Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 23 replies
  • Subscribers 2 subscribers
  • Views 7138 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

additional nic for Cisco addition?

chugger93
Hi,

I currently am still running version 8, but would like to introduce a Cisco router in my network. I have an initial idea in drawing form below. I basically wanna have a Cisco lab segmented from my home network. I want the Cisco router behind the astaro. Would I be needing another NIC for this design??

Can anyone recommend a different setup?




This thread was automatically locked due to age.
  • 0 in reply to apijnappels
    Ok, so this is what I'm going to do instead.  I'm gonna use just the Cisco 1841 as a host on the procurve so that the cisco lab hosts can use it as their gateway. The home network won't even use the Cisco router, just the Astaro UTM.

    Cisco Lab Hosts --> Cisco Router --> Procurve switch --> UTM -- Internet

    seem doable?   Did I setup my return routes in Astaro correctly?
  • 0
    Actually I think I have my return routes setup ok now, or at least have a better idea.  It should be gateway route, not interface route.

    My question is, should the gateway (next hop) be my procurve or cisco?  Probably the Cisco right?  I initially had it set to the procurve (10.10.10.2) and I could ping that vlan now, and from the switch ping back.  But realistically I think the next hop is the router, then the switch.  Although now if I change the astaro static route to 10.10.10.1 (GW) I can't ping the cisco, but I think its because there are no routes in the cisco to get back.
  • 0
    Hi, as long as the switch isn't doing any routing, then the gateway for the LAB should be the Cisco.

    The Cisco should then be using the UTM for it's gateway/default route.

    I don't think the Cisco needs any special routes defined.

    The static route on the UTM should specify that the LAB network (10.10.10.0/24 or similar) is reachable via the Cisco's EXT/WAN interface (192.168.1.x)

    Barry
  • 0 in reply to BarryG
    Thanks Barry!!


    I feel like I'm almost there! I just can't get out to the internet, nor ping 192.168.1.1 from my cisco.  My static or return route is in the screenshot below.  

    Cisco 1841 config:
    The Cisco's 0/0 interface is configured for IP 10.10.10.1/24
    and I also put in an ip route statement.

    ip route 0.0.0.0 0.0.0.0 10.10.10.2  (which is the VLAN 2 CISCO lab IP address on the procurve)



    Procurve Config:

    ip default-gateway 192.168.1.1
    vlan 1
       name "LAN"
       untagged 1-30,32-37,39-48
       ip helper-address 192.168.1.1
       ip address 192.168.1.15 255.255.255.0
       no untagged 31,38
       exit
    vlan 2
       name "CISCOLAB"
       untagged 31,38
       ip address 10.10.10.2 255.255.255.0
       exit


    Untagged Ports Definition in vlan 2
    31 is the cisco router 0/0 interface. 38 is just a host (netbook) configured with the IP 10.10.10.100/255.255.255.0, 10.10.10.1 gateway

    Also on another note; I can't ping 192.168.1.1 if I source it from VLAN 2.  So if that's the case, then the Cisco wont be able to hit 192.168.1.1 either.  I wonder if I do in fact NEED IP ROUTING enabled on the switch??
  • 0
    Hi,

    1. The static route on the UTM should specify that the LAB network (10.10.10.0/24 or similar) is reachable via the Cisco's EXT/WAN interface (192.168.1.x)

    e.g. the Cisco router should have 2 interfaces: 
    1. INT on 10.10.10.x (.1 I think)
    2. EXT on 192.168.1.x

    And the route in the UTM should point to #2


    "ip route 0.0.0.0 0.0.0.0 10.10.10.2 (which is the VLAN 2 CISCO lab IP address on the procurve)"

    This seems wrong.

    Barry
  • 0 in reply to BarryG
    Hmm, maybe that's my problem.  I only hooked up one interface from the cisco to the switch and gave it the lab IP scheme 10.10.10.*.  So it sounds like I need both interfaces hooked up.  Maybe that's my issue.  I'll give it a try. Thanks Barry
  • 0 in reply to chugger93
    I DID IT!


    You were right!  I had to connect the 0/0 interface and make it 192.168.1.16/24 for example. Then I hooked it into my switch on vlan1 (192.168.1.0/24)

    Then in Astaro I pointed the return path back to 192.168.1.16 for the 10.10.10.0/24 network.  Then in the cisco I changed the ip route statement to:  0.0.0.0 0.0.0.0 192.168.1.1

    Then in astaro I had to add the cisco networks to the DNS and WEB FILTERING policies as seen below.

    I can now get to the interwebs!  Best of all, from my client on the VLAN 2 CISCO lab, my tracert shows  10.10.10.1 as my first hop, then 192.168.1.1, then comcast.

    YEAH!!  Thanks BARRY! [:D]

    I still think I should change the Cisco's interface to a /30 though... as that's probably best practice
  • 0 in reply to chugger93
    I still think I should change the Cisco's interface to a /30 though... as that's probably best practice


    Hi, 

    The EXT interface on the Cisco needs to match your UTM LAN.

    Glad it's working!

    Barry
  • 0
    Barry, not to beat a dead horse but want to verify something. Someone on another forum mentioned I may have set this up improperly.  The best practice is really to have a point to point connection between the router and firewall.  The way I have it setup is its all part of the same broadcast domain.  

    For example, my home network hosts (192.168.1.0/24) traverse the firewall to reach the Cisco Lab hosts.  Further example is I wasn't able to RDP from 192.168.1.3 to 10.10.10.100 because UTM was blocking it.  That was indication to this person that it wasn't setup right.

    Thoughts?
  • 0
    Hi, 

    If you don't want your LAN hosts to go through the UTM to get to the LAB, then you need to add a route to each LAN host for the LAB network, via the Cisco router.

    Otherwise, add firewall rules on the UTM to allow the traffic and it should work.
    If you have troubles, look at the logs on the UTM.

    Barry