Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 41 replies
  • Subscribers 2 subscribers
  • Views 28758 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Setup WiFi DMZ

ScottG
I want to setup a DMZ on my 3rd NIC port.  I need to have a wifi DMZ for my TiVo to connect to the internet.  I had this working okay by plugging my linksys wifi into the astaro DMZ port and I setup DHCP on Astaro.  DHCP was disabled on the linksys.  The problem with this setup is my kid's friends would come over with their iTouch and other toys and automatically connect to the DMZ and use up my 10 Astaro licenses. To get around this, I turned off DHCP on the astaro and turned it on in the linksys, but I can't get it to work.  Here's my setup:

Interface: External WAN - goes to my cable modem
  Type: Cable Modem (DHCP)

Interface: Internal (my main home LAN and works great)
  Type: Ethernet Standard
  Address: 192.168.116.6
  Default GW: unchecked
  Default GW IP: 0.0.0.0  

Interface: DMZ1   (this is the one I am trying to get working)
  Type: Ethernet Standard
  Address: 192.168.117.1
  Default GW: unchecked
  Default GW IP: 0.0.0.0  

Astaro DHCP on DMZ1
  Range Start: 192.168.117.2
  Range End:  192.168.117.2
  DNS Server 1: 192.168.117.1
  Default GW: 192.168.117.1
  Wins Type: B-Node

I set this DHCP up in Astaro with a range of 1 because the linksys assumes the "router" is going to give it an IP.  Just like it would if the Linksys was connected to a cable modem.  I don't know if this is the right approach.

I have a cable going from the Astaro DMZ port to the Linksys Internet port.
Assigned Linksys IP: 192.168.117.7
On the Linksys I have DHCP enabled: 192.168.117.10 - 192.168.117.20

The linksys is getting the IP 192.168.117.2 (which normally would be a WAN IP) and default gateway from Astaro, but I can't connect to the internet.  I tried changing the default gateway in the DMZ1 from 192.168.117.1 to 192.168.116.6 (same as the other interface), but this didn't work.  I don't even know if you can jump across subnets like this.

What am I doing wrong?


This thread was automatically locked due to age.
Parents
  • 0
    Did you setup a Masquerading rule on firewall for the DMZ?
    e.g. DMZ->EXTERNAL

    And packetfilter rules to allow traffic out?

    Barry
  • 0 in reply to BarryG
    Yes, I have two rules.  First isolates DMZ from my LAN, 2nd lets DMZ out to the internet

    Deny: DMZ1 (Network)  > ANY >  Internal (Network) 
    Allow: DMZ1 (Network)  > Any  > Any
  • 0 in reply to ScottG
    Yes, I have two rules.  First isolates DMZ from my LAN, 2nd lets DMZ out to the internet

    Deny: DMZ1 (Network)  > ANY >  Internal (Network) 
    Allow: DMZ1 (Network)  > Any  > Any


    Why not just have one rule that only allows traffic to the internet? You could put a drop as a second rule. Still learning my way around the rules but I am wondering if that first rule is causing you issues being at the top. Might be completely wrong though[:$]

    Allow: DMZ1 (Network)  > Any  > External
    Deny: DMZ1 (Network)  > Any >  Any (optional) 

    Have you watched the live log to see what is happening to the traffic? I have found it helpful to turn on logging for the rules you have so you can see what rule traffic that is getting out is using to make sure it is using the rule you expect.

    Also what Linksys do you have? I have the WRT54G and that can use a static address for the "internet" port. Would be supprised if yours cannot be set to static. It should not really matter but is nicer to have network devices using a static address rather then DHCP.
  • 0 in reply to Nety
    Nety, "External" is not an appropriate destination; it's an Interface, not the Internet.

    Barry
  • 0 in reply to BarryG
    I tried traceroute and ping from my computer that's on the internal network (which is working fine) before I tried it on the DMZ.  On this computer was not able to ping or traceroute anything on the internet, so I didn't even try it on the DMZ yet.  Is there a setting on Astaro that will block traceroute and ping?

    --Scott
  • 0 in reply to ScottG
    My linksys is a WRT54GX.  I did not see anything that would let me set the Internet port IP statically. 

    --Scott
  • 0 in reply to ScottG
    'Network Security >> Packet Filter' on the 'ICMP' tab.

    I think Barry's right that you don't need a fixed IP on the Linksys.

    Make a network definition "Internet" 0.0.0.0/0 and bind it to the External interface. Then

    DMZ -> Any -> Internal (Network) : Drop
    DMZ -> Web Surfing -> Internet : Allow



    Please let us know if that resolves your issue.

    Cheers - Bob
  • 0 in reply to ScottG
    My linksys is a WRT54GX.  I did not see anything that would let me set the Internet port IP statically. 

    --Scott


    BAlfson I never said you needed a fixed IP just that it is nicer/better practice.

