Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 3146 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

routing through asl box

nolow9
I have set up asl on a home network.  I am using only 2 nics.  Internal network is 192.168.0.0 /24
The external network I used the default which is 192.168.2.0/24.  The internal network can see the asl eth0 which is 192.168.0.254/24.  Once I try to ping outside that network I get destination unreachable.  I am just trying to ping eth1 which has an address of 192.168.2.1/24 and I am using it for the default gateway.  Eht1 is hooked up to a switch that also has a 2501 router hooked into it by its ethernet interface. I havn't defined anything other than the networks which I have called Network 0 192.168.0.0 /24 and Network 1 which is 192.168.2.0 /24.  If I'm just starting out with a brand new config and I just want to route traffic through the asl is this all I have to do, appearantly not and I know it's operator error.  What else do I need to do to get traffic to route through the asl box.  I figure that once I can do that, then I can start applying filters, access lists etc which is all the cool stuff that I want to play with.


This thread was automatically locked due to age.
  • 0
    hi,

    add a filter rule, cause by default no traffic is allowed to pass through the asl-box. allowing ping-icmp-traffic to your external network / router should fix the problem:
    [internal]--[ping]--[external]--[allow]

    bye,
    michael

    [ 09 February 2002: Message edited by: Michael Ziegler ]

  • 0 in reply to Michael Ziegler
    I added the filter rules and I still can't ping the external nic from my computer.  These are the network definitions that I have set up.

    Network 0 192.168.0.0 255.255.255.0  edit del 
    Network 1 192.168.2.0 255.255.255.0  edit del 
    Any 0.0.0.0 0.0.0.0  static 
    localhost 127.0.0.1 255.255.255.255  static 
    Private Network 10.0.0.0 10.0.0.0 255.0.0.0  static 
    PrivateNetwork 172.16.0.0 172.16.0.0 255.240.0.0  static 
    PrivateNetwork192.168.0.0 192.168.0.0 255.255.0.0 

    I set up these packet filter rules

    Network 0 { ping } Network 1 Allow 
    Network 1 { ping } Network 0 Allow 

    This is the routing table that I have

    Kernel IP routing table
    Destination     Gateway         Genmask         
    192.168.2.0     0.0.0.0         255.255.255.0 eth1
    192.168.0.0     0.0.0.0         255.255.255.0 eth0
    0.0.0.0         192.168.2.1     0.0.0.0   eth1

    I can ping the nic from the asl box but that's about it.  I can't ping past the other side of that nic on the asl box though. I can ping the internal network from the asl box after I enable ICMP on the firewall.  wacky
  • 0 in reply to nolow9
    hi,

    hmmm... seems to be a routing problem. you say your asl's external interface has 192.168.2.1 and your default gateway is the same. you should enter the ip of your router as your default gateway.

    now addressing your problem:
    the device that you try to ping doesn't know where to route the icmp answer packets, because it has no route for 192.168.0.0/24. to solve this problem you can add a route on this devices (route 192.168.0.0/24 via 192.168.2.1) or activate masquerading on the asl-box (internal -> external).

    bye,
    michael

    [ 10 February 2002: Message edited by: Michael Ziegler ]

  • 0 in reply to Michael Ziegler
    Thanks for the replys.  I know that it's somthing that I am doing wrong but it is totally frustrating at this point.  I totally reinstalled the firewall and started out fresh.  I used the ip address of the router as the default gateway right from the gate. So the configuration that I have now is as follows.
    e0 ASL         is 192.168.0.254 /24
    e1 ASL         is 192.168.2.253 /24
    e0 2501 Router is 192.168.2.254 /24
    dfault gateway is 192.168.2.254 /24

    Those are the static ip's of the ethernet interfaces.

