Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 1631 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Unable to isolate two seperate subnets on Astaro 8.201 running in hyper-v

rayik
I am running 8.201 home license in hyper-v.  Three physical nics on hyper-v host  I have configured all three nics in astaro as follows:

Host Red nic      =   Astaro  eth0     >    External (WAN)   (DHCP - Cable Moden)
Host Green nic   =   Astaro   eth1    >    Internal     (192.168.100.20)            
Host Purple nic   =   Astaro   eth2    >   Wireless router NIC    (192.168.1.20)

The purpose of this set up is to isolate the house's wireless network from our wired home domain network.

The problem is the Internal network (eth1) and Wireless Router NIC (eth2) can connect to each other.  From 192.168.100.x you can successfully ping devices on 192.168.1.x (and vice versa). 

It's not just pings that get through.  From a stand alone pc on the Internal network (eth1) at 192.168.100.x, you can connect to the webGUI configuration page of a wireless router on the Wireless Router network (eth2) at 192.168.1.x. 

The astaro is configured to allow pings to and through it.

This seems to be an astaro problem and not a hyper-v issue.  If the astaro guest is shut down, you can not longer ping from network to network.  Once the astaro  is started, you can ping from network to network.

Set up is:  


NAT masquerading:

Internal (Network)  >  External (WAN)
Wireless router NIC (Network) > External (WAN)


Firewall rules:

Internal (Network) >  DNS >  any  [ALLOW]
Internal (Network) > web surfing > any  [ALLOW]
Wireless router NIC (Network) >  DNS >  any  [ALLOW]
Wireless router NIC (Network) >  web surfing > any  [ALLOW]


DNS (should not matter since pings connect)

Allowed networks:

Internal (network) 
Wireless router NIC (Network)

Forwarders:

208.67.222.222 (OpenDNS)
208.67.220.220 (OpenDNS2)


DHCP:

Wireless router NIC  [Range 192.168.1.179 through 192.168.1.199]
Internal  [Range 192.168.100.171 through 192.168.100.199]



To try to isolate Wireless router NIC network (eth2) from the Internal network (eth1) I tried two seperate things (one at a time and not together)

Firewall rules:

Wireless router NIC (Network) >  DNS >  External (Network)
Wireless router NIC (Network) >  web surfing > External (Network)

This stopped internet connectivity from the Wireless router NIC.


Another change tried was to add a Firewall rule before the Wireelss router NIC (network rules).  It was:

Wireless router NIC (Network)  > any  > Internal (Network)  [DROP]
Wireless router NIC (Network) >  DNS >  any  [ALLOW]
Wireless router NIC (Network) >  web surfing > any  [ALLOW]

That firewall rule mostly, but did not completely block pings from Wireless router NIC (eth2) to Internal (eth1).  

Logging was enabled for the DROP rule and Live Log was opened.  Each time the ping came back as no response the log showed the rule being enforced and the connection attempt dropped.  However, occasionally the ping would result in a live connection.  When that happened, there was no drop rule showing up.

Any help in isolating these two networks would be appreciated.  I feel like I'm just not getting something very basic.  Thank you.

Bob


This thread was automatically locked due to age.
Parents
  • 0
    About ping:  You'll notice on the ICMP Tab that there is no way to define specific networks.  By checking the various boxes on this Tab, you are creating hidden Any allowed rules which should take precedence over any rules that you'll see in WebAdmin.  The only way to guarantee that pings will not work between your networks is to untick the applicable boxes on the ICMP Tab.  If you'd like to be able to set ping/ICMP permissions in a more granular fashion, based on allowed networks, you can submit a feature request at Astaro Gateway Feature Requests.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
Reply
  • 0
    About ping:  You'll notice on the ICMP Tab that there is no way to define specific networks.  By checking the various boxes on this Tab, you are creating hidden Any allowed rules which should take precedence over any rules that you'll see in WebAdmin.  The only way to guarantee that pings will not work between your networks is to untick the applicable boxes on the ICMP Tab.  If you'd like to be able to set ping/ICMP permissions in a more granular fashion, based on allowed networks, you can submit a feature request at Astaro Gateway Feature Requests.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
Children
  • 0 in reply to Scott_Klassen
    Thank you Scott_Klassen for the information about ping.  I assumed that ping would only be allowed within one network and that the networks would be isolated.  As you pointed out, that is not the way it actually works

    I still cannot isolate the two networks.  To make sure it is not a hyper-v problem, I took an unused pc, put three NICS in it and built a 8.201 astaro.  On the hardware pc, I am having the exact same problem in not isolating the two networks.

    Basically, on eth1 (192.168.100.x) in a web browser I can load the wireless router config page found on eth2 at192.168.1.x.  Even putting a deny any firewall rule to eth2 does not prevent that access.  The rules are:

    Internal (Network) [eth1] > any > Wireless router NIC (Network) [eth2] [DROP]
    Internal (Network) [eth1] > DNS > any [ALLOW]
    Internal (Network) [eth1] > web surfing > any [ALLOW]

    Even changing the rules to this allows eth1 to access eth2

    Internal (Network) [eth1] > any > Wireless router NIC (Network) [eth2] [DROP]
    Internal (Network) [eth1] >  DNS >  External WAN (Address) [eth0] [ALLOW]
    Internal (Network) [eth1] >  web surfing > External WAN (Address) [eth0]  [ALLOW]

    The same firewall rules in that same order on a physical PC results in eth1 being able to connect to and access devices on eth2. There is no isolation of networks.

    I did connect a wireless windows device to eth2  {Wireless Router NIC ]and was unable to access devices on eth1 [Internal]

    The only difference between eth1 (Internal) and eth2 (Wireless Router NIC) is that Web Filtering is enabled for eth1 (Internal).  Could that be why eth1 is not isolated from eth2? (But I do not see why that would be.)

    Lastly, I notice one other quirk.

    On eth1 (Internal) I can create these rules for internet access and they work fine:

    Internal (Network) >  DNS >  External WAN (Address)  [ALLOW]
    Internal (Network) > web surfing > External WAN (Address)  [ALLOW]

    Yet the same rules on eth2 (Wireless router NIC) results in no internet access:

    Wireless router NIC (Network) >  DNS >  External WAN (Address) [ALLOW]
    Wireless router NIC (Network) >  web surfing > External WAN (Address)  [ALLOW]

    The only way eth2 can access the internet (unlike eth1) is by having the firewall rules be access to any network:

    Wireless router NIC (Network) >  DNS >  any  [ALLOW]
    Wireless router NIC (Network) >  web surfing > any  [ALLOW]

    Any insight into why this is so would be appreciated.

    Bob
  • 0 in reply to rayik
    Updated to 8.202.  Using the exact same configuration as 8.201, the two networks are now completely isolated.  Even with ping / icmp forwarding enabled, ping now only gets responses on the same network.

    Looks like this was a problem with 8.201.
Cookie Information Banner