Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 41 replies
  • Subscribers 2 subscribers
  • Views 28758 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Setup WiFi DMZ

ScottG
I want to setup a DMZ on my 3rd NIC port.  I need to have a wifi DMZ for my TiVo to connect to the internet.  I had this working okay by plugging my linksys wifi into the astaro DMZ port and I setup DHCP on Astaro.  DHCP was disabled on the linksys.  The problem with this setup is my kid's friends would come over with their iTouch and other toys and automatically connect to the DMZ and use up my 10 Astaro licenses. To get around this, I turned off DHCP on the astaro and turned it on in the linksys, but I can't get it to work.  Here's my setup:

Interface: External WAN - goes to my cable modem
  Type: Cable Modem (DHCP)

Interface: Internal (my main home LAN and works great)
  Type: Ethernet Standard
  Address: 192.168.116.6
  Default GW: unchecked
  Default GW IP: 0.0.0.0  

Interface: DMZ1   (this is the one I am trying to get working)
  Type: Ethernet Standard
  Address: 192.168.117.1
  Default GW: unchecked
  Default GW IP: 0.0.0.0  

Astaro DHCP on DMZ1
  Range Start: 192.168.117.2
  Range End:  192.168.117.2
  DNS Server 1: 192.168.117.1
  Default GW: 192.168.117.1
  Wins Type: B-Node

I set this DHCP up in Astaro with a range of 1 because the linksys assumes the "router" is going to give it an IP.  Just like it would if the Linksys was connected to a cable modem.  I don't know if this is the right approach.

I have a cable going from the Astaro DMZ port to the Linksys Internet port.
Assigned Linksys IP: 192.168.117.7
On the Linksys I have DHCP enabled: 192.168.117.10 - 192.168.117.20

The linksys is getting the IP 192.168.117.2 (which normally would be a WAN IP) and default gateway from Astaro, but I can't connect to the internet.  I tried changing the default gateway in the DMZ1 from 192.168.117.1 to 192.168.116.6 (same as the other interface), but this didn't work.  I don't even know if you can jump across subnets like this.

What am I doing wrong?


This thread was automatically locked due to age.
  • 0 in reply to ScottG
    Did you catch my last post concerning DNS? looks like we were posting at the same time so you might have missed it.
  • 0 in reply to ScottG
    If you're trying to use external DNS, then you need a rule to allow outgoing DNS packets from the LAN.
    The alternative, as mentioned by Nety, is to setup the DNS server on Astaro (Network - DNS) for that network, and put OpenDNS in the 'Forwarders' tab, and then put the Astaro DMZ NIC in the DHCP server settings for DNS.

    Barry
  • 0 in reply to Nety
    Did you catch my last post concerning DNS? looks like we were posting at the same time so you might have missed it.


    Yes, I followed your suggestion (see my previous post).  But it didn't solve the problem.

    --Scott
  • 0 in reply to ScottG
    Scott, 
    Is DNS now working? e.g. can you ping/traceroute Google.com?

    If so, next please take a look at the PacketFilter log and see if your other traffic is getting dropped.
    Are you using the http proxy on the firewall?

    Barry
  • 0 in reply to BarryG
    Scott, 
    Is DNS now working? e.g. can you ping/traceroute Google.com?

    If so, next please take a look at the PacketFilter log and see if your other traffic is getting dropped.
    Are you using the http proxy on the firewall?

    Barry



    I can't ping or traceroute to google.com from DMZ network (I can from my internal network).  I can traceroute to an IP on the DMZ network.

    I have HTTP proxy setup in my internal interface, but I don't have it setup on the DMZ interface.

    --Scott
  • 0 in reply to BarryG
    If you're trying to use external DNS, then you need a rule to allow outgoing DNS packets from the LAN.
    The alternative, as mentioned by Nety, is to setup the DNS server on Astaro (Network - DNS) for that network, and put OpenDNS in the 'Forwarders' tab, and then put the Astaro DMZ NIC in the DHCP server settings for DNS.

    Barry


    I've got OpenDNS in the forwarders tab, I've always had it setup like that (see post #21).  I'm confused about your last sentence. Can you be more specific?

    FYI: Previously I had two DHCP servers setup, one on Internal Interface (192.168.116.6) and one on the DMZ interface (192.168.117.1).  But when I figured out how to statically set the IP on my linksys, I deleted the DHCP server on the DMZ.  I just did this on post #20.
  • 0 in reply to BAlfson


    Make a network definition "Internet" 0.0.0.0/0 and bind it to the External interface. Then

    DMZ -> Any -> Internal (Network) : Drop
    DMZ -> Web Surfing -> Internet : Allow



    Please let us know if that resolves your issue.

    Cheers - Bob


    I wasn't sure if this should be Host or Network in the definition, so I tried both.  But for both, Astaro wouldn't let me create a definition with an IP 0.0.0.0.  The field's border flashed red and astaro didn't let me save it.

    --Scott
  • 0 in reply to ScottG
    I've got OpenDNS in the forwarders tab, I've always had it setup like that (see post #21).  I'm confused about your last sentence. Can you be more specific?

    I think it was only if you were still using DHCP for the linksys.

    On a machine that is connected via  the wireless if you type into a command window nslookup what DNS server does it say it is using? Also if you then type in 72.14.205.103 (google server) what comes back?
  • 0 in reply to Nety

    On a machine that is connected via  the wireless if you type into a command window nslookup what DNS server does it say it is using? Also if you then type in 72.14.205.103 (google server) what comes back?



    I get:
    DNS Request Timed Out
    Can't find server name for address 192.168.117.1: Timed Out
    Default Server: Unknown
    Address: 192.168.117.1

    >72.14.205.103
    Server: Unknown
    Address: 192.168.117.1
    DNS Request timed out
  • 0 in reply to ScottG
    Hi Scott,

    Is the linksys still running its dhcp server for 192.168.117.0? So, the wan port IP on the linksys is 192.168.117.2 and then devices behind that router are also in the 192.168.117.0 network?

    It may be a routing issue if its handing out IP's for 192.168.117.0 network the server probably thinks its local so it never sends it to the default gateway. I see you mention that you now assigning a static IP to the linksys on the astaro, so maybe you could just bypass connecting the linksys and astaro on the wan port and connect on the lan ports of the router. Then setup a static IP for your dmz server on the astaro.