Guest User!

You are not Sophos Staff.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Network Route and Additional Address from the same Network

Hi, sorry the title is a little confusing but I couldn't think of a brief explanation. :-)

Ok here's my Situation:

We have a PI (Provider Independent) Network /24. At the moment our ISP routes this Network directly to our ASG. 

I have a couple of Additional Addresses configured and send to our Web Application Firewalls via Server Load Balancing .

We now would like to have a Transfer network between our ISP and our ASG and do the routing of our Network by ourself. 
In short we want to build a DMZ.

My question:
Is the ASG capable of having some of the addresses of the PI Network set as additional addresses and still send the requests to the Web Application Firewalls and additionally route my PI Network into my DMZ?

I just want to make sure my Web Servers will still be accessible when we make the changes. If this works I would be able to do the changes step by step.

I hope you understand my Question.

In short.
The new Setup should be.
ISP routes all traffic for our PI Network over the transfer network. 
I have a couple of addresses from the PI Network set as additional addresses in the ASG an forward these via Server Loadbalancing to my Web Application Firewalls. 
Additionally my ASG should route my PI Network into my newly created DMZ.

I don't know what is proccessed first. The Additional Addresses or the Network Routes.

I had the idea of subnetting and only route the subnets to my dmz. But the serves are scattered all over the network IPs. So theres no way of subnetting. :-(

Thanks.


This thread was automatically locked due to age.
Parents
  • I finally found the document that gave me the thought that proxy arp might work here:
    Proxy ARP with Linux

    Here's the Cisco article:
    Proxy ARP [IP Addressing Services] - Cisco Systems

    T-Roc, if you do try this, please post back here with your experience.

    Thanks - Bob
    PS I had an email exchange with Alan Toews on this subject.  He points out that proxy ARP is an old approach developed before the Astaro could be configured in bridge mode.  Alan confirms that Barry's approach is the preferrred solution if the servers have public IPs.  Following is Alan's comment:
    I don’t think anything special like proxy arp would be needed. That feature dates back to before Astaro even had bridging, and proxy arp could be used as a dirty way to bridge interfaces. Astaro can both act as a router to his PI subnet, and also host addresses within the PI subnet without any additional coaxing. Just configure one interface with the an IP in the intermediate network, and give this interface the correct ISP default gateway. Then, add another with the PI network, and add any additional addresses to that interface. This just becomes another subnet attached to the Astaro. It also happens to be publicly routable, so it can be controlled solely with packet filter rules. By configuring interfaces on Astaro to be part of each subnet directly, you are already telling it how to route between those subnets, so proxy arp would not add any value to the setup. Then, use packet filter rules to control access to/from the internet, dmz, and PI networks. 
Reply
  • I finally found the document that gave me the thought that proxy arp might work here:
    Proxy ARP with Linux

    Here's the Cisco article:
    Proxy ARP [IP Addressing Services] - Cisco Systems

    T-Roc, if you do try this, please post back here with your experience.

    Thanks - Bob
    PS I had an email exchange with Alan Toews on this subject.  He points out that proxy ARP is an old approach developed before the Astaro could be configured in bridge mode.  Alan confirms that Barry's approach is the preferrred solution if the servers have public IPs.  Following is Alan's comment:
    I don’t think anything special like proxy arp would be needed. That feature dates back to before Astaro even had bridging, and proxy arp could be used as a dirty way to bridge interfaces. Astaro can both act as a router to his PI subnet, and also host addresses within the PI subnet without any additional coaxing. Just configure one interface with the an IP in the intermediate network, and give this interface the correct ISP default gateway. Then, add another with the PI network, and add any additional addresses to that interface. This just becomes another subnet attached to the Astaro. It also happens to be publicly routable, so it can be controlled solely with packet filter rules. By configuring interfaces on Astaro to be part of each subnet directly, you are already telling it how to route between those subnets, so proxy arp would not add any value to the setup. Then, use packet filter rules to control access to/from the internet, dmz, and PI networks. 
Children
  • Hi,
    I don't quite understand how the proxy arp would help me in my situation?
    Also it seems like a lot of work. All I want is that after I changed the network configuration to a Network with DMZ my Webservers are still accessible via the additional addresses.
     
    I will setup the network like BarryG wrote in 1. because, like he allready said, it's easier to manage and I want to get rid of all the nat rules...

    All I want to know is if I can setup the PI Network on an interface and also have additional addresses configured on the interface to the transfernetwork of my isp.

    At the moment I'm doing tests on this. Looks like it does not work. But I give it another try.

    Will tell you if it works or not.

    Sorry Balfson, guess you have to try the proxy arp yourself. But thanks a lot for your help. 
    But I would appreciate if you'd tell me how the proxy arp would help me in my situation. I just can't figure it out. :-)