Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 1230 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Astaro at colocation

tommcc2
Hi,

I want to purchase astaro, I use version 2 at home but I want to purchase v4 for a colocation where I have webservers behind another firewall that is not working correctly.  My question is how to set up version 4 to use the same setup as my current firewall, which is in transparent mode.

All of my machines inside the firewall have public IP addresses on them and I do not want to change to NAT.

Thanks.
  


This thread was automatically locked due to age.
Parents
  • 0
    Just enable proxyarp

    greetz
    Claus  
  • 0 in reply to ClausP
    To run ASL this way isn't really fun. Astaro Security Linux is not designed
    to act as a bridge. It isn't done by just enabling ProxyARP. You need to get rid 
    of the spoofprotection (can only be done with a console hack) and in addition 
    you'd need interface routes to your servers which have public IP addresses of a 
    network which is assigned to the external interface of ASL as well (most significant
    mask matches) - it would work but the better easier and of course supported way 
    would be a redesign of the topology maybe considering  NAT if possible as Andy
    suggested.

    read you
    o|iver    
  • 0 in reply to oliver.desch
    Yes, proxyarp is not fun.  Works but is a pain and is the last resort.  Since you are likely paying a good amount for colocation I would think they could give you a proper route.

    Ask for an IP for ASL and a static route for the inside IPs pointing at your ASL IP.  You might have to change the internal IPs but maybe not.

    Now you have proper routing and full control of firewalling.  And a lot more tricks once it is running.  Bang for the buck.
      
  • 0 in reply to pablito
    Thanks for the info, it is knida to bad that astaro doesn't support this I want to replace a netscreen and a soicwall but now I will have to do more research into what needs to be done from the colocation side.

    If I do decide just to go with Dnat and internal IP's within is there any issues with multiple IP addresses on the external interface in terms of arp or anything else? 
Reply
  • 0 in reply to pablito
    Thanks for the info, it is knida to bad that astaro doesn't support this I want to replace a netscreen and a soicwall but now I will have to do more research into what needs to be done from the colocation side.

    If I do decide just to go with Dnat and internal IP's within is there any issues with multiple IP addresses on the external interface in terms of arp or anything else? 
Children
  • 0 in reply to tommcc2
    The first route I'd take is to ask the ISP for a "transfer net" and static route to ASL for the public IPs.  This is the best solution and limits any changes to the backend servers.  The transfer net can be a private IP so shouldn't cost anything.  Ever traceroute through a cable modem network?  Private IPs galore.

    Second best is to load the public IPs on ASL and NAT bounce the services to the inside net servers.  You'll have to change IPs on the servers but is a one time deal.  No real issues with this and you can load a lot of IPs on Linux.  Can be tedious initially if you have lots of services and IPs.

    Last resort is proxy ARP and you don't need the ISP for help but will have to use one of the public IPs they gave you.