Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 3736 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Network Route and Additional Address from the same Network

T-Roc_01
Hi, sorry the title is a little confusing but I couldn't think of a brief explanation. :-)

Ok here's my Situation:

We have a PI (Provider Independent) Network /24. At the moment our ISP routes this Network directly to our ASG. 

I have a couple of Additional Addresses configured and send to our Web Application Firewalls via Server Load Balancing .

We now would like to have a Transfer network between our ISP and our ASG and do the routing of our Network by ourself. 
In short we want to build a DMZ.

My question:
Is the ASG capable of having some of the addresses of the PI Network set as additional addresses and still send the requests to the Web Application Firewalls and additionally route my PI Network into my DMZ?

I just want to make sure my Web Servers will still be accessible when we make the changes. If this works I would be able to do the changes step by step.

I hope you understand my Question.

In short.
The new Setup should be.
ISP routes all traffic for our PI Network over the transfer network. 
I have a couple of addresses from the PI Network set as additional addresses in the ASG an forward these via Server Loadbalancing to my Web Application Firewalls. 
Additionally my ASG should route my PI Network into my newly created DMZ.

I don't know what is proccessed first. The Additional Addresses or the Network Routes.

I had the idea of subnetting and only route the subnets to my dmz. But the serves are scattered all over the network IPs. So theres no way of subnetting. :-(

Thanks.


This thread was automatically locked due to age.
  • 0
    Astaro Interfaces allow you to assign multiple addresses. From there you can create a NAT rule where all http traffic destined for virtual public address gets sent to your private internal address of web server. 

    I can only wage a guess, but I would think that the secondary IP addresses gets read first by Astaro as it needs to see these before the rest of the logic for packet filtering/NAT can take place.
  • 0 in reply to mbrophy
    Thanks for your reply.

    Hm, I guess I just have to try.
  • 0
    This is as much a question as a suggestion.  What if you set up your Server-DMZ interface with Proxy ARP?  I've never used it, but I thought that this was a situation where it can be useful.  Can anyone (Bruce, Barry, Simon, etc.?) comment on that?

    Thanks - Bob
  • 0
    Hi, you have at least couple of choices:

    1. use the PI network as your DMZ, and a transfer network from the ISP. (and 'private' IPs for your other LANs with Masquerading)
    This way, you don't need to do any DNAT for incoming server traffic.
    I'm doing this on our Astaro 6.3 box and it works great and is very easy to manage.

    2. get a transfer network from the ISP, but put your PI addresses on the External interface. All internal IPs are in 'private' ranges.
    Then, you have to DNAT (and SNAT if desired) any incoming traffic.
    I'm doing this on our Astaro 7.3 system. It's a huge pain as you have to 
    a. create an 'additional IP adress' as an 'interface' for EACH IP.
    b. create a DNAT for EACH IP.
    c. create a SNAT for EACH IP, if desired.
    This is a real pain to manage, and it also causes the network definition lists to be very large as there will be 3 entries for each 'interface'.
    I'm only doing it as I was forced to use 'private' IP addresses internally, and I wouldn't recommend it if you can avoid it.

    Also note that you need to first setup the External interface with an IP on the transfer network (which the ISP will route all traffic to), before using your PI addresses. After that, you can access webadmin/ssh/vpns on the firewall on either the transfer network IP, or a non-natted PI IP. (I find it easier to remember my PI IPs than the transfer IP).

    I haven't worked with Proxy ARP, and I'm not sure it'd work with a transfer network.

    Barry
  • 0
    I finally found the document that gave me the thought that proxy arp might work here:
    Proxy ARP with Linux

    Here's the Cisco article:
    Proxy ARP [IP Addressing Services] - Cisco Systems

    T-Roc, if you do try this, please post back here with your experience.

