Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 2 subscribers
  • Views 6978 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Multiple interfaces [acting as a switch/on same subnet]?

Soong
I'm embarrassed to have to ask for help on this one because it means I have probably completely misunderstood all the text I have read on the subject of bridging but...

I have my ASG now running on a box with 7 physical Ethernet ports and I have this simple goal of making 3 or 4 act as a switch as you would find on the back side of any off the shelf gateway/router. I want to do this just to save a few watts by eliminating my switch.

Previously I had tried creating a bridge from 3 unused interfaces. I configured Masquerading, packet filter rules, DHCP, DNS, and IPS for the br0 interface but I could not get online or even access the ASG web admin. I added Forwarded Ethertypes for IPv4. I could not get any form of external access.

Tonight I tried converting my existing LAN interface plus 3 unused interfaces in hope that whatever I had missed or screwed up before would simply carry the correct configuration over from the LAN interface. It did not work. I had no access and when I plugged my VoIP adapter into one of the bridged ports, my DHCP log ballooned to 31MB in less than a minute; all requests from the VoIP adapter.

In both instances I had to plug a computer into my dedicated management interface and revert to a prior configuration backup. This seems like such a basic thing to be able to do. I know it has to be easier than I think it is.

Thank you for your time,


This thread was automatically locked due to age.
  • 0
    I'm not certain if what you are trying to do will work.  It very much depends on how the arp table works when in bridged mode.  It has to be able to determine which endpoint systems are connected to each separate interface.  A switch, router, and hub are all very different networking devices that work in different ways.  When you buy a home router with a few ports in the back, like a Netgear or Linksys, they are actually two separate devices, each controlled by separate hardware chips on the PCB, in the same casing.  For ease of install and maintenance, I would suggest just using a dedicated switch behind your Astaro LAN interface.  The amount of power usage from a little 4-8 port switch (typically 5w) is going to be between $5-$8/year.
  • 0
    I've done it (bridged to a WiFi AP so I could run IPS on it). It will work, but IME, some things like uPnP broadcasts will not pass through the bridge.

    Barry
  • 0 in reply to BarryG
    So basically, the fact I'm having trouble accepting is that bridged adapters act like one of these:

    that has the ability to filter traffic types and do nothing else? It's an inline filter between two segments? If I bridge two ports on my ASG then traffic flows bi-directionally between them like a two way road, not like a three way intersection (the third way being out of the bridge, through the ASG and out a WAN port)?

    This then is a special/limited use security measure with few practical applications in a home environment?
  • 0
    You have to turn things around and think of it from the perspective of Astaro.  They are a commercial entity, creating an enterprise network security platform which is nice enough to allow home users a license to have access to 99% of the features with only two minor usage restrictions (branding customization and 50 IP limit) for free.  This is by far the most permissive policy in the market segment.  Astaro isn't competing against fluff like Netgear or Linksys, they are competing against business oriented products from Cisco, Sonicwall, Juniper, etc.  Amazingly enough, Astaro also listens to the free home users as well.  Many current and future features were suggested by home users (feature.astaro.com).
  • 0 in reply to Scott_Klassen
    You have to turn things around and think of it from the perspective of Astaro.  They are a commercial entity, creating an enterprise network security platform which is nice enough to allow home users a license to have access to 99% of the features with only two minor usage restrictions (branding customization and 50 IP limit) for free.  This is by far the most permissive policy in the market segment.  Astaro isn't competing against fluff like Netgear or Linksys, they are competing against business oriented products from Cisco, Sonicwall, Juniper, etc.  Anazingly enough, Astaro also listens to the free home users as well.  Many current and future features were suggested by home users (feature.astaro.com).


    Hey, I'm not complaining. I'm just trying to understand how it works.

    edit:

    Actually, I've been using an Astaro Security Gateway for a couple of years now I think. It was instrumental in gaining experience before taking my Network+ exam. I've reported bugs in both production and beta releases. This is the first time I've asked for help with configuration issues. I don't expect any special help. It was not my intention to imply that.
  • 0
    My personal experience has only been in using bridging in a "two-way" fashion.  Combining multiple interfaces to act as and be configured as one in a form of failover in case of physical port failure.  When I first implemented Astaro, it was setup as a transparent in-line device between the perimeter firewall and the LAN.  Two interfaces were bridged so that just in case one port to the LAN failed, I could move the cable to the other and everything would continue to work with no reconfiguration necessary.

    Barry, being a reseller (I believe) has better experience with different and more complex setups.  That's why we love him.  [:)]

    I'm having trouble seeing how you could setup the routing properly as there isn't a way to specify routes over a NIC, only an interface.  E.g. you can setup a route to send packets to br0, but you can't route different packets to the separate members of a bridge, such as eth2, eth3, and eth4.  It wouldn't be such a good thing if all data was send through all NICS like a hub.

    One place that you can get more information about what's going on when you set things up in your proposed way is in WebAdmin>>Support>>Advanced>>Routes Table Tab.  What do you see here when you configure things as in the first post.  This might give us a clue as to what's missing.
  • 0
    What you are trying to setup should work. On my ASG I have created a bridge with 2 interfaces (eth0 and eth1) I then connected a wireless access point to one interface and a PC directly to the other with the WAN as eth2. You then need to create packet filter rule and a NAT masq rule to allow the traffic if you do not already have them and add the network to the http proxy, dns etc. All interfaces of the bridge will respond to the same IP, for example if eth0 interface is 10.0.0.1 and you create a bridge with eth0, eth1, eth2 to make br0 all three interfaces will be accessible via 10.0.0.1.

    It sounds like you followed these steps, but you do not mention any errors you see in the logs. You mention the dhcp log was quite large what was the entry that caused this?  Was the traffic being allowed or dropped in the packet filter log?
    Also, a diagram and networking scheme may help if you cannot track down the error and you could try a crossover cable if the interface is showing link down.
  • 0
    Scott,
    FYI, I'm not a reseller, just a home and commercial user since 1.6 or so.
    Routing isn't an issue, astaro knows what to do.

    Screenshots of the bridge config and MASQ, and PacketFilter might help.

    Barry
  • 0 in reply to BarryG
    OK, some further info. I haven't been able to reproduce the DHCP flooding but this is all it was:
    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0
     over the course of about 4 minutes it added up to a 31MB DHCP log file.

    Bits of the config:




    more to follow (4 image limit per post).