Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 41 replies
  • Subscribers 2 subscribers
  • Views 28755 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Setup WiFi DMZ

ScottG
I want to setup a DMZ on my 3rd NIC port.  I need to have a wifi DMZ for my TiVo to connect to the internet.  I had this working okay by plugging my linksys wifi into the astaro DMZ port and I setup DHCP on Astaro.  DHCP was disabled on the linksys.  The problem with this setup is my kid's friends would come over with their iTouch and other toys and automatically connect to the DMZ and use up my 10 Astaro licenses. To get around this, I turned off DHCP on the astaro and turned it on in the linksys, but I can't get it to work.  Here's my setup:

Interface: External WAN - goes to my cable modem
  Type: Cable Modem (DHCP)

Interface: Internal (my main home LAN and works great)
  Type: Ethernet Standard
  Address: 192.168.116.6
  Default GW: unchecked
  Default GW IP: 0.0.0.0  

Interface: DMZ1   (this is the one I am trying to get working)
  Type: Ethernet Standard
  Address: 192.168.117.1
  Default GW: unchecked
  Default GW IP: 0.0.0.0  

Astaro DHCP on DMZ1
  Range Start: 192.168.117.2
  Range End:  192.168.117.2
  DNS Server 1: 192.168.117.1
  Default GW: 192.168.117.1
  Wins Type: B-Node

I set this DHCP up in Astaro with a range of 1 because the linksys assumes the "router" is going to give it an IP.  Just like it would if the Linksys was connected to a cable modem.  I don't know if this is the right approach.

I have a cable going from the Astaro DMZ port to the Linksys Internet port.
Assigned Linksys IP: 192.168.117.7
On the Linksys I have DHCP enabled: 192.168.117.10 - 192.168.117.20

The linksys is getting the IP 192.168.117.2 (which normally would be a WAN IP) and default gateway from Astaro, but I can't connect to the internet.  I tried changing the default gateway in the DMZ1 from 192.168.117.1 to 192.168.116.6 (same as the other interface), but this didn't work.  I don't even know if you can jump across subnets like this.

What am I doing wrong?


This thread was automatically locked due to age.
Parents
  • 0
    Did you setup a Masquerading rule on firewall for the DMZ?
    e.g. DMZ->EXTERNAL

    And packetfilter rules to allow traffic out?

    Barry
  • 0 in reply to BarryG
    Yes, I have two rules.  First isolates DMZ from my LAN, 2nd lets DMZ out to the internet

    Deny: DMZ1 (Network)  > ANY >  Internal (Network) 
    Allow: DMZ1 (Network)  > Any  > Any
  • 0 in reply to ScottG
    If you're trying to use external DNS, then you need a rule to allow outgoing DNS packets from the LAN.
    The alternative, as mentioned by Nety, is to setup the DNS server on Astaro (Network - DNS) for that network, and put OpenDNS in the 'Forwarders' tab, and then put the Astaro DMZ NIC in the DHCP server settings for DNS.

    Barry
  • 0 in reply to Nety
    Did you catch my last post concerning DNS? looks like we were posting at the same time so you might have missed it.


    Yes, I followed your suggestion (see my previous post).  But it didn't solve the problem.

    --Scott
  • 0 in reply to ScottG
    Scott, 
    Is DNS now working? e.g. can you ping/traceroute Google.com?

    If so, next please take a look at the PacketFilter log and see if your other traffic is getting dropped.
    Are you using the http proxy on the firewall?

    Barry
  • 0 in reply to BarryG
    Scott, 
    Is DNS now working? e.g. can you ping/traceroute Google.com?

    If so, next please take a look at the PacketFilter log and see if your other traffic is getting dropped.
    Are you using the http proxy on the firewall?

    Barry



    I can't ping or traceroute to google.com from DMZ network (I can from my internal network).  I can traceroute to an IP on the DMZ network.

    I have HTTP proxy setup in my internal interface, but I don't have it setup on the DMZ interface.

    --Scott
  • 0 in reply to BarryG
    If you're trying to use external DNS, then you need a rule to allow outgoing DNS packets from the LAN.
    The alternative, as mentioned by Nety, is to setup the DNS server on Astaro (Network - DNS) for that network, and put OpenDNS in the 'Forwarders' tab, and then put the Astaro DMZ NIC in the DHCP server settings for DNS.

    Barry


    I've got OpenDNS in the forwarders tab, I've always had it setup like that (see post #21).  I'm confused about your last sentence. Can you be more specific?

    FYI: Previously I had two DHCP servers setup, one on Internal Interface (192.168.116.6) and one on the DMZ interface (192.168.117.1).  But when I figured out how to statically set the IP on my linksys, I deleted the DHCP server on the DMZ.  I just did this on post #20.
  • 0 in reply to BAlfson


    Make a network definition "Internet" 0.0.0.0/0 and bind it to the External interface. Then

    DMZ -> Any -> Internal (Network) : Drop
    DMZ -> Web Surfing -> Internet : Allow



    Please let us know if that resolves your issue.

