Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 3263 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

MASQ issues with Multiple Subnetworks behind ASL 3.203

Chris Lynch
Ok,

I know that there have been a few posts regarding "Help, how do I MASQ my workstations behind the FW?"  But I cannot get my additional networks MASQ'd outbound for the Internet.

This is the configuration of the FW:

ETH0 (PUBLIC) - x.x.x.140 SM 255.255.255.192 GW x.x.x.129
ETH1 (DMZ) - 172.16.11.1 SM 255.255.255.0
ETH2 (PRIVATE) - 172.16.10.2 SM 255.255.255.0

Now, I have a Cisco 2621 connected to ETH2 that connects two other seperate 192.168.0.0 networks.  They are:

192.168.150.0/24
192.168.160.0/24

Both of these networks can see each other, and the router has the correct routes.  I have statically entered in the routes back to these networks on the ASL FW.  I can access the WebAdmin page remotely from 192.168.150.1.  The only thing I cannot get working are internet bound services.

I just want to get HTTP access to start.  I have added a MASQ entry to MASQ the following to ETH2 interface:

PRIVATE_INTERFACE
PRIVATE_NETWORK_192.168.0.0
PRIVATE_NETWORK_172.16.0.0
PRIVATE_NETWORK_10.0.0.0

I have also tried to remove all but the PRIVATE_NETWORK, and a Network Group called LA_CORP (which is defined with the 192.168.150.0/24 network address).

I then added filters in that allowed DNS and HTTP through.  I see in the LiveFilterLog that the Public Interface is wanting to resolve DNS names to DNS Root servers, but the packets are getting dropped.

What the hell is going on?  I have just moved from IPCop 0.1.1 to ASL, and I like the web interface more than IPCop, but so far I cannot get this working.

Any ideas?

Thanks,

Chris


This thread was automatically locked due to age.
Parents
  • 0
    Anyone?  I have got DNAT working, I just need to know how to properly add the Packet Filters when using MASQ.

    Thanks.
  • 0 in reply to Chris Lynch
    Chris,

    define your the networks attached to the cisco.
    Goto Network/NAT Masquerading, select masquerading,
    select the first network and masquerade it to eth1,
    select the second one and do the same!
    For testing purposes you can add a packet filter
    like "network192_168_150_0 ANY ANY ALLOW", the same
    filter for the second network!

    read you
    o|iver
  • 0 in reply to oliver.desch
    Why would I MASQ the network (192.168.150.0) to ETH1?  This interface is the DMZ.  

    Yes, I would like to MASQ the DMZ and both 192.168 networks so they can get Internet access.
  • 0 in reply to Chris Lynch
    sorry, of course I meant the public interface eth0!

    o|iver
  • 0 in reply to oliver.desch
    So, would I have to do this for EVERY network, or just the Source networks I want to MASQ?  ALso, when I build the Packet Filters, do I specify the Source Network/Host or the ETH0 Interace's IP address?

    Also, does anyone know how to change the name for the ETH0 Interface without deleting it?  I have the other interfaces named what I want them to be, except ETH0.

    Thanks for your help.
  • 0 in reply to Chris Lynch
    Chris Lynch,

    sorry for the delay ;-)

      
     So, would I have to do this for EVERY network, or just the Source networks I want to MASQ? ALso, when I build the Packet Filters, do I specify the Source Network/Host or the ETH0 Interace's IP address?
    Those networks behind your firewall which need 
    direct access to the internet, otherwise I'd make
    them using the proxies.

    You need packet filter for each masqueraded network,
    always using the pre masqueraded addresses.

     
      
    Also, does anyone know how to change the name for the ETH0 Interface without deleting it? I have the other interfaces named what I want them to be, except ETH0.
    This is a know issue that once configured interfaces
    cannot be changed in WebAdmin.
    The related config file is /etc/wfe/conf/itf.conf.

    read you
    o|iver
  • 0 in reply to oliver.desch
    Hi Chris,

    I had a similiar problem, I defined a network group for masquerading, and put the mask ,odule for one network and the group, but only for the discrete network it works. Solution: Put all the networks you want to mask in this entry, and delete the group from there. In all other places, you can use the groups, but not here ... (bug or feature?)

    mfg

    dieter
  • 0 in reply to Dr. Dieter K. Fricke
    "I had a similiar problem, I defined a network group for masquerading, and put the mask ,odule for one network and the group, but only for the discrete network it works. Solution: Put all the networks you want to mask in this entry, and delete the group from there. In all other places, you can use the groups, but not here ... (bug or feature?)"

    I don't exactly get what you mean?  Can you further explain?

    Also, this what I have setup:

    (LA NETWORK) -> (CISCO 2621) ->  (ASTARO FW)

    The LA Network's IP range is:  192.168.150.0/24
    The Cisco 2621 has multiple interfaces, and FA0/0 is 192.168.150.254/24 for the LA Network (which is the default gateway).  FA0/1 is 172.16.10.2/24, and ETH0 of the ASTARO FW is 172.16.10.1/24.

    Now, I have the following already setup in the Astaro Admin page:

    NETWORK NAME        IP ADDRESS
    ----------------------------------
    LA_OFFICE          192.168.150.0/255.255.255.0

    INTERFACES NAME     IP ADDRESS
    ----------------------------------
    PUBLIC             x.x.x.140

    NAT RULE NAME:  LA_OFFICE_MASQ_TO_INTERNET
    NAT PARAMETER:  LA_OFFICE -> ALL/ALL
    NAT SRC TRANSLATION:  MASQ_PUBLIC
    NAT DST TRANSLATION:  NONE

    My packet filter is as follows:

    FROM       SERVICE     TO      ACTION
    ----------------------------------------------
    LA_OFFICE   ANY        ANY      ALLOW

    I do have other packet filters, but none match the source of the network I want to have access.  Also, if I want to specify "the Internet", do I just leave ANY in the DEST field, or is there something else I can put in?  Hope that makes sense.

    Thanks.
  • 0 in reply to Chris Lynch
    Hi Chris,

    my system is defined as follows:
    astaro-etho(intern) 170.25.1.254, eth1(extern) 170.20.1.253
    cisco (to big government net) 170.20.1.254, lets through only packets with 170.20.1.x/24, all
    others will be dropped.
    I defined the following networks:
    intern1 170.25.0.0/19 (255.255.224.0)
    intern2 170.25.32.0/19
    intern3 170.25.96.0/19
    these 3 networks will be enabeld to use the internet gateway. I defined a group 'internet' with
    the members intern1, intern2 and intern3.
    Then I put the following rules in the 'network->masquerading' topic:
    internet -> extern
    intern1 -> extern
    The effect was, that intern1 was able to connect to teh web, but not intern2 and intern3. These two nets wasn't masqued! Then I deleted the group 'internet' from the list and placed intern2 and intern3 separately in 'masquerading'. In other cases (allow access in 'rules') you can place both groups and interfaces at the same topic, but not in masquerading.
    This is the problem i found out (and solved it for me).

    mfg

    dieter
  • 0 in reply to Dr. Dieter K. Fricke
    Thanks for your reply.  I'll check into that.  But, my case is a little different than yours.  I have a Cisco router on both sides of the FW (EXT and INT interfaces).  The internal networks are connected to the Cisco 2621, then to the firewall via the router.
Reply
  • 0 in reply to Dr. Dieter K. Fricke
    Thanks for your reply.  I'll check into that.  But, my case is a little different than yours.  I have a Cisco router on both sides of the FW (EXT and INT interfaces).  The internal networks are connected to the Cisco 2621, then to the firewall via the router.
Children
No Data