Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 2178 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASG V8.102 Fresh Install no Internet Access

ehcah
Greetings,

I feel like a tool that after 7 hours of trial and error, this will be my first post.  I am a new ASG user.  Up until yesterday, I have been using Untangle.  I am a novice in networking terms, but can find my way around.  ASG however, seems to present things a bit differently then I am used to.  

Please keep in mind, I've gone from Linksys routers, to Linksys dd-wrt routers, to Ubuntu Server, to Untangle on a DL380G4 to ASG (for home usage)... Nothing that has really forced me to get my hands dirty.

I am fairly certain this is nothing more than a routing issue.  As only the standard Packet Filters were installed, no NAT rules were added and I did not add any Masquerading or DNAT/SNAT.  I do not have web filtering enabled either.  

ASG did download its patches and updates.  I can ping or traceroute from WebAdmin to the Internet or back to a workstation on my LAN.  I can not however, get to the internet from any computer on my LAN, though they do get DHCP/DNS etc...

I did download the manual and read through the forum for examples, but can't seem to find the right flow of eth0, eth1 and the IP of my telco gateway.

For example sake, this is how I would be configured:

Telco Gateway -  192.168.0.4

DL380  eth0 (ext) - 192.168.0.5
DL380  eth1 (int) - 192.168.1.5  (DHCP, DNS, WebAdmin etc... are all off this NIC)

I used Untangle for quite a while and have forgotten, but it must have used bridging.  All my IP's were on one subnet in that setup.  After a failed first attempt, I read that I needed to configure it this way, so my apologies if this is incorrect also.  

I just want to get from my switches --> eth1 out eth0 in the Telco Gateway and surf the internet.  Nothing fancy.


This thread was automatically locked due to age.
  • 0
    Hi and welcome aboard,
    by default ASG blocks everything.

    You need the following to get a basic connection

    1/. external connection to your ISP setup at this stage I will assume you are using modem in modem router mode so that it does all the adsl management and pass ethernet to the ASG.

    2/. packet filter rule
    internal network -> any (protocols) -> any (internet) -> allow
    3/. MASQ
    internal network -> external interface

    That will allow traffic through while you learn about more detailed configurations.

    Regards

    Ian M
  • 0
    Thanks Ian.  I am quickly getting the a picture that ASG is a much different beast then I envisioned.  I added the the your rules (2 & 3) but still am still not able to connect to internet.

    I want to clarify a bit on your first statement to ensure I clearly understand.  My ISP is providing me a 70Mb fiber connection.  Unfortunately, I can not remove their hardware.  The only way around this, is to list eth0's MAC address in the Advanced DMZ port so that ASG is directly on the internet so to speak and provides all connectivity to and from our home.  Or, at least that is my intention.  

    Assuming that I completed your steps 1, 2 and 3 correctly and that no static or policy routing is required at this point.  Am I doing something as simple as pointing at the wrong D.GW from the ASG DHCP server?  Right now I am pointing it directly to the Telco box of 192.168.0.4  Maybe it should be directly at eth0 or eth1?  I've tried both, but without succes.

    Jason
  • 0
    Just a quick update to say that I have one big problem solved.  All of the clients on my network can now access the internet again.  Maybe this is a default setting or I changed it without realizing?  Web Security was on and the operation mode was set to transparent.  I do not have a proxy setup.  Either setting the op mode to standard or disabling the service fixes the problem.

    I have a new problem though.  I am a work from home salesperson.  My means of connecting to my office is via VPN.  We use a Nortel VPN Contivity Client that uses some form of Digital Certificate.  The client version is V05_01.110.  This solution has been do the be replaced for some time now.  Is there a quick fix to allow VPN traffic out?  Or is it specific to the service they provide?
  • 0
    This should be covered by the PF rule posted above by Ian:
     
    2/. packet filter rule
    internal network -> any (protocols) -> any (internet) -> allow
     
    Astaro is an enterprise class firewall. Everything inbound or out will be blocked unless it is overtly allowed (with the exception of some built-in hidden rules to allow various components of Astaro to function.). This is different than a "home-use" firewall which generally allow anything outbound by default unless overtly blocked.
     
    Rule ordering is also important.  When a packet comes through the rules are processed in order (rule #1, then rule #2, etc) until a rule is matched, at which time further processing stops.  So, if you were to create a rule that says internal (network) ---> HTTP ----> any (internet) --> Block as rule #1, then created the internal network -> any (protocols) -> any (internet) -> allow as rule #2, you wouldn't be able to surf.
  • 0
    Hi there,

    I have exactly the SAME problem as Jason.
    I can NOT access the internet from ANY PC on the network.

