Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 1831 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DHCP for aliased network

JVL
Hi,

Simple setup:
External interface, public IP
Private (WLAN) net, with one ip as alias in External interface.
WLAN-box connected to the External interface via a hub in
ADSL-box, that routes public traffic to ISP.

The idea is to have WLAN-clients to get their IPs from DHCP,
from private spool, and route all traffic from the clients via the
firewall. Further allow only VPN traffic from WLAN-net.

To work, the firewall has to be the DHCP which sets the
Gateway option to firewall's  WLAN_IP.

But the webadmin refuses to set up private spool of addresses
for DHCP listening the External interface.

My bad design or limitation of webadmin?

Yours,

Jukka Lehtonen
 


This thread was automatically locked due to age.
Parents
  • 0
    If your External interface uses a DHCP client address, you won't be able to run ASL's built in DHCP server against that interface.

    I have three Ethernet interfaces in my ASL v4 box, DMZ, Internal & External. My Wi-Fi 802.11b access point is on the DMZ net, and I use PPTP to get a connection in through to my Internal network.

    Would that approach work for you?
      
  • 0 in reply to VelvetFog
    The External interface has a static public IP.

    The WiFi is a separate 3Com HomeConnect box, IMHO nuisance.
    If I would use it in the normal way, its NAT/fw would make VPN
    unnecessary difficult. So I would like to treat it as a "hub".
    Thus the need for DHCP from the one machine in the "hub" that can
    act as a gateway, the ASL machine.

    Technically, the WiFi and the ASL are connected to hub that's in the
    ADSL box. Thus, traffic from WiFi-client will arrive to ASL via wire
    from ADSL box, with private subnet, and the ASL will NAT and route
    the packet to Inet via the same wire.

    I do not trust the WiFi clients, so they must use roadwarrior VPN to
    reach anywhere.

    Since the ASL cannot DHCP private subnet, that is on alias IP,
    what if the interface has that private IP as primary?
    Then the static public IP would have to be an alias.
    Outbound traffic would have to SNAT with the public IP.
    Default gateway would have to be behind alias.

    Would that work?

    JVL 
  • 0 in reply to JVL
    [ QUOTE ]
    The External interface has a static public IP.

    [/ QUOTE ] Further down you say that the ASL box is connected to the hub (switch) in an ADSL router. Would that not put it on a private address?


    [ QUOTE ]
    The WiFi is a separate 3Com HomeConnect box, IMHO nuisance.
    If I would use it in the normal way, its NAT/fw would make VPN
    unnecessary difficult.

    [/ QUOTE ] I have the WAN side of my SMC Wi-Fi router connected to my DMZ network. It does not cause any problems for the PPTP connections that I run through it. A PPTP VPN can traverse any number of daisychained NATs on the client end without problems.


    [ QUOTE ]
    So I would like to treat it as a "hub".
    Thus the need for DHCP from the one machine in the "hub" that can act as a gateway, the ASL machine.

    [/ QUOTE ] ASL v4 can act as a DHCP server for one network only. I would suggest that you don't try to use it as a DHCP server for the network your External interface is connected to. DHCP services for that network should come from upstream, from your ADSL router or your ISP.


    [ QUOTE ]
    Technically, the WiFi and the ASL are connected to hub that's in the ADSL box. Thus, traffic from WiFi-client will arrive to ASL via wire from ADSL box, with private subnet, and the ASL will NAT and route the packet to Inet via the same wire.

    [/ QUOTE ] How can the Wi-Fi box be on a private subnet, if it is connected to the same hub as the ASL External interface, which you have stated as having a public IP address?


    [ QUOTE ]
    I do not trust the WiFi clients, so they must use roadwarrior VPN to reach anywhere.

    [/ QUOTE ] Same here. I use 128 bit encrypted PPTP inside of 128 bit encrypted WEP. Then I run the encrypted Microsoft remote desktop client inside the PPTP tunnel. That gives me triple encryption.


    [ QUOTE ]
    Since the ASL cannot DHCP private subnet, that is on alias IP, what if the interface has that private IP as primary?
    Then the static public IP would have to be an alias.
    Outbound traffic would have to SNAT with the public IP.
    Default gateway would have to be behind alias. 

    [/ QUOTE ]I think you need to simplify your thinking here. I don't see the need for either the alias IP or the DHCP server, for the connection that you are trying to achive.    
  • 0 in reply to VelvetFog
    > Further down you say that the ASL box is connected to the hub (switch)
    > in an ADSL router. Would that not put it on a private address?

    Depends on the ISP, i.e. money. The ADSL router is owned by the ISP
    and does whatever it does. I could not find a manual for it. Already an EOL
    product. It has 4 RJ-45 ports. Most likely a hub, not switch. I assume
    that only outbound packets actually leave through the DSL-cable.
    And I don't think that the ADSL does any NAT.

    ISP has given us one public static IP of form x.y.z.w+1 /30
    and stated that gateway/router is x.y.z.w+2 /30.
    The router even has a DNS name, our IP does not.


    > I have the WAN side of my SMC Wi-Fi router connected to my DMZ network.

    We used to have WLAN WAN-side connected, but personally I don't do
    PPTP. Linux does IPSec. The WLAN has firewall and NAT, so it kills
    most of IPSec, unless natted.
     Furthermore, traffic from WLAN client uses the subnet and
    gw given to the WLAN client. If WiFi-box has no IP in that subnet, it is harder
    for WLAN client to break into that box. Thus, WiFi-box should not be the gw.



    >  How can the Wi-Fi box be on a private subnet, if it is connected to the same hub as the ASL External interface, which you have stated as having a public IP address?

