Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 2 subscribers
  • Views 4445 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

another DMZ - 3 NIC's question

jbow29a
Hello,
I went through all the lists and could find a lot of info but I still need some help here (I did look at #4008/9! Solution2).
I have currently the following config:
ADSL Router (4.3.154.1)
DNS Server (4.3.154.2)
Web Server (4.3.154.3)
Web Server (4.3.154.5)
Internal Network (10.0.0.0)
I would like to keep my public addresses on the DMZ!
I tried to configure the NIC's as follows:
Default Gateway - 4.3.154.1 - fw1.domain.com
etho: Internal - 10.0.0.14 - 255.255.255.0
eth1: External - 4.3.154.0 - 255.255.255.0 (proxy ARP)
I was trying to setup 
eth2: DMZ - 4.3.154.14 - 255.255.255.0
but I'm getting the "An interface for the IP range 4.3.154.0/255.255.255.0 already exists! " error message.
What's wrong with the setup?
Any help is greatly appreciated
Regards
Max


This thread was automatically locked due to age.
Parents
  • 0
    Here is a better description of what I'm trying to do:
    http://www.calgroup.com/network.htm
    I'm just not quite sure if it is correct.
    I have no way of creating a transfer network since I'm with Genuity/Verizon who have the worst customer service
  • 0 in reply to jbow29a
    I had a look in your drawing. There is a conflict in subnetmasks between what you write in your message and what you draw. In the drawing you use 255.255.255.192 but you write about 255.255.255.0

    Which one is correct?

    The basics of your setup should be splitting your IP range into 2 subnet, thus having the router and firewall on one side while all the DMZ servers on the other side. As for routing from one network to the other, all you have to do is enable the ARP Proxy option on the interface and it will take care of the rest.

    Yes, there is an IP loss while subnetting your current network, but you pay this price for security.

    If you can tell which one is the correct configuration I can help you with numbers.

    Maurice
  • 0 in reply to jbow29a
    I have the exact problem/situation. Public range x.x.47.1/27. I want to put up 4 web servers in the dmz. The #4008 explanation does not make clear what has to be done with subnets. It appears you MUST subnet again in order for example #4008 to work. Is this correct??

    So I need to create external nic with ip of x.x.47.2/27 with proxy_arp enabled pointing to gateway/router of x.x.47.1/27. Then make dmz card IP of x.x.47.16/255.255.255.240. 

    Then assign my web servers addresses in the new subnet (x.x.47.x/255.255.255.240). All the webservers should have the default gateway set to x.x.47.16??

    The external card will send internet users to web servers even though another subnet is in place??

    I am fairly new to routing so if these questions sound newbie you know why ;-)

    Thanks,
    Kevin
  • 0 in reply to kcox
    quote:
    Originally posted by jbow29a:
    Hello Maurice,
    I updated the drawing to reflect the current situation. Essentially I just found out from Verizon that I have the following setup:
    Gateway: 4.4.154.1
    Range: 4.4.154.2 - 4.4.154.30
    Subnet: 255.255.255.224


    Hi Max,

    Somehow the link is not working, but you got it correct. You have to split your network into 2 subnets of 16 IP each. This means that you are going to loose some IPs for security.
    So let's have a look on how your network will look once subnetted:

    First network: 4.4.154.0/255.255.255.240
    IP range: 0-15 (0 is the network and 15 broadcast so you can't use them)

    Second network: 4.4.154.16/255.255.255.240
    IP range: 16-31 (16 is the network and 31 broadcast).

    You can set your network as follows:
    Router: 4.4.154.1 / 255.255.255.240
    ASL External: 4.4.154.x (where x can be any between 2 to 14)
    ASL DMZ: 4.4.154.17
    DMZ Servers: 4.4.154.x (where x can be any between 18 to 29)
    ASL LAN: Any internal IP network, for example 192.168.0.1

    Your LAN clients will use 192.168.0.1 as default gateway.
    Your DMZ servers will use 4.4.154.17 as default gateway
    Tour ASL external will use 4.4.154.1 as default gateway

    Enable the ARP Proxy on the external and on the DMZ NICs on the Astaro and it will take care of the routing tables. This should work for you. This is exactly how my network is set up and it works great!! I never had to reboot a single time since I finished my configurations.

    Let me know if you need further help,
    Maurice
  • 0 in reply to Maurice
    Thanks,

    That totally solved my issue.

    Kevin
  • 0 in reply to kcox
    Hello,
    That looks good. The only problem that I have is that I do not have access to the ADSL router to change it's subnet address as well as that my registered NS records point to 4.4.154.2 & 4.4.154.3. Since we would be using the first 16 addresses for the external network I would have to change the registration for my NS's to be in the 16-32 range. Is that correct
    Regards
    Max
  • 0 in reply to jbow29a
    Thanks guys,  I understand this and this is basically the same as what I have.  The building I am in has net access and a router 
      x.x.x.126 subnet .192   So that basically gives us 64 IP's.   I need to make a sub network for security reasons and can't seem to make it work. Some of the configuration settings are confusing me.
    the network I am trying to make is from .175 subnet 240

    Network:

      Gateway:  (what should this be)
       Domain:  mycompany.com

       eth0:  WAN
            IP:  x.x.x.127
          subnet: x.x.x.??? 

       eth1:  LAN
            IP:  192.168.x.x
           sub:  FF.FF.FF.0

       eth2:  DMZ
            IP:  x.x.x.178
           sub:  255.255.255.248

      I would prefer to have all the IP's in the DMZ  or as many as possible since we only need one for the LAN.  Could I use subnet 240 for the DMZ?

