Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 2654 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Public IP Range, proxy arp and more

Vels
Hello,

I got a new challenge. Our test team wants to run their own firewalls - meaning they have two firewalls and want a test network behind each in order to simulate multi site customers.

Now, to make this real I wanted to assign a public IP on each of these firewalls behind the astaro and I just got a new /27 public IP range.

I tried to just add two of these IPs on a vacant ETH on the Astaro and enable proxy arp - but that was a no go.
Now I changed the ETH to actually have a smaller subnet of the range - a /29 meaning I have around 5 public IP's on this interface Proxy Arp to hosts connected to this interface and it works..

However - can I use the rest of the /27 range as additional IPs on my WAN interface without problems or ? I tested it and it seems like I can without the Astaro complaining about it - but ...

Hope someone clever can help my tired head to figure this one out..


This thread was automatically locked due to age.
Parents
  • 0
    If you have an available interface (or use VLANs) on the Astaro, why not create a DMZ with public IPs for the two new firewalls?

    Say you have 217.216.215.0/27 and "External (Address)" is 217.116.115.178; ask your ISP to route 217.216.215.0/27 via 217.116.115.178 and put public IPs on the Firewalls connected to an Astaro interface 217.216.215.31/27.

    No DNATs, no fuss, no muss.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hmm whatever worked also stopped working again..

    to understand this correctly, I have external interface ETH0 WAN assigned with a range like 217.116.115.178/28

    Meaning my primary WAN IP is 217.116.115.178 and the rest of the IPs are assigned as additional adresses. And the gateway is on 177

    My new ekstra range i like 62.116.115.130/27 with ID on 128 and gateway on 129.

    I though I would be able to assign this range or a subset of this range on ETH4 and just Proxy Arp to the WAN interface but this does not seem to work. Actually I would like to keep most of the new range on the ETH0 Wan interface and just give the test people a smaller subnet of the range like a /29

    So you are saying that if I ask my ISP to just route the news 62.116.115.28/27 to my primary ETH0 Wan IP I should be able to route these from here to ETH4 ?
    Tried to read up on this both in the wiki and on the forum, but information on Proxy Arp is slim to none..

    Thank you for your help
Reply
  • 0 in reply to BAlfson
    Hmm whatever worked also stopped working again..

    to understand this correctly, I have external interface ETH0 WAN assigned with a range like 217.116.115.178/28

    Meaning my primary WAN IP is 217.116.115.178 and the rest of the IPs are assigned as additional adresses. And the gateway is on 177

    My new ekstra range i like 62.116.115.130/27 with ID on 128 and gateway on 129.

    I though I would be able to assign this range or a subset of this range on ETH4 and just Proxy Arp to the WAN interface but this does not seem to work. Actually I would like to keep most of the new range on the ETH0 Wan interface and just give the test people a smaller subnet of the range like a /29

    So you are saying that if I ask my ISP to just route the news 62.116.115.28/27 to my primary ETH0 Wan IP I should be able to route these from here to ETH4 ?
    Tried to read up on this both in the wiki and on the forum, but information on Proxy Arp is slim to none..

    Thank you for your help
Children
  • 0 in reply to Vels
    please forget about proxy arp.

    Just ask the Provider to route the new subnet to your Main external ASG IP from the first subnet. 

    Just Setup an interface ethxx with the new subnet (62.116.115.130/27)
    So the ASG has 62.116.115.131 on its interface. The 2 Firewalls behind get 132 and 133. The default gateway is 62.116.115.131.

    Then you just have to setup packet filter. No NAT, no proxy arp.

    Sven
  • 0 in reply to maygyver
    Thanks..

    Actually I got the ISP to change the range from secondary IP range to static route IP range to my primary WAN IP.

    Configured a vacant ETH on the Astaro with a small /29 segment of my new range and enabled proxy arp on the WAN.

    Meaning the Astaro is now gateway on 62.116.115.129 and the testers got 130, 131, 132 , 133 and 134 to play with.

    It works now..

    But... are you saying this can be done without the proxy arp and without wasting from 128 to 135.