Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 2654 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Public IP Range, proxy arp and more

Vels
Hello,

I got a new challenge. Our test team wants to run their own firewalls - meaning they have two firewalls and want a test network behind each in order to simulate multi site customers.

Now, to make this real I wanted to assign a public IP on each of these firewalls behind the astaro and I just got a new /27 public IP range.

I tried to just add two of these IPs on a vacant ETH on the Astaro and enable proxy arp - but that was a no go.
Now I changed the ETH to actually have a smaller subnet of the range - a /29 meaning I have around 5 public IP's on this interface Proxy Arp to hosts connected to this interface and it works..

However - can I use the rest of the /27 range as additional IPs on my WAN interface without problems or ? I tested it and it seems like I can without the Astaro complaining about it - but ...

Hope someone clever can help my tired head to figure this one out..


This thread was automatically locked due to age.
Parents
  • 0
    But... are you saying this can be done without the proxy arp and without wasting from 128 to 135. 

    As Maygyver says, you should turn Proxy ARP off - I don't know what problems it might cause, but it is unnecessary.  Just change the subnet from /29 to /27.

    Cheers - Bob
  • 0 in reply to BAlfson
    Bob..

    I assigned part of the /27 scope on ETH4 as a /29 because I dont want to use the entire scope for the testers.

    My plan was actually to be able use the rest of the scope as additional adresses on the WAN interface.

    Is there no way to archive this ?

    I did read what Sven wrote, just not sure I can see how it would work at the moment without assigning the entire scope to one NIC.

    I also did test the current setup and I considering that I assigned 62.116.115.129/29 to ETH4 I tried to assign 62.116.115.136/27 to the WAN interface considering this would be the next after the broadcast adress on ETH4 and it also works when pinged from outside.
    I also seems to work without the Proxy Arp :-)
Reply
  • 0 in reply to BAlfson
    Bob..

    I assigned part of the /27 scope on ETH4 as a /29 because I dont want to use the entire scope for the testers.

    My plan was actually to be able use the rest of the scope as additional adresses on the WAN interface.

    Is there no way to archive this ?

    I did read what Sven wrote, just not sure I can see how it would work at the moment without assigning the entire scope to one NIC.

    I also did test the current setup and I considering that I assigned 62.116.115.129/29 to ETH4 I tried to assign 62.116.115.136/27 to the WAN interface considering this would be the next after the broadcast adress on ETH4 and it also works when pinged from outside.
    I also seems to work without the Proxy Arp :-)
Children
No Data