Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 2652 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Public IP Range, proxy arp and more

Vels
Hello,

I got a new challenge. Our test team wants to run their own firewalls - meaning they have two firewalls and want a test network behind each in order to simulate multi site customers.

Now, to make this real I wanted to assign a public IP on each of these firewalls behind the astaro and I just got a new /27 public IP range.

I tried to just add two of these IPs on a vacant ETH on the Astaro and enable proxy arp - but that was a no go.
Now I changed the ETH to actually have a smaller subnet of the range - a /29 meaning I have around 5 public IP's on this interface Proxy Arp to hosts connected to this interface and it works..

However - can I use the rest of the /27 range as additional IPs on my WAN interface without problems or ? I tested it and it seems like I can without the Astaro complaining about it - but ...

Hope someone clever can help my tired head to figure this one out..


This thread was automatically locked due to age.
Parents
  • 0
    Hi Bob,

    Well the trick really is that the entire /27 scope is routet towards my main public IP on another public scope.
    This means that before the DG for the new /27 scope would be on the CPE ( providers cisco box at my location ) this address is no longer in use - only the .128 for network ID.

    So I figured by assigning the previous CPE default  gateway to my ETH4 ( not really a DMZ, but lets just call it that ) this NIC will serve as DG for the entire scope since it is known by the astaro and defined as DG for both /27 and /29. 
    I figure the only part that could go wrong is if someone would try to assign one of the IPs from the "DMZ" as additional address to the WAN interface.

    I dont think I can cut it down to a /30 on the ETH4, because .128 is still reserved for network ID, the ETH4 nic will hold the .129 leaving only .130 as usable since broadcast would be reserved on .131
    But maybe I am not thinking clear anymore.. been a long day with bitmasks :-)

    To cut it short, I think by doing what I am doing on the ETH4 with .129 even though inside will act as GW even for the rest of the scope assigned from .136 as additional addresses on the WAN.
    Most likely that would never happen since those would be using DNAT and answer thru a masq. IP on the primary public scope.

    Hope I got it somewhat right.. its a few hours since I got to the point of confusion where you start to draw on a whiteboard and mumbling to your self while the collegues secretly dial for someone to come pick you up and drop you of at the funny farm.
Reply
  • 0
    Hi Bob,

    Well the trick really is that the entire /27 scope is routet towards my main public IP on another public scope.
    This means that before the DG for the new /27 scope would be on the CPE ( providers cisco box at my location ) this address is no longer in use - only the .128 for network ID.

    So I figured by assigning the previous CPE default  gateway to my ETH4 ( not really a DMZ, but lets just call it that ) this NIC will serve as DG for the entire scope since it is known by the astaro and defined as DG for both /27 and /29. 
    I figure the only part that could go wrong is if someone would try to assign one of the IPs from the "DMZ" as additional address to the WAN interface.

    I dont think I can cut it down to a /30 on the ETH4, because .128 is still reserved for network ID, the ETH4 nic will hold the .129 leaving only .130 as usable since broadcast would be reserved on .131
    But maybe I am not thinking clear anymore.. been a long day with bitmasks :-)

    To cut it short, I think by doing what I am doing on the ETH4 with .129 even though inside will act as GW even for the rest of the scope assigned from .136 as additional addresses on the WAN.
    Most likely that would never happen since those would be using DNAT and answer thru a masq. IP on the primary public scope.

    Hope I got it somewhat right.. its a few hours since I got to the point of confusion where you start to draw on a whiteboard and mumbling to your self while the collegues secretly dial for someone to come pick you up and drop you of at the funny farm.
Children
No Data