     Problem I am having is that I cannot ping the DMZ for the LAN.  So figure my settings are wrong but I don't know what the problem is.  Any help would be greatly appreciated.

    Thanks
  • 0 in reply to Jon
    Why do you have a switch between the DSL-router and the Firewall? I guess it would be better to use this switch on the LAN   [:S]
  • 0 in reply to Rick_01
    quote:
    Originally posted by jbow29a:
    Hello,
    That looks good. The only problem that I have is that I do not have access to the ADSL router to change it's subnet address as well as that my registered NS records point to 4.4.154.2 & 4.4.154.3. Since we would be using the first 16 addresses for the external network I would have to change the registration for my NS's to be in the 16-32 range. Is that correct
    Regards
    Max

    Max, you will have to contact your ISP and ask them to change the subnet on the router for you. Usually, the best thing to do is let the router know only the existance of the firewall, and let the firewall to the rest of the work. I had the same problem too (no router access) so I left my router on its' original subnet until I set up everything and made sure everything works. I thought I will run into troubles due to the subnet of the router spanning on both subnets but nothing happened and I left it this way since then.
    As for the NS, you can leave it this way until you set up everything and make sure your DMZ works fine with mail/web etc. Then you can concentrate on the NS subject. DONT FORGET!!! If you change the IP of your name servers, you will have to log into your registrar web site and update the NS server IPs there as well. This can cause you 1-2 days of no incoming mail until the DNS propagates worldwide. Therefore, before doing this, talk to your ISP and ask them how to add an additional MX record for mail to be on hold on their mail server until everything is updated. This should look in your zone file like this:

    mail.yourdomain.com.   IN   MX   100 mail.yourISP.com.

    Good luck
    Maurice
  • 0 in reply to Maurice
    quote:
    Originally posted by Jon:
    Thanks guys,  I understand this and this is basically the same as what I have.  The building I am in has net access and a router 
      x.x.x.126 subnet .192   So that basically gives us 64 IP's.   I need to make a sub network for security reasons and can't seem to make it work. Some of the configuration settings are confusing me.
    the network I am trying to make is from .175 subnet 240

    Hi Jon,
    Note that IPs in subnets are always in multiplication by 2, so if you have 64 IP network you cannot have one segment with 4 IPs and another with 60 IPs (2*2=4*2=8*2=16*2=32*2=64).
    Also, your numbers do not make sense. x.x.x.126 is not a network within subnetmask .192
    If your subnet is 192 (64 IPs) your network should one of the following:
    x.x.x.0
    x.x.x.64
    x.x.x.128
    x.x.x.192

    Let me know which is your correct network and I will guide you with the subnetting process. It will help much if you post the real IPs. x.x.x's are very confusing.

    Regards
    Maurice
  • 0 in reply to Maurice
    Maurice,
       Thanks Let me try to explain it better.  The building we are in has one network (block of 64 IP's).  We are actually 3 companies using the same router.  So from the ISP router we have

       x.x.x.126  subnet 255.255.255.192 as the "buildings" block of IP's.  Mind you we do not control this router.  Ok so that also gives us a gateway of .127  subnet .192 since .126 and .191 are the network and broadcast addresses.


      From this block I need to take 16 IP's and make a different network for our own stuff. so we are not sharing actually on the same network as the rest of the building.   So since I am getting 16 of those IP's my subnet will be .240 right?
    That .240 subnet breaks me down to having 16 but now I also want to have as many as I can in a DMZ while the rest of us just use a single IP.  So in the network configuration how should it be?

       I forget which eth card is what off the top of my head so I will write descriptive by the original items.  
       Gateway:  (Which gate way is this?)
        Domain:   My domain.com

        eth0:  WAN  x.x.x.176
          sub: ???

        eth1:  LAN  192.168.x.x
          sub: FF.FF.FF.0

        eth2:  DMZ  x.x.x.???
          sub:  ???

    Do I also need to make static routes from the WAN to the DMZ for each IP?  Or aliases?  

       Sorry just trying to learn.  Thought I understood but when put it into practice you find out how quickly you don't really know.  Concept ok,  practical much more confusing.

    Thanks,
    JOn
  • 0 in reply to Jon
    Hello Maurice,
    I just talked to Verizon and since we are only a ADSL customer we cannot subnet our addresses (especially an issue with our ADSL gateway/router/modem). Since this is the case I will be forced to use a private 192.168.0.0 address for our DMZ and another private  10.0.0.0 address for out internal network and have only our gateway use the 4.4.154.1 address and the external NIC of ASL use 4.4.154.8 (those are our assigned IP addresses with a subnet mask of 255.255.255.224). Since my DNS server will now sit on the DMZ with a private IP how can I port forward all DNS/HTTP requests from the outside as well as from the inside to it?
    Your input is greatly appreciated
    Thanks
    Max
Reply
  • 0 in reply to Jon
    Hello Maurice,
    I just talked to Verizon and since we are only a ADSL customer we cannot subnet our addresses (especially an issue with our ADSL gateway/router/modem). Since this is the case I will be forced to use a private 192.168.0.0 address for our DMZ and another private  10.0.0.0 address for out internal network and have only our gateway use the 4.4.154.1 address and the external NIC of ASL use 4.4.154.8 (those are our assigned IP addresses with a subnet mask of 255.255.255.224). Since my DNS server will now sit on the DMZ with a private IP how can I port forward all DNS/HTTP requests from the outside as well as from the inside to it?
    Your input is greatly appreciated
    Thanks
    Max
Children
Unfiltered HTML