


Another change tried was to add a Firewall rule before the Wireelss router NIC (network rules).  It was:

Wireless router NIC (Network)  > any  > Internal (Network)  [DROP]
Wireless router NIC (Network) >  DNS >  any  [ALLOW]
Wireless router NIC (Network) >  web surfing > any  [ALLOW]

That firewall rule mostly, but did not completely block pings from Wireless router NIC (eth2) to Internal (eth1).  

Logging was enabled for the DROP rule and Live Log was opened.  Each time the ping came back as no response the log showed the rule being enforced and the connection attempt dropped.  However, occasionally the ping would result in a live connection.  When that happened, there was no drop rule showing up.

Any help in isolating these two networks would be appreciated.  I feel like I'm just not getting something very basic.  Thank you.

Bob


This thread was automatically locked due to age.
Parents
  • 0
    Hi,

    First thing is pings are handled on the advanced tab in packet filter. You enable/disable ICMP on that tab.

    Change the "ANY" definition in your packet filter rules to the "Internet" definition, this will just allow the traffic out the external interface and not between the two networks.

    See if it works after you try those changes.
Reply
  • 0
    Hi,

    First thing is pings are handled on the advanced tab in packet filter. You enable/disable ICMP on that tab.

    Change the "ANY" definition in your packet filter rules to the "Internet" definition, this will just allow the traffic out the external interface and not between the two networks.

    See if it works after you try those changes.
Children
  • 0 in reply to dilandau
     the advanced tab in packet filter. You enable/disable ICMP on that tab.

    Change the "ANY" definition in your packet filter rules to the "Internet" definition, this will just allow the traffic out the external interface and not between the two networks.

    See if it works after you try those changes.


    It did not work.  I tried changing the packet filter rules destination External (Address).  I then tried changing it to External (Network).  The rules were for DNS and web surfing. 

    Both times live log showed packets being dropped by "default rule"

    Default DROP 	TCP 	192.168.1.54 	: 	39479	→ 	 208.88.186.4 	: 	443

    Default DROP 	TCP 	192.168.1.54 	: 	55457	→ 	 187.37.29.61 	: 	80


    Also, even with those packet filter rules sent to destination External (Network) and External (Address) with web surfing being dropped, pinging from 192.168.100.x to 192.168.1.x still showed live devices.




    *** EDIT

    What's really weird to me, is that for the Internal (network) eth1 I can change the packet filter rule to:

    Internal (Network) >  DNS >  External  (Address)  [ALLOW]
    Internal (Network) > web surfing > (Address)  [ALLOW]

    and web surfing works just fine. 

    Yet for the Wireless router NIC (Network) eth2:

    Wireless router NIC (Network) >  DNS >  External (Address)  [ALLOW]
    Wireless router NIC (Network) >  web surfing > External (Address)  [ALLOW]

    and web surfing does not work with both DNS (port 443) and HTTP (port 80) showing DROP due to DEFAULT RULE
Cookie Information Banner