Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 41 replies
  • Subscribers 2 subscribers
  • Views 28761 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Setup WiFi DMZ

ScottG
I want to setup a DMZ on my 3rd NIC port.  I need to have a wifi DMZ for my TiVo to connect to the internet.  I had this working okay by plugging my linksys wifi into the astaro DMZ port and I setup DHCP on Astaro.  DHCP was disabled on the linksys.  The problem with this setup is my kid's friends would come over with their iTouch and other toys and automatically connect to the DMZ and use up my 10 Astaro licenses. To get around this, I turned off DHCP on the astaro and turned it on in the linksys, but I can't get it to work.  Here's my setup:

Interface: External WAN - goes to my cable modem
  Type: Cable Modem (DHCP)

Interface: Internal (my main home LAN and works great)
  Type: Ethernet Standard
  Address: 192.168.116.6
  Default GW: unchecked
  Default GW IP: 0.0.0.0  

Interface: DMZ1   (this is the one I am trying to get working)
  Type: Ethernet Standard
  Address: 192.168.117.1
  Default GW: unchecked
  Default GW IP: 0.0.0.0  

Astaro DHCP on DMZ1
  Range Start: 192.168.117.2
  Range End:  192.168.117.2
  DNS Server 1: 192.168.117.1
  Default GW: 192.168.117.1
  Wins Type: B-Node

I set this DHCP up in Astaro with a range of 1 because the linksys assumes the "router" is going to give it an IP.  Just like it would if the Linksys was connected to a cable modem.  I don't know if this is the right approach.

I have a cable going from the Astaro DMZ port to the Linksys Internet port.
Assigned Linksys IP: 192.168.117.7
On the Linksys I have DHCP enabled: 192.168.117.10 - 192.168.117.20

The linksys is getting the IP 192.168.117.2 (which normally would be a WAN IP) and default gateway from Astaro, but I can't connect to the internet.  I tried changing the default gateway in the DMZ1 from 192.168.117.1 to 192.168.116.6 (same as the other interface), but this didn't work.  I don't even know if you can jump across subnets like this.

What am I doing wrong?


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to ScottG
    And masquerading?

    Can you ping the firewall from the WiFi LAN?

    Barry
  • 0 in reply to BarryG
    I don't think my firewall responds to ping.  I tried to ping the firewall from my main computer on the LAN subnet (192.168.116.***) and it doesn't respond.

    I know the firewall is communicating with the Linksys wifi because the linksys is pulling an IP (192.168.117.2) from Astaro.  And in astaro the linksys is showing up in the DHCP lease table.


    --Scott
  • 0 in reply to ScottG
    You can set the firewall's ping/icmp settings under the PacketFilter - ICMP page.

    Barry
  • 0 in reply to BarryG
    I enabled pinging on the firewall.  I am able to ping astaro from a computer connected to the linksys wifi.

    masquerading:
    Internal (network) > External (WAN)
    DMZ1 (network) > External (WAN)
  • 0 in reply to ScottG
    It doesn't seem like you need the routing capabilty of the Linksys, so you might try putting it into WAP mode and doing DHCP from the Astaro for the wireless clients.

    Cheers - Bob
  • 0 in reply to ScottG
    a. Try a traceroute from wifi to an IP, like 4.2.2.1
    b. If that works, then try traceroute google.com
    If a works, but not b, you probably have a DNS problem.

    Barry
  • 0 in reply to BAlfson
    Bob, he's NATing on the router for a reason, explained in post #1.
    [;)]

    Barry
  • 0 in reply to BarryG
    Correctomundo - I saw that the first time I responded.  When I saw his masquerade for the DMZ, I figured he could make his life easier, but had forgotten the context.

    Thanks for catching that wildly-thrown frisbee!

    Cheers - Bob
  • 0 in reply to ScottG
    Yes, I have two rules.  First isolates DMZ from my LAN, 2nd lets DMZ out to the internet

    Deny: DMZ1 (Network)  > ANY >  Internal (Network) 
    Allow: DMZ1 (Network)  > Any  > Any


    Why not just have one rule that only allows traffic to the internet? You could put a drop as a second rule. Still learning my way around the rules but I am wondering if that first rule is causing you issues being at the top. Might be completely wrong though[:$]

    Allow: DMZ1 (Network)  > Any  > External
    Deny: DMZ1 (Network)  > Any >  Any (optional) 

    Have you watched the live log to see what is happening to the traffic? I have found it helpful to turn on logging for the rules you have so you can see what rule traffic that is getting out is using to make sure it is using the rule you expect.

    Also what Linksys do you have? I have the WRT54G and that can use a static address for the "internet" port. Would be supprised if yours cannot be set to static. It should not really matter but is nicer to have network devices using a static address rather then DHCP.
  • 0 in reply to Nety
    Nety, "External" is not an appropriate destination; it's an Interface, not the Internet.

    Barry