Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 2 subscribers
  • Views 6980 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Multiple interfaces [acting as a switch/on same subnet]?

Soong
I'm embarrassed to have to ask for help on this one because it means I have probably completely misunderstood all the text I have read on the subject of bridging but...

I have my ASG now running on a box with 7 physical Ethernet ports and I have this simple goal of making 3 or 4 act as a switch as you would find on the back side of any off the shelf gateway/router. I want to do this just to save a few watts by eliminating my switch.

Previously I had tried creating a bridge from 3 unused interfaces. I configured Masquerading, packet filter rules, DHCP, DNS, and IPS for the br0 interface but I could not get online or even access the ASG web admin. I added Forwarded Ethertypes for IPv4. I could not get any form of external access.

Tonight I tried converting my existing LAN interface plus 3 unused interfaces in hope that whatever I had missed or screwed up before would simply carry the correct configuration over from the LAN interface. It did not work. I had no access and when I plugged my VoIP adapter into one of the bridged ports, my DHCP log ballooned to 31MB in less than a minute; all requests from the VoIP adapter.

In both instances I had to plug a computer into my dedicated management interface and revert to a prior configuration backup. This seems like such a basic thing to be able to do. I know it has to be easier than I think it is.

Thank you for your time,


This thread was automatically locked due to age.
Parents
  • 0
    Scott,
    FYI, I'm not a reseller, just a home and commercial user since 1.6 or so.
    Routing isn't an issue, astaro knows what to do.

    Screenshots of the bridge config and MASQ, and PacketFilter might help.

    Barry
Reply
  • 0
    Scott,
    FYI, I'm not a reseller, just a home and commercial user since 1.6 or so.
    Routing isn't an issue, astaro knows what to do.

    Screenshots of the bridge config and MASQ, and PacketFilter might help.

    Barry
Children
  • 0 in reply to BarryG
    OK, some further info. I haven't been able to reproduce the DHCP flooding but this is all it was:
    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPACK on 192.168.1.5 to 00:12:17:fb:10:8e via br0

    2011:06:06-20:25:49 payfya dhcpd: DHCPREQUEST for 192.168.1.5 (192.168.1.1) from 00:12:17:fb:10:8e via br0
     over the course of about 4 minutes it added up to a 31MB DHCP log file.

    Bits of the config:




    more to follow (4 image limit per post).
  • 0 in reply to Soong



    The thought of posting my packet filter rules makes me a bit queasy. You'll have to take my word for it that none of the lower rules that are presently enabled do anything but permit traffic for my VoIP adapter and allow specific external hosts to ping the public interfaces.


  • 0 in reply to Soong



    So, when I plug my switch or a computer into eth1, the interface I converted into the bridge, I have normal access. If I plug into any of the other interfaces I get an IP address and nothing else. The IP assignment doesn't show up in the DHCP log. If a previous lease was still valid, does the log not reflect a new request from the device? I don't think that's the case because my kindle appears in the DHCP server log at intervals of a few minutes apart (checking for updates and going back to sleep I assume). Other devices show up vary rarely, when their leases expire.

    Devices plugged into eth2, eth3, and eth4 can not communicate with any other device. Based on my understanding of bridging, with this configuration, at a bare minimum they should be able to communicate with other devices on the bridge. With the masquerading and packet filter rules I should have full access to the web from all four ports on the bridge, no?

    There's nothing in the packet filter log to indicate that any internal packets are being blocked from getting out or from communicating with the ASG.