    I connected my 24 port switch to eth0 and I connected the output of my modemrouter (DHCP server) to eth1.
    Then I installed the ASG software on a dedicated PC with 6 network interfaces.

    The ASG installer found all the right settings by itself, and all the setting hints you guys gave in your above post nicely in the settings, automatically!!

    As the PC's weren't getting any IP address from my modemrouter, I first had to set my main PC to a manual IP addess, in order to get into the ASG WEB user interface, which I could reach, in order to install the licence file.
     
    After all that efforts: Still no internet.

    I'm getting totally lost.

    Earlier I had posted a more detailed description here:
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/52/t/27926

    That was my FIRST install, and during that first install attempt I ONLY connected my modemrouter output (internet) to eth0 of the PC.
    (the internet output of the modemrouter was connected to

    As I couldn't get it working AT ALL, I did a SECOND try, but this time I had my 24 port switch connected to eth0 of the PC, AND the modemrouter output (internet) to eth1.

    The installer found all the right settings, but: NO internet on ANY pc on the network.

    I'm slowly losing my marbles here.

    Anyone here can help me out please??

    Best rgds

    Robbert
  • 0 in reply to Robbertvan Herksen
    Hi there,

    Still suffering here with my ASG v8 project.

    Today I tried to connect my ASG v8 to another internet connection, instead of my regular fixed ASDL connection.

    For emergency purposes I have extra a Draytek modem (Vigor 2910) that has a USB socket in which you can stick a GPRS dongle. The dongle then makes contact with the mobile internet, and so you can just connect any PC to the ports of that router, and you have internet. Works perfectly.

    I connected this above mentioned unit to eth1 of the ASG, and restarted the ASG v8 application.
    The ASG nicely pickup up an IP address from the DHCP server (GW: 192.168.1.1) in the Vigor 2910, but still: NO TRAFFIC is allowed through the firewall at all.

    Do I maybe need to enable a DHCP server and a DNS server in the ASG???
    I tried that but no go. Same problem: NO traffic possible from PC's connected to eth0.

    I'm really stuck here, and I'm quite close to dumping the whole ASG thingie, and look for something else.
    I really like Astaro stuff, amazing interface, but I must be doing something totally wrong here, and I have this feeling that it's just al small thingie that is causing this, but WHAT??
    I'm running out of options here.


    Anyone willing to help me out??
    Maybe someone can give me some steps, like some basic test routines, in order to find what exactly is the reason of getting NO internet connectivy on connected PC.
    Much appreciated!!

    Rgds

    Robbert
  • 0 in reply to Robbertvan Herksen
    Hi there (again).

    I just visited a competitor website and I noticed this paragraph:

    "2. Bridging- The bridge mode allows you to install Astaro between an existing firewall/router and the core switch to achieve all the functionality you need without having to replace the existing firewall/router."

    Errr, could that maybe the solution to my problem (of not getting ANY internet connectivity from PC's behind the ASG v8 system)??

    Eth0 is connected to a modem+router combination, which is giving me my internet connection.

    Bridging eth0 and eth1 seems so very unlogical, as you are making a bypass in the firewall.

    Rgds

    Robbert
  • 0 in reply to RFCat_vk_01
    Hi and welcome aboard,
    by default ASG blocks everything.

    You need the following to get a basic connection

    1/. external connection to your ISP setup at this stage I will assume you are using modem in modem router mode so that it does all the adsl management and pass ethernet to the ASG.

    2/. packet filter rule
    internal network -> any (protocols) -> any (internet) -> allow
    3/. MASQ
    internal network -> external interface

    That will allow traffic through while you learn about more detailed configurations.

    Regards

    Ian M



    Hi Ian,

    Could you please have a glimpse at both my Packet Filter rules and Mascuerading rule(s)? I have attached the screendumps in this posting.

    I see no mistakes in the rules whatsoever.
    Still I am NOT able to connect to the internet through the ASG v8.

    All my PC's are connected to a 24 port switch, and that switch is connected to eth0 of the unit that runs ASG v8 (see the attached plan).

    My router is connected to eth1 of the ASG v8.

    Is there anything that I have missed here??

    Thanks!!

    Robbert
  • 0
    Hi Robbert,

    A bridge is a preferable option if you want to avoid a double NAT situation and/or have more than 1 interface on the astaro connected to the same network.

    The packet filter rules look correct, you could add a rule such as Internal(network) -> ANY -> ANY to allow all traffic out from the internal network while you test.

    How do you have eth0 and eth1, do they both have IPs in the same network(you would want to avoid this)?
    Did you statically assign IP's to the Laptops or do you have dhcp configured on the astaro, if so are what IP and what default gateway are they configured with?