    Network definitions are as follows
    Name IP address Subnet mask 
    e0 192.168.0.254 255.255.255.255
    e1 192.168.2.253 255.255.255.255 
    external 192.168.2.0 255.255.255.0 
    internal 192.168.0.0 255.255.255.0
    Any 0.0.0.0 0.0.0.0   
    localhost 127.0.0.1 255.255.255.255 
    Private Network 10.0.0.0 10.0.0.0 255.0.0.0 
    Private Network 172.16.0.0 172.16.0.0 255.240.0.0
    Private Network192.168.0.0192.168.0.0255.255.0.0  

    I even created a definition for the individual interfaces as you can see above at e0 and e1. I tried it both ways, with those two definitions and without but I couldn't add a route by using the drop down box unless I added those interfaces as their own definitions, and as I understand, I need to route the packets from the internal interface 
    192.168.0.254 --> 192.168.2.253.  So when I go to routing on the webmen interface I should use the second drop down which specifies static ip routes and that will have the interfaces that I want to use and bring up that interface and then enter in the ip address of the interface that I want to route traffic to. So if I don't add a definition for the individual interface then I can't do a static route from the internal interface to the external interface.  The only thing that I get is a blank drop down for both drop downs if I don't add the individual interfaces in the network definitions.  I have a question here.  If you just define two networks do you get two drop downs on your routing screen, so in essence you could hit the drop down for internal if you were using my config for eg. and then enter the ip address of the external interface?
    I got real basic with the packet filtering and allowed any to any as is illustrated
    No.  From  Service To  Action
     1   Any     Any   Any Allow 

    But I even set it up as before with just the ping and so it was still no good.  I still can not route anything through the asl box.  Asl can still ping both interfaces and ping the internal network but that is all.  I know that it is some little thing that I am doing wrong but I can't see it.  Any help would be appreciated.
  • 0 in reply to nolow9
    hi,

    you do not need any routing settings on your asl box, while all addressed networks are _directly_ reachable by the firewall (so in your case).

    the settings i described in my posting above seem to work perfectly at my site.

    bye,
    michael
  • 0 in reply to Michael Ziegler
    I'm having the same exact problem as described above.  I can ping my internal network, and my eth1 interface, but can not ping my default gateway which is available via eth1.

    I also added/enabled a rule: any/any/any/allow as well as enabled ICMP.

    I also have Masquerading from Internal -> External.

    ifconfig shows both that interfaces are up and receiving packets.

    I first had this problem with ver 2.016 and reinstalled with 3.020 and still have the same problem.

    Any help would be appreciated here, I can't wait to start evaluating this great product.

    Thanks,

    Joe

    [ 11 February 2002: Message edited by: jespo ]

  • 0 in reply to jespo
    got things to go on the asl box.  What I did was actually added e0 on the asl as a definition and pointed that to the external at e1 on the asl box using the interface routing area in routing.  After I did that it went and now I can see the 192.168.0.0 network from the other side of 192.168.2.0 network. So this is what everything looks like.
    DEFINITIONS:

    external 192.168.2.0 255.255.255.0
    external.warbler.ave 192.168.2.254 255.255.255.255  
    inner 192.168.0.254 255.255.255.255  
    internal 192.168.0.0 255.255.255.0  
    outer 192.168.2.253 255.255.255.255  
    Any 0.0.0.0 0.0.0.0  
    localhost 127.0.0.1 255.255.255.255  
    Private Network 10.0.0.0 10.0.0.0 255.0.0.0  
    Private Network 172.16.0.0 172.16.0.0 255.240.0.0 
    Private Network 192.168.0.0 192.168.0.0255.255.0.0

    this is what's in the interface route area
    inner->extern

    Kernel IP routing table
    Destination     Gateway         Genmask         
    192.168.0.254   0.0.0.0     255.255.255.255  eth1
    192.168.2.0     0.0.0.0     255.255.255.0   eth1
    192.168.0.0     0.0.0.0     255.255.255.0   eth0
    0.0.0.0       192.168.2.254   0.0.0.0       eth1

    So there it is there.  Thanks for all the replys and it's now off to more puzzles to put together.
Unfiltered HTML