Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 5212 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Multiple networks/NIC's help.

Coder68
I am testing this setup to see if my FIOS VOD issues go away. I am hoping that the packets to this NIC will completely "bypass" Astaro and be "wide open" to the Internet. (No firewall rules, no proxy - NOTHING. I do not want and am hoping that this NIC will not be bothered by anything Astaro does, like stop/start the proxy, users browsing the Internet on another NIC, etc. It may be that since there is only one Internet NIC that it will still cause disruptions. I guess it depeneds on when and where the Astaro starts to play with packets. 

If this does  not work I will try bridging. If that does not work, I do not know what I will do as I do not want to have to put the FIOS router in front of the Astaro because it would blind the Astaro to what is going on from the Internet to my network. (School - CEH/SSCP study.)

Here is what I have done.

I have added a dual Intel NIC to my Astaro build, reinstalled the latest version of 7  and restored my backup. Everything is working fine. (I am not ready to go to 8 yet...)

I added a new interface using the standard Ethernet setting, no default gateway (One already defined) and the IP 192.168.1.50 for the interface.


I have bound my Router Definition to the Frontier NIC I tried WAN, with the same result. 



I have made the following settings to my router, with 4.2.2.2 as the DNS server. Not sure what I will use for DNS in the future, this is for testing.


I have made three firewall rules. One lets traffic out from the Actontec router and one lets it back in to the router. The last one allows the router to talk to the IP of my Astaro. 


Problem: I get two packets for DNS.

192.168.0.1 --> 4.2.2.2 not blocked (IP not network)
192.168.0.1 --> Astaro IP blocked with and without third rule.
Pings to local trusted network work! Even with rule 3 off!! Not what I want!

192.168.0.0/24 --> 4.2.2.2 blocked (Entire network)
192.168.0.0/24 --> Astaro IP blocked with and without third rule.
Pings to local trusted network work! Even with rule 3 off!! Not what I want!

How do I get my untrusted 192.168.0.0/24 out to the Internet and back in and not be able to talk to my internal trusted network?

Thank you,

C68


This thread was automatically locked due to age.
  • 0
    I guess we are limited to 4 images per post...
    Blocked image:



    I tried adding a masquerading rule Frontier --> External WAN but that did not help with the rules on and off. 

    I tried to make a NAT rule, but I keep getting an error invalid object, but it does not highlight what is wrong. 

    How do I get my untrusted 192.168.0.0/24 out to the Internet and back in and still not be able to talk to my internal trusted network?

    Thanks,

    C68

    edit:

    It looks like only Ping can traverse the network. (Untrusted to trusted) Traceroute failed and my internal network can no longer get to the router admin page. I have the following settings checked:
    Allow ICMP through firewall
    Ping from Firewall
    Traceroute from Firewall

    FYI
  • 0
    Hi, can you make a network diagram for the new configuration, including the network addresses?

    I'm not sure this is going to help.

    I'd still recommend putting the router outside Astaro and bridging the router, if possible.

    Barry
  • 0 in reply to BarryG
    Yeah, I am thinking the same Barry, but this is what I am trying first. I also want to get this working for my other NIC. So I have to learn how to do this anyway.

    Besides, I looked at bridging, but I could not see how to bridge my Internet NIC to another NIC to use as the input to the fios router. 



    Thank you,

    C68
  • 0
    OK... to answer your question,

    each internal NIC needs a MASQuerading entry setup (to the EXT interface).

    To block the NIC0 network from accessing your other LANs, you can create a rule AT THE TOP of your packetfilter rules:
    Source: NIC0 (network)
    Dest: NIC1 (network)
    service: ANY
    DROP

    and another with NIC2 as the Dest if desired.

    Barry
  • 0
    Also, your firewall rules in the picture should have ANY or Internet as the Dest, not EXT address.

    Barry
  • 0 in reply to BarryG
    Not working for me.

    mask:
    Frontier (network) ---> WAN (External)

    Firewall rule:
    Frontier (network) --> Internal(Trusted)
    Any service
    Drop 

    Still have the firewall dropping all packets. 

    17:20:49  Default DROP UDP 192.168.0.1:1024 → 4.2.2.2:53

    If I ping 4.2.2.2 it is allowed out. 
    Trying to go to a website using its IP does not work.
    What gives? Why won't name resolution and surfing work?
    Do I have to make a second group of allowed to surf firewall rules?

    Thank you!

    C68

    Edit:
    Yup, that was it. I made rule #2 say 
    Frontier --> Internet
    Any
    Allow

    That part is working now. 

    Now to test VOD...

    Thanks for the fast help!
    C68
  • 0 in reply to Coder68
    It fixed 99.9% of the FIOS VOD issue! [:D]
    I wonder what changed that I needed to do this after Frontier took over. Nothing on my end changed...

    I only get the VOD issue now when I am pulling in my max bandwidth for the Internet and I refresh/surf a web page. Even then it is less of a disruption then it was before and not even every time. I attached a speed screen shot of when I do have a slight issues.

    I tested this VOD fix by downloading about 12 files at once from Ubuntu and Microsoft, streaming 2 long Youtube videos, 1 Hulu movie, and 1 CBS tv show. That got me up to 35.x Mbit from the Internet. Then while all that was going on I was playing a VOD which was playing at 3.7 Mbit. Only with all of this playing/downloading would I get a slight disruption while surfing, on occasion. More often then not, but still not completely disruptive like it was before. Surfing was a bit slow... but that was to be expected as I was maxed out in my bandwidth. 

    Once question though. 
    I have the firewall rule to block Fronter from my internal network. I also made a firewall rule to block my internal network from the Frontier network. It only seems logical that I would need this as well.
    The thing is, I am not sure that I need to block my network from their network.  Its not like my network is going to do anything but mess with the Frontier router. If even that. 

    What are your thoughts Barry?

    Thanks again for the fast help!
  • 0
    Hi, blocking your LAN from accessing the Frontier DMZ isn't needed.

    I don't know why this helped... I wonder if somethings wrong with your NICs or other equipment. Might be worth running ifconfig and looking at the error #s.

    Barry
  • 0 in reply to BarryG
    What port's on the FiOS Actiontec Router do I connect to UTM 9 the LAN port's or the WAN Port ?

    Thanks
  • 0
    Hi Bigdaddy, 

    I plugged the WAN port of the ActionTec into my LAN switch (which is plugged into Astaro).

    Also make sure you have the COAX connector from the ActionTec going into your home COAX lines. I had to add a splitter (1GHz rated) so I have:


                           / wall jack
    ActionTec  Splitter |
                           \ TV


    I disabled the WiFi on the ActionTec as well, as I already have another WiFi AP.

    Plug a laptop into the LAN port on the ActionTec and see if you can get online from there; if not then something is wrong with how the ActionTec is hooked up to your LAN.

    Barry