    Looking at the manual, on the Setup tab the first option is Internet connection type. By default this is set to Automatic configuration (DHCP). Hit the drop down and change it to Static IP. Instructions are on page 10 and 11 of the manual I am looking at.[H]

    Edit: one thing I did not mention though but has caught me out is make sure you use a IP address that is NOT in the DHCP range. The Astaro does not use ping ahead to make sure that the DHCP address it hands out is not already in use on the network so can cause IP address conflicts if you use a address in the DHCP range.
  • 0 in reply to BAlfson
    I enabled Firewall forwards Traceroute, now I can traceroute past the firewall.

    I tried Barry suggestion on my DMZ network:
    traceroute to 74.125.92.174 was successful
    traceroute to Google failed.  Error: Unable to resolve target system name Google

    Per Barry, this would suggest a DNS problem, but I don't know what.  I'm using open DNS.  I did the same test above from in my working internal network and both test were successful.  What areas should I look at to see if it's a DNS issue.

    I took another look at my linksys and I did figure out how to set the internet port statically instead of DHCP, which I did.  I made the default gateway 192.168.117.1 - this is the address of the DMZ port on Astaro.  The DNS entries are Open DNS IPs: 208.67.222.222; 208.67.220.220.  

    I haven't tried Bob's suggestion to make a network definition "Internet" 0.0.0.0/0 and bind it to the External interface.  I'll do that next.

     
    --Scott
  • 0 in reply to ScottG

    I took another look at my linksys and I did figure out how to set the internet port statically instead of DHCP, which I did.  I made the default gateway 192.168.117.1 - this is the address of the DMZ port on Astaro.  The DNS entries are Open DNS IPs: 208.67.222.222; 208.67.220.220.  
    --Scott


    Try setting the DNS address as the DMZ port on the Astaro. The Astaro should be acting as the DNS server for your internal devices.

    Also check what DNS settings the clients are using.

    Edit: Just confirming you do have the open DNS servers addresses on the internet interface?
  • 0 in reply to Nety
    BAlfson I never said you needed a fixed IP just that it is nicer/better practice.

    Looking at the manual, on the Setup tab the first option is Internet connection type. By default this is set to Automatic configuration (DHCP). Hit the drop down and change it to Static IP. Instructions are on page 10 and 11 of the manual I am looking at.[H]

    Edit: one thing I did not mention though but has caught me out is make sure you use a IP address that is NOT in the DHCP range. The Astaro does not use ping ahead to make sure that the DHCP address it hands out is not already in use on the network so can cause IP address conflicts if you use a address in the DHCP range.


    That's good to know about the DHCP range.  I just now deleted the whole DHCP server entry for my DMZ network in Astaro.  Same results with the traceroute -  works with IP, not with domain name.
  • 0 in reply to Nety
    Try setting the DNS address as the DMZ port on the Astaro. The Astaro should be acting as the DNS server for your internal devices.

    Also check what DNS settings the clients are using.

    Edit: Just confirming you do have the open DNS servers addresses on the internet interface?


    On my linksys I changed DNS to 192.168.117.1 which is the DMZ port on Astaro.  On the client computer connected to the linksys I did an ipconfig /release then /renew.  It showed DNS as 192.168.117.1.  So that seems to be working okay, but I still have the same problem - I can't get to the internet.

    In Network > DNS > Global Tab > Allowed Networks, I have 
    DMZ1 (Network)
    Internal (Network)

    In Network > DNS > Forwarders Tab > Allowed Networks, I have 
    -OpenDNS Primary
    -OpenDNS Secondary
    Use forwarders assigned by ISP is not checked

    In Definitions > Network I have:
    OpenDNS Primary / Host / 208.67.222.222 / Interface: ANY
    OpenDNS Secondary / Host / 208.67.222.220 / Interface: ANY


    --Scott
Reply
  • 0 in reply to Nety
    Try setting the DNS address as the DMZ port on the Astaro. The Astaro should be acting as the DNS server for your internal devices.

    Also check what DNS settings the clients are using.

    Edit: Just confirming you do have the open DNS servers addresses on the internet interface?


    On my linksys I changed DNS to 192.168.117.1 which is the DMZ port on Astaro.  On the client computer connected to the linksys I did an ipconfig /release then /renew.  It showed DNS as 192.168.117.1.  So that seems to be working okay, but I still have the same problem - I can't get to the internet.

    In Network > DNS > Global Tab > Allowed Networks, I have 
    DMZ1 (Network)
    Internal (Network)

    In Network > DNS > Forwarders Tab > Allowed Networks, I have 
    -OpenDNS Primary
    -OpenDNS Secondary
    Use forwarders assigned by ISP is not checked

    In Definitions > Network I have:
    OpenDNS Primary / Host / 208.67.222.222 / Interface: ANY
    OpenDNS Secondary / Host / 208.67.222.220 / Interface: ANY


    --Scott
Children
No Data