Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 5926 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Two Firewalls on the same Private Network

^-^Neko
Dear All,

Sorry but I'm quite new to firewalling with Astaro.
I've searched the archive but I couldn't find a
solution to my problem...

The Problem:
+++++++
I have an ADSL and a Cable internet connection. The ADSL firewall is on the private lan as well as the Astaro fw.

Both have a NIC with an address 192.168.1.x to server the
internal Lan. 

The idea was to receive emails on the ADSL line 512/100
 (with Fix IP) ...do some antivirus / antispam checking and forward it out using the cable connection (3000/800)

I think that the problem here is that astaro is set with the
default gateway of the cable connection. So, I guess,  when it gets a connection from an external server (using NAT on the
Zyxel Prestige 652) it tries to reply using its default gateway wich is cable...

The idea was to use two independent firewalls... so if something happens with astaro... I can go out with the Zyxel Router... 

I didn't put the Zyxel on another NIC of the Astaro because I use the VPN with it... and I don't know if I can establish a VPN on the Zyxel and then pass-thru astaro.

I know it sounds a little bit confusing... but maybe somebody has a nice advice...

Thanx!

Neko  


This thread was automatically locked due to age.
Parents
  • 0
    For the internal users there would be no problem, because they go out using the cable connection (3Mbit)... and get the server directly from the POP server in Public internet... so that they can use all the features like webmail and so on... 

    If I would put an internal mail server... would be just for routing purposes... but I think that this job can be done by astaro (actually it is doing it this at this moment... but only using the ADSL connection for inbound/outbound)...

    I will check later the gateway you are suggesting [;)]

    ...but from what I understand... routing cost for traffic cannot be set in astaro... right?

    Thanx a lot!

    Neko.

      
  • 0 in reply to ^-^Neko
    Well it can from a script (search for routes.local on this board); but doing all the routing on Astaro contradicts your fault tolerance objective, no? Once you're doing that, you might as well have just the Astaro with two interfaces for the ISPs, routing the appropriate ports out the appropraite interface.

    Now, you could put the Astaro as your first gateway on the client; then the other firewall as the second. Then doing some trick routing, Astaro redirects all it should to the second firewall. If Astaro dies, workstations will fall back to the second firewall. If you want to do that, I hope you're good at routing. [Something like the ImaglStream Rebel Router simplifies that task for you; but maybe it's good you learn? I guess it's ultimately a question of whether you have the time...]
  • 0 in reply to SecApp
    To do some of what you ask you could recieve mail on ASL and push it back to the upstream mail server without much fuss.  A proper ASL license gets you the anti virus.  With a static route you can have ASL send it back out via the other firewall.

    You could also install an internal mail server for very cheap.  Then MX down both lines and you get inbound redundency.

    The fancier cost routing etc isn't in the GUI.  Linux is certainly capable but would need a lot of work to make it GUI friendly and cover all the issues and make everyone happy.

    For myself I have a cable modem and a DSL line but put them both on the one ASL.  Can't do full load balancing and source routing requires some handi work with scripts.  But it covers the bases for me and easily gives me some fault tolerance.  Inside users don't see a problem if one line goes down.  MX is set for both lines so inbound mail always finds a path.  Then I use some key external DNS entries (in addition to internal) with very short timeouts so I can flip things that don't automatically failover.
       
  • 0 in reply to pablito
    Thanx for the answers...

    To keep both my routers on the same network, I've now installed some smtp server to get the mail and forward it to ASL.

    The problem I have now is that before for internal users I just added a rule ALLOW for mail relay for the INTERNAL_NET.

    Now  the problem is that the mail server is in the internal Network, so it relays without checking for spamming. (Score is always 0 out of 5).

    Questions:

    ?) I couldn't find a way to add Network ranges in the Network definition box (I wanted to add a range for DHCP clients), I can either add a whole network or a single Host.


    because of this I cannot tell to allow full relay to the DHCP clients or either force Antispam Check if coming from a predefined host.

    Thank you again!

      
  • 0 in reply to ^-^Neko
    Found a Way to relay!

    1) I set-up the clients with to Default Gateway
    (primary Astaro, secondary ADSL Router and FW)

    2) Configured astaro with default GWY Cable Router GWY

    3) Installed a Port Redirect SW on another box (so that
    the port 25 is redirected to ASL with original IP)

    Doing so, I don't have to maintain two mail servers and
    mail headers don't pile up one on top of each other...

    I admit that it is not a fail proof system because there are
    too many hops...but I will keep it like this until I don't find
    a better way...

    I'm anyway thinking about implementing two separate nics for the two connections... but then I will just have an Internal net
    available with no DMZ...

    As I see from the postings.. to get a power user licence is not that easy [:(]



       
Reply
  • 0 in reply to ^-^Neko
    Found a Way to relay!

    1) I set-up the clients with to Default Gateway
    (primary Astaro, secondary ADSL Router and FW)

    2) Configured astaro with default GWY Cable Router GWY

    3) Installed a Port Redirect SW on another box (so that
    the port 25 is redirected to ASL with original IP)

    Doing so, I don't have to maintain two mail servers and
    mail headers don't pile up one on top of each other...

    I admit that it is not a fail proof system because there are
    too many hops...but I will keep it like this until I don't find
    a better way...

    I'm anyway thinking about implementing two separate nics for the two connections... but then I will just have an Internal net
    available with no DMZ...

    As I see from the postings.. to get a power user licence is not that easy [:(]



       
Children
No Data