Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 2 subscribers
  • Views 6980 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Multiple interfaces [acting as a switch/on same subnet]?

Soong
I'm embarrassed to have to ask for help on this one because it means I have probably completely misunderstood all the text I have read on the subject of bridging but...

I have my ASG now running on a box with 7 physical Ethernet ports and I have this simple goal of making 3 or 4 act as a switch as you would find on the back side of any off the shelf gateway/router. I want to do this just to save a few watts by eliminating my switch.

Previously I had tried creating a bridge from 3 unused interfaces. I configured Masquerading, packet filter rules, DHCP, DNS, and IPS for the br0 interface but I could not get online or even access the ASG web admin. I added Forwarded Ethertypes for IPv4. I could not get any form of external access.

Tonight I tried converting my existing LAN interface plus 3 unused interfaces in hope that whatever I had missed or screwed up before would simply carry the correct configuration over from the LAN interface. It did not work. I had no access and when I plugged my VoIP adapter into one of the bridged ports, my DHCP log ballooned to 31MB in less than a minute; all requests from the VoIP adapter.

In both instances I had to plug a computer into my dedicated management interface and revert to a prior configuration backup. This seems like such a basic thing to be able to do. I know it has to be easier than I think it is.

Thank you for your time,


This thread was automatically locked due to age.
  • 0 in reply to Soong



    The thought of posting my packet filter rules makes me a bit queasy. You'll have to take my word for it that none of the lower rules that are presently enabled do anything but permit traffic for my VoIP adapter and allow specific external hosts to ping the public interfaces.


  • 0 in reply to Soong



    So, when I plug my switch or a computer into eth1, the interface I converted into the bridge, I have normal access. If I plug into any of the other interfaces I get an IP address and nothing else. The IP assignment doesn't show up in the DHCP log. If a previous lease was still valid, does the log not reflect a new request from the device? I don't think that's the case because my kindle appears in the DHCP server log at intervals of a few minutes apart (checking for updates and going back to sleep I assume). Other devices show up vary rarely, when their leases expire.

    Devices plugged into eth2, eth3, and eth4 can not communicate with any other device. Based on my understanding of bridging, with this configuration, at a bare minimum they should be able to communicate with other devices on the bridge. With the masquerading and packet filter rules I should have full access to the web from all four ports on the bridge, no?

    There's nothing in the packet filter log to indicate that any internal packets are being blocked from getting out or from communicating with the ASG.
  • 0
    I didn't see anything in your configuration.  Have you tried a reboot since you set up the bridge?

    Cheers - Bob
  • 0
    bridging isn't a replacement for a "switch" so to speak. The most common application of this feature is to silently sit behind another existing gateway or firewall, such as when someone wants to use Astaro Web Filtering and not the natting/DHCP/firewall parts of ASG since they already have that at the edge. Typically they put ASG in bridging mode, open the packet filter fully, and plug their firewall/gateway into one port while they make the other port go to their switch, essentially "cutting" the cable from their switch to their gateway with ASG.

    This allows ASG to act as sort of a bear standing in a river; it can drop in and swipe out fish whenever it wants while the water can still flow through and around it.

    What you are trying to do is combine multiple ports in a bridge and then have "some" share back and forth while another goes upstream. I'm not a bridging expert, but i'm not sure that will work. Maybe one of our smarter router folks can confirm that...
  • 0
    Hi Angelo, as I said earlier, I've done it in the past to have a wireless network partially isolated from the rest of the LAN.

    And, as I said, it worked except for some broadcast protocols such as uPnP.

    Barry
  • 0 in reply to BarryG
    Well, I rebooted today. I was doing a planned memory upgrade anyway. Behavior is the same after the reboot. As there isn't any clear configuration problem and learning was probably more of a motivation than actually attaining functionality, I'm going to give up for now. I thank you all for your time and your replies.