Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 2654 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Public IP Range, proxy arp and more

Vels
Hello,

I got a new challenge. Our test team wants to run their own firewalls - meaning they have two firewalls and want a test network behind each in order to simulate multi site customers.

Now, to make this real I wanted to assign a public IP on each of these firewalls behind the astaro and I just got a new /27 public IP range.

I tried to just add two of these IPs on a vacant ETH on the Astaro and enable proxy arp - but that was a no go.
Now I changed the ETH to actually have a smaller subnet of the range - a /29 meaning I have around 5 public IP's on this interface Proxy Arp to hosts connected to this interface and it works..

However - can I use the rest of the /27 range as additional IPs on my WAN interface without problems or ? I tested it and it seems like I can without the Astaro complaining about it - but ...

Hope someone clever can help my tired head to figure this one out..


This thread was automatically locked due to age.
Parents
  • 0
    It sounds like you have the best solution for you.

    Sven's suggest is (almost) exactly what you're doing.  You have a good trick on using the .129 address on the DMZ interface - I never thought of that before.  You won't have a reason to use the DG anywhere, so, even though it's in use outside your Astaro, using it internally shouldn't ever be a problem. - Cool!

    Cheers - Bob
    PS Since you only need two internal IPs, you could make that a /30 - I don't think I'd try using .128 though if it's not routed to you.
    PPS Although, if it isn't, I think maybe you could use it as an additional address on the DMZ interface if that had any value.
Reply
  • 0
    It sounds like you have the best solution for you.

    Sven's suggest is (almost) exactly what you're doing.  You have a good trick on using the .129 address on the DMZ interface - I never thought of that before.  You won't have a reason to use the DG anywhere, so, even though it's in use outside your Astaro, using it internally shouldn't ever be a problem. - Cool!

    Cheers - Bob
    PS Since you only need two internal IPs, you could make that a /30 - I don't think I'd try using .128 though if it's not routed to you.
    PPS Although, if it isn't, I think maybe you could use it as an additional address on the DMZ interface if that had any value.
Children
No Data