    Lets give ASL interface (MAC1) two IPs: AI and AW, which are in
    different subnets INET and WLAN. Add a hub and two other devices,
    one in INET, with IP: RI, and other in WLAN / hW. hW has AW as gateway.

    Now hW desires to connect www.astaro.org. hW asks ARP who has "AW"?
    ASL asnwers: it is I "MAC1". Then hW sends packet with src hW, dst AW.
    Private subnet traffic, ignored by RI. ASL sees that the packet aint for
    it, so route forward (to nexthop, i.e. RI). Again, ARP who has "RI", gets
    MAC and sends the packet onward, but now SNATed.
    Packet src AI, dst RI, real target www.astaro.org goes to wire and is
    ignored by machines in the WLAN. RI passes the packet on, and the
    answer is later passed to AI. Now ASL does deSNAT and passes the
    answer, from www.astaro.org to hW.
    This was explained to me and it seems logical. Requires, that the
    ADSL does not send broadcasts outward.

    As for why put WLAN outside, if you have DMZ?
    Assume someone actually breaks into the wireless. Sniffs enough
    to see through our "separate subnets in the same wire".
    DMZ has servers partially protected from the INET. WLAN in
    that DMZ would place the intruder next to the servers.
    Outside WLAN has only access to the INET and the firewall.
    Thus, the firewall remains between the intruder and the data.


    >  I use 128 bit encrypted PPTP inside of 128 bit encrypted WEP. Then I
    > run the encrypted Microsoft remote desktop client inside the PPTP
    > tunnel. That gives me triple encryption.

    Some claim that is only single encryption. Think about a deck of cards.
    Suffle it and it is suffled. Suffle again and it is still suffled. No matter
    how much you suffle, you won't achieve much more.
    Decryption is statistics. About finding a suffle that returns the original
    order.

    You are right about the complicated thinking. Some prefer the "don't think,
    buy more hardware". Achieves the same thing. Add one more DMZ (NIC)
    for the WLAN. ASL V4 licenses did have something about 3 NICs...

    DHCP can easily serve different subnets in separate interfaces.
    V4 webadmin may be more limited. Well jump to production
    quality V5 ASAP. Actually I haven't tested it yet, but it better have
    improved webadmin.

    JVL
     
  • 0 in reply to JVL
    [ QUOTE ]
    Lets give ASL interface (MAC1) two IPs: AI and AW, which are in different subnets INET and WLAN. Add a hub and two other devices, one in INET, with IP: RI, and other in WLAN / hW. hW has AW as gateway.

    [/ QUOTE ] The IP protocol specifications require that a a wire has a single, unambiguous net number. While there is nothing wrong with having several IP addresses bound to the same Ethernet card, all these addresses should be inside the same subnet range.

    [ QUOTE ]
    Some claim that is only single encryption. Think about a deck of cards. Suffle it and it is suffled. Suffle again and it is still suffled. No matter how much you suffle, you won't achieve much more. Decryption is statistics. About finding a suffle that returns the original order.

    [/ QUOTE ] Cards I shuffle. For a suffle I would use eggs.  [:)]

    If you don't believe, or understand, that multiple encryptions are substantially more secure than single encryption, I take it you would then not be a big fan of 3DES (triple DES), which is simply 56-bit DES encryption applied three consequtive times. DES encryption is no longer considered secure, due to its short key length, but 3DES is still considered highly secure. I think your card shuffle analogy represents a deeply flawed understanding of how encryption actually works.

    [ QUOTE ]
    As for why put WLAN outside, if you have DMZ?
    Assume someone actually breaks into the wireless. Sniffs enough
    to see through our "separate subnets in the same wire".

    [/ QUOTE ] Your separate subnets on the same wire is not a sound and proper way of doing network design. Stay within the specs. One wire, one net number, one broadcast address. Keep it simple. Don't violate the IP protocol specs just because the equipment makes it technically possible for you to do so.       
Reply
  • 0 in reply to JVL
    [ QUOTE ]
    Lets give ASL interface (MAC1) two IPs: AI and AW, which are in different subnets INET and WLAN. Add a hub and two other devices, one in INET, with IP: RI, and other in WLAN / hW. hW has AW as gateway.

    [/ QUOTE ] The IP protocol specifications require that a a wire has a single, unambiguous net number. While there is nothing wrong with having several IP addresses bound to the same Ethernet card, all these addresses should be inside the same subnet range.

    [ QUOTE ]
    Some claim that is only single encryption. Think about a deck of cards. Suffle it and it is suffled. Suffle again and it is still suffled. No matter how much you suffle, you won't achieve much more. Decryption is statistics. About finding a suffle that returns the original order.

    [/ QUOTE ] Cards I shuffle. For a suffle I would use eggs.  [:)]

    If you don't believe, or understand, that multiple encryptions are substantially more secure than single encryption, I take it you would then not be a big fan of 3DES (triple DES), which is simply 56-bit DES encryption applied three consequtive times. DES encryption is no longer considered secure, due to its short key length, but 3DES is still considered highly secure. I think your card shuffle analogy represents a deeply flawed understanding of how encryption actually works.

    [ QUOTE ]
    As for why put WLAN outside, if you have DMZ?
    Assume someone actually breaks into the wireless. Sniffs enough
    to see through our "separate subnets in the same wire".

    [/ QUOTE ] Your separate subnets on the same wire is not a sound and proper way of doing network design. Stay within the specs. One wire, one net number, one broadcast address. Keep it simple. Don't violate the IP protocol specs just because the equipment makes it technically possible for you to do so.       
Children