Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 2652 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Public IP Range, proxy arp and more

Vels
Hello,

I got a new challenge. Our test team wants to run their own firewalls - meaning they have two firewalls and want a test network behind each in order to simulate multi site customers.

Now, to make this real I wanted to assign a public IP on each of these firewalls behind the astaro and I just got a new /27 public IP range.

I tried to just add two of these IPs on a vacant ETH on the Astaro and enable proxy arp - but that was a no go.
Now I changed the ETH to actually have a smaller subnet of the range - a /29 meaning I have around 5 public IP's on this interface Proxy Arp to hosts connected to this interface and it works..

However - can I use the rest of the /27 range as additional IPs on my WAN interface without problems or ? I tested it and it seems like I can without the Astaro complaining about it - but ...

Hope someone clever can help my tired head to figure this one out..


This thread was automatically locked due to age.
  • 0
    You should be able to assign more using additional addresses.
  • 0
    If you have an available interface (or use VLANs) on the Astaro, why not create a DMZ with public IPs for the two new firewalls?

    Say you have 217.216.215.0/27 and "External (Address)" is 217.116.115.178; ask your ISP to route 217.216.215.0/27 via 217.116.115.178 and put public IPs on the Firewalls connected to an Astaro interface 217.216.215.31/27.

    No DNATs, no fuss, no muss.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hmm whatever worked also stopped working again..

    to understand this correctly, I have external interface ETH0 WAN assigned with a range like 217.116.115.178/28

    Meaning my primary WAN IP is 217.116.115.178 and the rest of the IPs are assigned as additional adresses. And the gateway is on 177

    My new ekstra range i like 62.116.115.130/27 with ID on 128 and gateway on 129.

    I though I would be able to assign this range or a subset of this range on ETH4 and just Proxy Arp to the WAN interface but this does not seem to work. Actually I would like to keep most of the new range on the ETH0 Wan interface and just give the test people a smaller subnet of the range like a /29

    So you are saying that if I ask my ISP to just route the news 62.116.115.28/27 to my primary ETH0 Wan IP I should be able to route these from here to ETH4 ?
    Tried to read up on this both in the wiki and on the forum, but information on Proxy Arp is slim to none..

    Thank you for your help
  • 0 in reply to Vels
    please forget about proxy arp.

    Just ask the Provider to route the new subnet to your Main external ASG IP from the first subnet. 

    Just Setup an interface ethxx with the new subnet (62.116.115.130/27)
    So the ASG has 62.116.115.131 on its interface. The 2 Firewalls behind get 132 and 133. The default gateway is 62.116.115.131.

    Then you just have to setup packet filter. No NAT, no proxy arp.

    Sven
  • 0 in reply to maygyver
    Thanks..

    Actually I got the ISP to change the range from secondary IP range to static route IP range to my primary WAN IP.

    Configured a vacant ETH on the Astaro with a small /29 segment of my new range and enabled proxy arp on the WAN.

    Meaning the Astaro is now gateway on 62.116.115.129 and the testers got 130, 131, 132 , 133 and 134 to play with.

    It works now..

    But... are you saying this can be done without the proxy arp and without wasting from 128 to 135.
  • 0
    But... are you saying this can be done without the proxy arp and without wasting from 128 to 135. 

    As Maygyver says, you should turn Proxy ARP off - I don't know what problems it might cause, but it is unnecessary.  Just change the subnet from /29 to /27.

    Cheers - Bob
  • 0 in reply to BAlfson
    Bob..

    I assigned part of the /27 scope on ETH4 as a /29 because I dont want to use the entire scope for the testers.

    My plan was actually to be able use the rest of the scope as additional adresses on the WAN interface.

    Is there no way to archive this ?

    I did read what Sven wrote, just not sure I can see how it would work at the moment without assigning the entire scope to one NIC.

    I also did test the current setup and I considering that I assigned 62.116.115.129/29 to ETH4 I tried to assign 62.116.115.136/27 to the WAN interface considering this would be the next after the broadcast adress on ETH4 and it also works when pinged from outside.
    I also seems to work without the Proxy Arp :-)
  • 0
    It sounds like you have the best solution for you.

    Sven's suggest is (almost) exactly what you're doing.  You have a good trick on using the .129 address on the DMZ interface - I never thought of that before.  You won't have a reason to use the DG anywhere, so, even though it's in use outside your Astaro, using it internally shouldn't ever be a problem. - Cool!

    Cheers - Bob
    PS Since you only need two internal IPs, you could make that a /30 - I don't think I'd try using .128 though if it's not routed to you.
    PPS Although, if it isn't, I think maybe you could use it as an additional address on the DMZ interface if that had any value.
  • 0
    Hi Bob,

    Well the trick really is that the entire /27 scope is routet towards my main public IP on another public scope.
    This means that before the DG for the new /27 scope would be on the CPE ( providers cisco box at my location ) this address is no longer in use - only the .128 for network ID.

    So I figured by assigning the previous CPE default  gateway to my ETH4 ( not really a DMZ, but lets just call it that ) this NIC will serve as DG for the entire scope since it is known by the astaro and defined as DG for both /27 and /29. 
    I figure the only part that could go wrong is if someone would try to assign one of the IPs from the "DMZ" as additional address to the WAN interface.

    I dont think I can cut it down to a /30 on the ETH4, because .128 is still reserved for network ID, the ETH4 nic will hold the .129 leaving only .130 as usable since broadcast would be reserved on .131
    But maybe I am not thinking clear anymore.. been a long day with bitmasks :-)

    To cut it short, I think by doing what I am doing on the ETH4 with .129 even though inside will act as GW even for the rest of the scope assigned from .136 as additional addresses on the WAN.
    Most likely that would never happen since those would be using DNAT and answer thru a masq. IP on the primary public scope.

    Hope I got it somewhat right.. its a few hours since I got to the point of confusion where you start to draw on a whiteboard and mumbling to your self while the collegues secretly dial for someone to come pick you up and drop you of at the funny farm.