    Cheers - Bob


    I wasn't sure if this should be Host or Network in the definition, so I tried both.  But for both, Astaro wouldn't let me create a definition with an IP 0.0.0.0.  The field's border flashed red and astaro didn't let me save it.

    --Scott
  • 0 in reply to ScottG
    I've got OpenDNS in the forwarders tab, I've always had it setup like that (see post #21).  I'm confused about your last sentence. Can you be more specific?

    I think it was only if you were still using DHCP for the linksys.

    On a machine that is connected via  the wireless if you type into a command window nslookup what DNS server does it say it is using? Also if you then type in 72.14.205.103 (google server) what comes back?
  • 0 in reply to Nety

    On a machine that is connected via  the wireless if you type into a command window nslookup what DNS server does it say it is using? Also if you then type in 72.14.205.103 (google server) what comes back?



    I get:
    DNS Request Timed Out
    Can't find server name for address 192.168.117.1: Timed Out
    Default Server: Unknown
    Address: 192.168.117.1

    >72.14.205.103
    Server: Unknown
    Address: 192.168.117.1
    DNS Request timed out
  • 0 in reply to ScottG
    Hi Scott,

    Is the linksys still running its dhcp server for 192.168.117.0? So, the wan port IP on the linksys is 192.168.117.2 and then devices behind that router are also in the 192.168.117.0 network?

    It may be a routing issue if its handing out IP's for 192.168.117.0 network the server probably thinks its local so it never sends it to the default gateway. I see you mention that you now assigning a static IP to the linksys on the astaro, so maybe you could just bypass connecting the linksys and astaro on the wan port and connect on the lan ports of the router. Then setup a static IP for your dmz server on the astaro.
  • 0 in reply to dilandau
    Hi Scott,

    Is the linksys still running its dhcp server for 192.168.117.0? So, the wan port IP on the linksys is 192.168.117.2 and then devices behind that router are also in the 192.168.117.0 network?

    It may be a routing issue if its handing out IP's for 192.168.117.0 network the server probably thinks its local so it never sends it to the default gateway. I see you mention that you now assigning a static IP to the linksys on the astaro, so maybe you could just bypass connecting the linksys and astaro on the wan port and connect on the lan ports of the router. Then setup a static IP for your dmz server on the astaro.


    IP on the Astaro DMZ Interface: 192.168.117.1
    IP on the linksys internet port (statically assigned): 192.168.117.2
    LAN IP of the linksys (used to login to the linksys web admin): 192.168.117.7
    DHCP Range on the linksys: 192.168.117.10 - 192.168.117.40
    IP of laptop connected to linksys: 192.168.117.11


    -Scott
Reply
  • 0 in reply to dilandau
    Hi Scott,

    Is the linksys still running its dhcp server for 192.168.117.0? So, the wan port IP on the linksys is 192.168.117.2 and then devices behind that router are also in the 192.168.117.0 network?

    It may be a routing issue if its handing out IP's for 192.168.117.0 network the server probably thinks its local so it never sends it to the default gateway. I see you mention that you now assigning a static IP to the linksys on the astaro, so maybe you could just bypass connecting the linksys and astaro on the wan port and connect on the lan ports of the router. Then setup a static IP for your dmz server on the astaro.


    IP on the Astaro DMZ Interface: 192.168.117.1
    IP on the linksys internet port (statically assigned): 192.168.117.2
    LAN IP of the linksys (used to login to the linksys web admin): 192.168.117.7
    DHCP Range on the linksys: 192.168.117.10 - 192.168.117.40
    IP of laptop connected to linksys: 192.168.117.11


    -Scott
Children
  • 0 in reply to ScottG
    Ok, so I'm betting you can't contact 192.168.117.1 from any device in the 192.168.117.10 - 192.168.117.40 range, because of routing problem. As a workaround did you already try putting in the IP of Astaro's lan IP (192.168.116.1?) address for dns server for the dmz network or the opendns servers themselves to access them directly?

    *One other thing what is the default gateway that is assigned to 192.168.117.10 - 192.168.117.40, it should probably be the LAN IP of the linksys 192.168.117.7
  • 0 in reply to dilandau
    Ok, so I'm betting you can't contact 192.168.117.1 from any device in the 192.168.117.10 - 192.168.117.40 range, because of routing problem. As a workaround did you already try putting in the IP of Astaro's lan IP (192.168.116.1?) address for dns server for the dmz network or the opendns servers themselves to access them directly?

    *One other thing what is the default gateway that is assigned to 192.168.117.10 - 192.168.117.40, it should probably be the LAN IP of the linksys 192.168.117.7


    dilandau,

    If by 'contact' you mean ping, you're right.  I from my laptop (192.168.117.11) it tried to ping the DMZ interface (192.168.117.1) and it failed.  From that laptop I was able to successfully ping the Internal Interface on Astaro (192.168.116.6).

    I didn't quite follow what you meant in your last sentence, but I did try this: On my laptop I went into TCP/IP properties dialog box and changed the DNS from 'Obtain DNS servers address automatically' to 'Use the following DNS...". I used the OpenDNS IP 208.67.222.222 and ...220.  This worked!  I was able to get onto the internet and I could traceroute google.com.  

