Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 5927 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Two Firewalls on the same Private Network

^-^Neko
Dear All,

Sorry but I'm quite new to firewalling with Astaro.
I've searched the archive but I couldn't find a
solution to my problem...

The Problem:
+++++++
I have an ADSL and a Cable internet connection. The ADSL firewall is on the private lan as well as the Astaro fw.

Both have a NIC with an address 192.168.1.x to server the
internal Lan. 

The idea was to receive emails on the ADSL line 512/100
 (with Fix IP) ...do some antivirus / antispam checking and forward it out using the cable connection (3000/800)

I think that the problem here is that astaro is set with the
default gateway of the cable connection. So, I guess,  when it gets a connection from an external server (using NAT on the
Zyxel Prestige 652) it tries to reply using its default gateway wich is cable...

The idea was to use two independent firewalls... so if something happens with astaro... I can go out with the Zyxel Router... 

I didn't put the Zyxel on another NIC of the Astaro because I use the VPN with it... and I don't know if I can establish a VPN on the Zyxel and then pass-thru astaro.

I know it sounds a little bit confusing... but maybe somebody has a nice advice...

Thanx!

Neko  


This thread was automatically locked due to age.
Parents
  • 0
    I can see this is going to be a long thread!

    How do you propose to direct the Email out one particular firewall gateway? Are you running an internal mail server??
      
  • 0 in reply to SecApp
    The Idea would be to use only astaro to collect the emails and pass it to an external server in public internet.

    I've set-up the DNS as following:

    MX 10 -> Fix IP of the ADSL Line
    MX 20 -> the Mail Server in Public internet
    (in case my Home Network fails)

    So, for my domain emails is delivered to the fix IP of my
    ADSL router from there should be passed on to the Astaro FW, and from there re-routed outside to the public server (the mx20).

    Another thing is that in Astaro I couldn't find a way to set-up Routing Costs.

    For instance set-up a cost of 1 for the Cable Connection and a Cost of 2 for the ADSL. So that if the Cable connectionf fails, I take the route with the cost number 2... but at least the email is delivered...

    Optionally I could set-up an internal mail server... but the idea is to use astaro...since its purpose is just to filter the smtp traffic...

    Thanx a lot!

    Neko  
  • 0 in reply to ^-^Neko
    Astaro is not really a mail server; so you would have to tell your workstation clients, "hey, when getting the mal use the Astaro as a gateway; everything else use the other gateway." That requires that the clients on your LAN be capable of port routing (I don't think stock Windows clients can do that; are you using Linux clients?)

    Another technique used in some shops is to have a LAN router do the port routing between the two firewalls; then everybody sets their gateway to the LAN router. Have a look at the RebelStream router if you have dough.

    If you set up an internal mail server, you can tell it that its gateway is Astaro (it is ignorant as to the other Internet gateway). Problem solved! (at the cost of another box to maintain; but there is something to be said for having a mail server you can regulate and add server side rules to that always get instantaneously processed! "I am on vacation now, but will be back...; talk to...in my absence...").

    There are other possibilities, but that is a configuration where the two firewalls are not interdependent. Practical experience has shown me that decent firewalls break infrequently, so you might as well simplify things down to one firewall with multiple Internet interfaces; unless the nature of your operations cannot tolerate an interruption on even a rare occasion...
          
Reply
  • 0 in reply to ^-^Neko
    Astaro is not really a mail server; so you would have to tell your workstation clients, "hey, when getting the mal use the Astaro as a gateway; everything else use the other gateway." That requires that the clients on your LAN be capable of port routing (I don't think stock Windows clients can do that; are you using Linux clients?)

    Another technique used in some shops is to have a LAN router do the port routing between the two firewalls; then everybody sets their gateway to the LAN router. Have a look at the RebelStream router if you have dough.

    If you set up an internal mail server, you can tell it that its gateway is Astaro (it is ignorant as to the other Internet gateway). Problem solved! (at the cost of another box to maintain; but there is something to be said for having a mail server you can regulate and add server side rules to that always get instantaneously processed! "I am on vacation now, but will be back...; talk to...in my absence...").

    There are other possibilities, but that is a configuration where the two firewalls are not interdependent. Practical experience has shown me that decent firewalls break infrequently, so you might as well simplify things down to one firewall with multiple Internet interfaces; unless the nature of your operations cannot tolerate an interruption on even a rare occasion...
          
Children
No Data