Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 1971 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Special Routing

wudukes
Okay

Hello.

I have multiple VLANS whos intervlan routing is performed by the Astaro Appliance Firewall. 

LAN VLAN = 10.0.0.0
Internet VLAN = 192.168.254.0

What is happening is this. I need virtual machines (XenServer) to communicate with each other over the LAN interface but when they need to access the internet they should use the Internet interface. 

I tried a few things like creating a static route for LAN traffic to use the LAN interface and any ANY traffic route to use the internet interface. No success.

Any thoughts?

Tony


This thread was automatically locked due to age.
Parents
  • 0
    Welcome, Tony,

    I'm assuming that you have two, different physical interfaces and that you aren't trying to do internal and external on the same one as that won't work.

    Your setup should be simple.  Define the Internal interface with VLANs in the 10./8 range, and create a masquerading rule for the internal VLANs to the External interface.

    Cheers - Bob
  • 0 in reply to BAlfson
    Ok 

    Idea.

    The xen server sits in internet vlan, and so do the vms, however it uses vlan tagging to communicate with the storage vlan.

    Use VLAN tagging to either communicate with vlan 1 or vlan 2 (over 1 interface)

    will this really segment the traffic?
  • 0 in reply to wudukes
    I think the problem is that you risk confusing the ARP table in your router when you try to do both internal and external on the same interface, at least, that's the warning that I remember reading in the Astaro documentation.  It would be interesting to know if you can make it work.
  • 0 in reply to BAlfson
    CORRECTION!

    I found the following in the V7.3 manual:
    The firewall must be the only point of contact between internal and external networks. All data must pass through the security system. We strongly recommend against connecting both internal and external interfaces to one hub or switch, except if the switch is configured as a VLAN switch. There might be wrong ARP resolutions (Address Resolution Protocol), also known as "ARP clash", which cannot be administered by all operating systems (for example, such as those from Microsoft). Therefore, one physical network segment has to be used for each firewall network interface. 

    That means that my previous post was incorrect.  I've emailed the other participant in this thread.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hello!

    I figured it out!

    I have to keep remembering Layer 2 Layer 2 Layer 2 for my Hypervisor

    What I needed to do was relatively simple.

    I needed to
    1. Create SEPERATE Vlans on the switch
    3. Create SEPERATE XenServer Networks (with VLAN tag) for each of my Virtual Networks
    2. Setup MULTIPLE Vlan Interfaces for the same physical interface for my firewall (each its own network)
    3. Setup Firewall Access rules for each separate network
    3. Mark each VLAN as TAGGED for both the firewall network connection port AND the Xen Server port

    After this, the firewall controlled all traffic. Traffic between VMs would not talk to one another as each traffic was specifically marked/tagged for a their own VLAN even though they were both on the same physical network connection.

    yay.
Reply
  • 0 in reply to BAlfson
    Hello!

    I figured it out!

    I have to keep remembering Layer 2 Layer 2 Layer 2 for my Hypervisor

    What I needed to do was relatively simple.

    I needed to
    1. Create SEPERATE Vlans on the switch
    3. Create SEPERATE XenServer Networks (with VLAN tag) for each of my Virtual Networks
    2. Setup MULTIPLE Vlan Interfaces for the same physical interface for my firewall (each its own network)
    3. Setup Firewall Access rules for each separate network
    3. Mark each VLAN as TAGGED for both the firewall network connection port AND the Xen Server port

    After this, the firewall controlled all traffic. Traffic between VMs would not talk to one another as each traffic was specifically marked/tagged for a their own VLAN even though they were both on the same physical network connection.

    yay.
Children
No Data