Guest User!

You are not Sophos Staff.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Network Route and Additional Address from the same Network

Hi, sorry the title is a little confusing but I couldn't think of a brief explanation. :-)

Ok here's my Situation:

We have a PI (Provider Independent) Network /24. At the moment our ISP routes this Network directly to our ASG. 

I have a couple of Additional Addresses configured and send to our Web Application Firewalls via Server Load Balancing .

We now would like to have a Transfer network between our ISP and our ASG and do the routing of our Network by ourself. 
In short we want to build a DMZ.

My question:
Is the ASG capable of having some of the addresses of the PI Network set as additional addresses and still send the requests to the Web Application Firewalls and additionally route my PI Network into my DMZ?

I just want to make sure my Web Servers will still be accessible when we make the changes. If this works I would be able to do the changes step by step.

I hope you understand my Question.

In short.
The new Setup should be.
ISP routes all traffic for our PI Network over the transfer network. 
I have a couple of addresses from the PI Network set as additional addresses in the ASG an forward these via Server Loadbalancing to my Web Application Firewalls. 
Additionally my ASG should route my PI Network into my newly created DMZ.

I don't know what is proccessed first. The Additional Addresses or the Network Routes.

I had the idea of subnetting and only route the subnets to my dmz. But the serves are scattered all over the network IPs. So theres no way of subnetting. :-(

Thanks.


This thread was automatically locked due to age.
Parents
  • Like I said, I haven't used Proxy ARP.  It's my understanding that there's no difference between connecting the servers directly to the internet and putting them behind a router with proxy ARP; your ISP doesn't have to do anything special and the servers keep their public IPs.  If you currently have public IPs, then this seems like the easiest way to proceed; no additional addresses, no DNATs and you ISP doesn't need to change anything.

    Then again, I don't understand what Barry's describing with "transfer network" and PI addresses - I'm definitely not the networking guru that Barry is! [:)]

    Cheers - Bob
  • Ok now I know where we misunderstood each other.

    At the moment my servers do not have public IP adresses. Thats why I configured additional addresses in the ASG.

    The problem we have is that we don't have a transfer network between our ISP and us. It's our PI Network beween our isp and us.

    Maybe I forgot to mention that. Sorry.

    But nevertheless it is working. I configured additional addresses from my PI network and via server load balancing send the requests to my servers with internal addresses and addionally connected some servers to the PI network which is routet by the ASG. So what I wanted works.

    The only problem is if you restart the ASG you have to once disable and enable all of the additonal addresses. If you don't the additional addresses work but not the routet Network.

    If anybody is interested in what I mean I can make a drawing to explain it a little more detailed.

    Thank you all for your help. I appreciate that.
Reply
  • Ok now I know where we misunderstood each other.

    At the moment my servers do not have public IP adresses. Thats why I configured additional addresses in the ASG.

    The problem we have is that we don't have a transfer network between our ISP and us. It's our PI Network beween our isp and us.

    Maybe I forgot to mention that. Sorry.

    But nevertheless it is working. I configured additional addresses from my PI network and via server load balancing send the requests to my servers with internal addresses and addionally connected some servers to the PI network which is routet by the ASG. So what I wanted works.

    The only problem is if you restart the ASG you have to once disable and enable all of the additonal addresses. If you don't the additional addresses work but not the routet Network.

    If anybody is interested in what I mean I can make a drawing to explain it a little more detailed.

    Thank you all for your help. I appreciate that.
Children
No Data