Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 5925 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Two Firewalls on the same Private Network

^-^Neko
Dear All,

Sorry but I'm quite new to firewalling with Astaro.
I've searched the archive but I couldn't find a
solution to my problem...

The Problem:
+++++++
I have an ADSL and a Cable internet connection. The ADSL firewall is on the private lan as well as the Astaro fw.

Both have a NIC with an address 192.168.1.x to server the
internal Lan. 

The idea was to receive emails on the ADSL line 512/100
 (with Fix IP) ...do some antivirus / antispam checking and forward it out using the cable connection (3000/800)

I think that the problem here is that astaro is set with the
default gateway of the cable connection. So, I guess,  when it gets a connection from an external server (using NAT on the
Zyxel Prestige 652) it tries to reply using its default gateway wich is cable...

The idea was to use two independent firewalls... so if something happens with astaro... I can go out with the Zyxel Router... 

I didn't put the Zyxel on another NIC of the Astaro because I use the VPN with it... and I don't know if I can establish a VPN on the Zyxel and then pass-thru astaro.

I know it sounds a little bit confusing... but maybe somebody has a nice advice...

Thanx!

Neko  


This thread was automatically locked due to age.
  • 0
    I can see this is going to be a long thread!

    How do you propose to direct the Email out one particular firewall gateway? Are you running an internal mail server??
      
  • 0 in reply to SecApp
    The Idea would be to use only astaro to collect the emails and pass it to an external server in public internet.

    I've set-up the DNS as following:

    MX 10 -> Fix IP of the ADSL Line
    MX 20 -> the Mail Server in Public internet
    (in case my Home Network fails)

    So, for my domain emails is delivered to the fix IP of my
    ADSL router from there should be passed on to the Astaro FW, and from there re-routed outside to the public server (the mx20).

    Another thing is that in Astaro I couldn't find a way to set-up Routing Costs.

    For instance set-up a cost of 1 for the Cable Connection and a Cost of 2 for the ADSL. So that if the Cable connectionf fails, I take the route with the cost number 2... but at least the email is delivered...

    Optionally I could set-up an internal mail server... but the idea is to use astaro...since its purpose is just to filter the smtp traffic...

    Thanx a lot!

    Neko  
  • 0 in reply to ^-^Neko
    Astaro is not really a mail server; so you would have to tell your workstation clients, "hey, when getting the mal use the Astaro as a gateway; everything else use the other gateway." That requires that the clients on your LAN be capable of port routing (I don't think stock Windows clients can do that; are you using Linux clients?)

    Another technique used in some shops is to have a LAN router do the port routing between the two firewalls; then everybody sets their gateway to the LAN router. Have a look at the RebelStream router if you have dough.

    If you set up an internal mail server, you can tell it that its gateway is Astaro (it is ignorant as to the other Internet gateway). Problem solved! (at the cost of another box to maintain; but there is something to be said for having a mail server you can regulate and add server side rules to that always get instantaneously processed! "I am on vacation now, but will be back...; talk to...in my absence...").

    There are other possibilities, but that is a configuration where the two firewalls are not interdependent. Practical experience has shown me that decent firewalls break infrequently, so you might as well simplify things down to one firewall with multiple Internet interfaces; unless the nature of your operations cannot tolerate an interruption on even a rare occasion...
          
  • 0
    For the internal users there would be no problem, because they go out using the cable connection (3Mbit)... and get the server directly from the POP server in Public internet... so that they can use all the features like webmail and so on... 

    If I would put an internal mail server... would be just for routing purposes... but I think that this job can be done by astaro (actually it is doing it this at this moment... but only using the ADSL connection for inbound/outbound)...

    I will check later the gateway you are suggesting [;)]

    ...but from what I understand... routing cost for traffic cannot be set in astaro... right?

    Thanx a lot!

    Neko.

      
  • 0 in reply to ^-^Neko
    Well it can from a script (search for routes.local on this board); but doing all the routing on Astaro contradicts your fault tolerance objective, no? Once you're doing that, you might as well have just the Astaro with two interfaces for the ISPs, routing the appropriate ports out the appropraite interface.

    Now, you could put the Astaro as your first gateway on the client; then the other firewall as the second. Then doing some trick routing, Astaro redirects all it should to the second firewall. If Astaro dies, workstations will fall back to the second firewall. If you want to do that, I hope you're good at routing. [Something like the ImaglStream Rebel Router simplifies that task for you; but maybe it's good you learn? I guess it's ultimately a question of whether you have the time...]
  • 0 in reply to SecApp
    To do some of what you ask you could recieve mail on ASL and push it back to the upstream mail server without much fuss.  A proper ASL license gets you the anti virus.  With a static route you can have ASL send it back out via the other firewall.

    You could also install an internal mail server for very cheap.  Then MX down both lines and you get inbound redundency.

    The fancier cost routing etc isn't in the GUI.  Linux is certainly capable but would need a lot of work to make it GUI friendly and cover all the issues and make everyone happy.

    For myself I have a cable modem and a DSL line but put them both on the one ASL.  Can't do full load balancing and source routing requires some handi work with scripts.  But it covers the bases for me and easily gives me some fault tolerance.  Inside users don't see a problem if one line goes down.  MX is set for both lines so inbound mail always finds a path.  Then I use some key external DNS entries (in addition to internal) with very short timeouts so I can flip things that don't automatically failover.
       
  • 0 in reply to pablito
    Thanx for the answers...

    To keep both my routers on the same network, I've now installed some smtp server to get the mail and forward it to ASL.

    The problem I have now is that before for internal users I just added a rule ALLOW for mail relay for the INTERNAL_NET.

    Now  the problem is that the mail server is in the internal Network, so it relays without checking for spamming. (Score is always 0 out of 5).

    Questions:

    ?) I couldn't find a way to add Network ranges in the Network definition box (I wanted to add a range for DHCP clients), I can either add a whole network or a single Host.


    because of this I cannot tell to allow full relay to the DHCP clients or either force Antispam Check if coming from a predefined host.

    Thank you again!

      
  • 0 in reply to ^-^Neko
    Found a Way to relay!

    1) I set-up the clients with to Default Gateway
    (primary Astaro, secondary ADSL Router and FW)

    2) Configured astaro with default GWY Cable Router GWY

    3) Installed a Port Redirect SW on another box (so that
    the port 25 is redirected to ASL with original IP)

    Doing so, I don't have to maintain two mail servers and
    mail headers don't pile up one on top of each other...

    I admit that it is not a fail proof system because there are
    too many hops...but I will keep it like this until I don't find
    a better way...

    I'm anyway thinking about implementing two separate nics for the two connections... but then I will just have an Internal net
    available with no DMZ...

    As I see from the postings.. to get a power user licence is not that easy [:(]