    Thanks - Bob
    PS I had an email exchange with Alan Toews on this subject.  He points out that proxy ARP is an old approach developed before the Astaro could be configured in bridge mode.  Alan confirms that Barry's approach is the preferrred solution if the servers have public IPs.  Following is Alan's comment:
    I don’t think anything special like proxy arp would be needed. That feature dates back to before Astaro even had bridging, and proxy arp could be used as a dirty way to bridge interfaces. Astaro can both act as a router to his PI subnet, and also host addresses within the PI subnet without any additional coaxing. Just configure one interface with the an IP in the intermediate network, and give this interface the correct ISP default gateway. Then, add another with the PI network, and add any additional addresses to that interface. This just becomes another subnet attached to the Astaro. It also happens to be publicly routable, so it can be controlled solely with packet filter rules. By configuring interfaces on Astaro to be part of each subnet directly, you are already telling it how to route between those subnets, so proxy arp would not add any value to the setup. Then, use packet filter rules to control access to/from the internet, dmz, and PI networks. 
  • 0 in reply to BAlfson
    Hi,
    I don't quite understand how the proxy arp would help me in my situation?
    Also it seems like a lot of work. All I want is that after I changed the network configuration to a Network with DMZ my Webservers are still accessible via the additional addresses.
     
    I will setup the network like BarryG wrote in 1. because, like he allready said, it's easier to manage and I want to get rid of all the nat rules...

    All I want to know is if I can setup the PI Network on an interface and also have additional addresses configured on the interface to the transfernetwork of my isp.

    At the moment I'm doing tests on this. Looks like it does not work. But I give it another try.

    Will tell you if it works or not.

    Sorry Balfson, guess you have to try the proxy arp yourself. But thanks a lot for your help. 
    But I would appreciate if you'd tell me how the proxy arp would help me in my situation. I just can't figure it out. :-)
  • 0
    The first link in my prior post begins with...
    Proxy ARP basically means that a particular machine (such as a firewall) will respond to ARP requests for hosts other than itself. This can be used to make a firewall mostly disappear from the machines on a network. 

    For an example, say you have a /28 subnet from your ISP that is routed through a Cisco router. Your router appears at the IP of x.x.x.97 with a network address of x.x.x.96 and a broadcast address of x.x.x.111. This leaves a usable chunk of 14 addresses for your hosts. 

    If you wanted to firewall these hosts from the internet without using proxy arp, you would need to either subnet your addresses and lose two more addresses for the new network and broadcast, plus half of your remaining IP's would be in the non-firewalled half. 

    Another method would be to have the firewall do port forwarding between all of the addresses to non-routed IP's (192.168.x.x) for your servers. Done properly, this would be okay. It isn't as transparent and may break some protocols like active FTP unless the firewall will compensate. 

    By using Proxy ARP, you can set up your machines in a DMZ to separate them from your client machines. This is also the least invasive method to set up, since you can keep the same IP's on all of the servers as you had when things weren't firewalled.
  • 0 in reply to BAlfson
    Sorry I really don't understand how this would work and how to se this up on my ASG? does that mean my serevrs have external or internal addresses?

    I don't see the difference to the setup with additional addresses?
  • 0
    Like I said, I haven't used Proxy ARP.  It's my understanding that there's no difference between connecting the servers directly to the internet and putting them behind a router with proxy ARP; your ISP doesn't have to do anything special and the servers keep their public IPs.  If you currently have public IPs, then this seems like the easiest way to proceed; no additional addresses, no DNATs and you ISP doesn't need to change anything.

    Then again, I don't understand what Barry's describing with "transfer network" and PI addresses - I'm definitely not the networking guru that Barry is! [:)]

    Cheers - Bob
  • 0 in reply to BAlfson
    Ok now I know where we misunderstood each other.

    At the moment my servers do not have public IP adresses. Thats why I configured additional addresses in the ASG.

    The problem we have is that we don't have a transfer network between our ISP and us. It's our PI Network beween our isp and us.

    Maybe I forgot to mention that. Sorry.

    But nevertheless it is working. I configured additional addresses from my PI network and via server load balancing send the requests to my servers with internal addresses and addionally connected some servers to the PI network which is routet by the ASG. So what I wanted works.

    The only problem is if you restart the ASG you have to once disable and enable all of the additonal addresses. If you don't the additional addresses work but not the routet Network.

    If anybody is interested in what I mean I can make a drawing to explain it a little more detailed.

    Thank you all for your help. I appreciate that.