    I feel that this is a work-around and doesn't fix the problem.  You seem to understand better then I do what's going on.  Does this info now explain to you what's happening?

    --Scott
  • 0 in reply to ScottG
    OK, good to hear that works.

    You are not bridging so there is no benefit to having the computers behind the linksys in the same network range as the Astaro's dmz IP and the Linksys' external IP. You should probably create a seperate network just for the Astaro's dmz interface and the linksys external interface for example, 10.0.0.0 and keep the network 192.168.117.0 for the dmz behind the linksys.

    The reason it's not working right now is that the computers that are behind the linksys, 192.168.117.0 network think 192.168.117.1 is a local IP, they do not know to send any traffic for that IP to the default gateway or the linksys to route it properly. You could add a route on the laptop to get around this, but you would have to do this on each computer that connected to the wireless.
  • 0 in reply to dilandau
    OK, good to hear that works.

    You are not bridging so there is no benefit to having the computers behind the linksys in the same network range as the Astaro's dmz IP and the Linksys' external IP. You should probably create a seperate network just for the Astaro's dmz interface and the linksys external interface for example, 10.0.0.0 and keep the network 192.168.117.0 for the dmz behind the linksys.

    The reason it's not working right now is that the computers that are behind the linksys, 192.168.117.0 network think 192.168.117.1 is a local IP, they do not know to send any traffic for that IP to the default gateway or the linksys to route it properly. You could add a route on the laptop to get around this, but you would have to do this on each computer that connected to the wireless.


    ohhhhhh.  How about if I leave Astaro alone and on the linksys change the network to from 192.168.117.*** to 192.168.118.***.  Will the computer still think 192.168.118.*** is local IP?  Or do I need a bigger IP change, like the 10.0.0.0 range.

    So why does it work now that I changed the DNS manually on my laptop.  Wouldn't this local issue still cause a problem?


    --Scott
  • 0 in reply to ScottG
    ohhhhhh.  How about if I leave Astaro alone and on the linksys change the network to from 192.168.117.*** to 192.168.118.***.  Will the computer still think 192.168.118.*** is local IP?  Or do I need a bigger IP change, like the 10.0.0.0 range.

    So why does it work now that I changed the DNS manually on my laptop.  Wouldn't this local issue still cause a problem?


    --Scott


    That would work. So then:
     Astaro  Linksys external int 192.168.117.0 network
    Devices behind the linksys 192.168.118.0 network


    The problem is isolated to when you try to contact the Astaro's dmz interface specifically (or any computer that would be connected on that side of the linksys in the 192.168.117.0 network). 

    Changing the dns to the opendns servers the laptop knows the ip is not local so it sends it to the default gateway (I'm assuming its the linksys router) and then the linksys is directly connected to the Astaro so it sends it along to 192.168.117.1 and then out to the internet.
  • 0 in reply to dilandau
    This is a great conversation.  ScottG is asking very intelligent questions, so that dilandau can tell him what he needs to understand.  Maybe ScottG has read How To Ask Questions The Smart Way.

    Cheers - Bob
  • 0 in reply to dilandau
    That would work. So then:
     Astaro  Linksys external int 192.168.117.0 network
    Devices behind the linksys 192.168.118.0 network


    The problem is isolated to when you try to contact the Astaro's dmz interface specifically (or any computer that would be connected on that side of the linksys in the 192.168.117.0 network). 

    Changing the dns to the opendns servers the laptop knows the ip is not local so it sends it to the default gateway (I'm assuming its the linksys router) and then the linksys is directly connected to the Astaro so it sends it along to 192.168.117.1 and then out to the internet.


    dilandau,

    This is great.  I'm psyched that this is resolved.  I changed my linksys to 192.168.118.*** and it's working as you said it would.  I can even ping the DMZ port 192.168.117.1.  

    Thanks for your help, and everyone else's in this long thread.

    --Scott
  • 0 in reply to BAlfson
      Maybe ScottG has read How To Ask Questions The Smart Way.

    Cheers - Bob


    Never heard of it, but I just took a look and it's a good article.  I'll have to make sure my kids read it.  


    --Scott
  • 0 in reply to ScottG
    good to hear it is now working, glad to be of help.
  • 0 in reply to BAlfson
    Doh the answer was right there in the first post... did not even notice that the router was handing out IP's in the same range as the external interface.

    dilandau I always like the street analogy when it comes to IP address's.

    The IP range is like a street 192.168.117.*

    The devices a like mailboxes on that street. So your laptop mailbox might be 100

    What you had setup was two different "streets" both called
    192.168.117
    One on the internet interface of your router using the .1 and .2 “mailboxes” and one on the WLAN interface with the DHCP mailboxes.. Traffic will always "look" in its own street first and will only be routed if it is looking for a different "street" then the one it is in. Because in your case the DNS server had the same street address as the devices looking for it the traffic was not going to the router to find the .1 “mailbox”.

    Hope that makes it clearer.