another DMZ - 3 NIC's question

Here is a better description of what I'm trying to do:
http://www.calgroup.com/network.htm
I'm just not quite sure if it is correct.
I have no way of creating a transfer network since I'm with Genuity/Verizon who have the worst customer service

I had a look in your drawing. There is a conflict in subnetmasks between what you write in your message and what you draw. In the drawing you use 255.255.255.192 but you write about 255.255.255.0

Which one is correct?

The basics of your setup should be splitting your IP range into 2 subnet, thus having the router and firewall on one side while all the DMZ servers on the other side. As for routing from one network to the other, all you have to do is enable the ARP Proxy option on the interface and it will take care of the rest.

Yes, there is an IP loss while subnetting your current network, but you pay this price for security.

If you can tell which one is the correct configuration I can help you with numbers.

Maurice

Hello Maurice,
I updated the drawing to reflect the current situation. Essentially I just found out from Verizon that I have the following setup:
Gateway: 4.4.154.1
Range: 4.4.154.2 - 4.4.154.30
Subnet: 255.255.255.224
This means that I only have 30 addresses. According to http://docs.astaro.org/asl-faq.pl#4008 I need to split my network by using a .240 subnetmask instead of the  .224. and the use ARP on the external interface.
Let me know if my numbers are right on the drawing
Thanks a bunch for your help
Regards
Max

I have the exact problem/situation. Public range x.x.47.1/27. I want to put up 4 web servers in the dmz. The #4008 explanation does not make clear what has to be done with subnets. It appears you MUST subnet again in order for example #4008 to work. Is this correct??

So I need to create external nic with ip of x.x.47.2/27 with proxy_arp enabled pointing to gateway/router of x.x.47.1/27. Then make dmz card IP of x.x.47.16/255.255.255.240. 

Then assign my web servers addresses in the new subnet (x.x.47.x/255.255.255.240). All the webservers should have the default gateway set to x.x.47.16??

The external card will send internet users to web servers even though another subnet is in place??

I am fairly new to routing so if these questions sound newbie you know why ;-)

Thanks,
Kevin

quote:

---

Originally posted by jbow29a:
Hello Maurice,
I updated the drawing to reflect the current situation. Essentially I just found out from Verizon that I have the following setup:
Gateway: 4.4.154.1
Range: 4.4.154.2 - 4.4.154.30
Subnet: 255.255.255.224

---

Hi Max,

Somehow the link is not working, but you got it correct. You have to split your network into 2 subnets of 16 IP each. This means that you are going to loose some IPs for security.
So let's have a look on how your network will look once subnetted:

First network: 4.4.154.0/255.255.255.240
IP range: 0-15 (0 is the network and 15 broadcast so you can't use them)

Second network: 4.4.154.16/255.255.255.240
IP range: 16-31 (16 is the network and 31 broadcast).

You can set your network as follows:
Router: 4.4.154.1 / 255.255.255.240
ASL External: 4.4.154.x (where x can be any between 2 to 14)
ASL DMZ: 4.4.154.17
DMZ Servers: 4.4.154.x (where x can be any between 18 to 29)
ASL LAN: Any internal IP network, for example 192.168.0.1

Your LAN clients will use 192.168.0.1 as default gateway.
Your DMZ servers will use 4.4.154.17 as default gateway
Tour ASL external will use 4.4.154.1 as default gateway

Enable the ARP Proxy on the external and on the DMZ NICs on the Astaro and it will take care of the routing tables. This should work for you. This is exactly how my network is set up and it works great!! I never had to reboot a single time since I finished my configurations.

Let me know if you need further help,
Maurice

Thanks,

That totally solved my issue.

Kevin

Hello,
That looks good. The only problem that I have is that I do not have access to the ADSL router to change it's subnet address as well as that my registered NS records point to 4.4.154.2 & 4.4.154.3. Since we would be using the first 16 addresses for the external network I would have to change the registration for my NS's to be in the 16-32 range. Is that correct
Regards
Max

Thanks guys,  I understand this and this is basically the same as what I have.  The building I am in has net access and a router 
  x.x.x.126 subnet .192   So that basically gives us 64 IP's.   I need to make a sub network for security reasons and can't seem to make it work. Some of the configuration settings are confusing me.
the network I am trying to make is from .175 subnet 240

Network:

  Gateway:  (what should this be)
   Domain:  mycompany.com

   eth0:  WAN
        IP:  x.x.x.127
      subnet: x.x.x.??? 

   eth1:  LAN
        IP:  192.168.x.x
       sub:  FF.FF.FF.0

   eth2:  DMZ
        IP:  x.x.x.178
       sub:  255.255.255.248

  I would prefer to have all the IP's in the DMZ  or as many as possible since we only need one for the LAN.  Could I use subnet 240 for the DMZ?

 Problem I am having is that I cannot ping the DMZ for the LAN.  So figure my settings are wrong but I don't know what the problem is.  Any help would be greatly appreciated.

Thanks

Why do you have a switch between the DSL-router and the Firewall? I guess it would be better to use this switch on the LAN   [:S]

quote:

---

Originally posted by jbow29a:
Hello,
That looks good. The only problem that I have is that I do not have access to the ADSL router to change it's subnet address as well as that my registered NS records point to 4.4.154.2 & 4.4.154.3. Since we would be using the first 16 addresses for the external network I would have to change the registration for my NS's to be in the 16-32 range. Is that correct
Regards
Max

---

Max, you will have to contact your ISP and ask them to change the subnet on the router for you. Usually, the best thing to do is let the router know only the existance of the firewall, and let the firewall to the rest of the work. I had the same problem too (no router access) so I left my router on its' original subnet until I set up everything and made sure everything works. I thought I will run into troubles due to the subnet of the router spanning on both subnets but nothing happened and I left it this way since then.
As for the NS, you can leave it this way until you set up everything and make sure your DMZ works fine with mail/web etc. Then you can concentrate on the NS subject. DONT FORGET!!! If you change the IP of your name servers, you will have to log into your registrar web site and update the NS server IPs there as well. This can cause you 1-2 days of no incoming mail until the DNS propagates worldwide. Therefore, before doing this, talk to your ISP and ask them how to add an additional MX record for mail to be on hold on their mail server until everything is updated. This should look in your zone file like this:

mail.yourdomain.com.   IN   MX   100 mail.yourISP.com.

Good luck
Maurice