setting up first dmz

To set up a DMZ (or screened subnet), you need an extra ethernet card.

Once thats in, and astaro recognises it, you can set the IP address and subnet mask, making sure you choose something different from your main LAN (My main lan is 192.168.2.x, and my screened subnet is 192.168.3.x)

You then want to add a  NAT rule for the DMZ, mapping your DMZ network to the external address of your firewall.

You then need to add rules in the packet filter if you want to allow traffic from the DMZ to the internet without using the VPN. If you want to be cautious, you can set a rules that don't allow access to anything otehr than pptp from the DMZ. 

You didn't say if you wanted IPSEC or pptp VPN, but if you want pptp (easy for windows clients), then you just enable pptp, set the network it uses to pptp pool, and make some more packet filter rules to allow traffic into your LAN

I went into network interfaces added the interface. I gave it a ip address of 192.168.15.x subnet mask of 255.255.255.0 and a gateway of 192.168.15.0. I than went into masqerading and named the interface dmz. I than selected masqerading  choose dmz_network. I than selected what interface I wanted this to take place on. After I did that I went back to network>>interfaces and brought it up. Well the problem is my internet access on my regylar lan came to a crawl. If I go bacl delete the masqerading rule than take the dmz interface down everything go back to normal. Do you know what the problem may be?

You havnt been giving the office over the road free internet have you?

Assuming its not that, you shouldn't have to name the interface DMZ in the NAT section. 

All that should happen in the NAT section is two MASQ rules for your internal and DMZ networks.

Have you checked that the fireall can handle the VPN load?

Have the QOS settings been altered?

If this fails, please post a screenshot of your NAT and interface sections.

Your DMZ interface should have no gateway entry, just IP and Netmask, just the way you configured your LAN interface, but with a different network address, so delete the gateway address entry by choosing EDIT right to the interface, dont forget to SAVE after editing

Cheers

____________
ASL 5.001 Home PII450 160MB 8GB Vmware

Here's my interface settings:

http://www.alexpimperton.co.uk/pictures/interface.JPG

And NAT settings:

http://www.alexpimperton.co.uk/pictures/nat.JPG

After I removed the default gateway on the dmz everything returned to normal. This may sound stupid but why does'nt the dmz require a default gateway. As far as vpn I will be using ipsec this is for a wireless lan. So I wanted to go with a robust vpn solution. We have the sential client that we will be putting on workstations. As far as hardware this is for work so we are using a dell poweredge 750 p4 2.8 mhz 512 megs of ram and a 36gig 10000 rpn scsi. Also I would like to know whats the best way to tie the access point to the astaro box  is it ok if I just connect the ap directly into the dmz interface with a cat5. Or should I use a switch speaking of switches I've always heard that dmz systems should be on there on separte switch.

One box, one default gateway, so your DMZ receives the same as your LAN side does, though you can redirect DMZ-to-LAN traffic through routes and rules, the DMZ users though should still configure to use the default gateway on the remote host, the routing determines the right way nevertheless.

For you cabling issue, i would say, as long as you only use on AC, switch it right on the ASL box, well configured of course, if you have more than one, and dont connect them together on their own, but cable, then you'll need probably a switch, and they would be different DMZs for ASL, so Ifaces = costs, better to do this roaming with the ACs possibilities.

Yes I only have one access point so I'm going to run that  right into the dmz interface of the astaro box. Also you are saying that there on;y one gateway for both dmz and lan clients. So if I have a lan client set up to use 192.168.20.0 as there gateway the dmz clients will also be setup to use 192.168.20.0 as there gateway. I just want to make sure I have a clear understanding before I start client configurations. Also are you saying that if I have multiple access points I would have so set up a dmz for each access point.

Well, for the x.x.x.0 .. this is generally a network address, so never sth. you configure, but what routing concerns, no available addressing possible, so to make clear, the DMS Iface gets the first address of your subnet, in your case 192.168.20.1, the client side starts with x.x.x.2 until .254 with a netmask of 255.255.255.0 and a default gateway of ... yes, 192.168.20.1, as this will be next hop for them, what your ASL box does with them is your work to configure on the ASL with network routes to the LAN packet filter access to LAN and external, and a masquerading NAT rule for the external, this you do with each AC you connect, but i know there are solutions that can somehow be uplinked, so interconnect umong them, only one connects to ASL in the end.

Frankly speaking, you should get more knowhow about this stuff, before you connect a company on a WLAN and Inet, its not that easy, next to consider is AC security to the client cards ...

Good luck,

[ QUOTE ]
I went into network interfaces added the interface. I gave it a ip address of 192.168.15.x subnet mask of 255.255.255.0 and a gateway of 192.168.15.0.

[/ QUOTE ]If network 192.168.15.0 is your new DMZ subnet, then you ought use an address of 192.168.15.1 for your DMZ interface, with a netmask of 255.255.255.0 and with no entry for default gateway. Neither your DMZ interface or your Internal network interface should have any entry for default gateway, since these interfaces ARE the default gateways for their respective subnets.

[ QUOTE ]
I than went into masqerading and named the interface dmz. I than selected masqerading  choose dmz_network. I than selected what interface I wanted this to take place on. After I did that I went back to network>>interfaces and brought it up. Well the problem is my internet access on my regylar lan came to a crawl. If I go bacl delete the masqerading rule than take the dmz interface down everything go back to normal. Do you know what the problem may be? 

[/ QUOTE ] Your NAT rule for masquerading the DMZ network against the outside world will be very similar to the masquerade rule you already have in place for your Internal network. The only difference is that it specifies the DMZ network instead of the Internal network

I've connected the ap to the dmz interface. I gave the ap a ip address in the dmz subnet of course, but I would like to ask about the default gateway of the ap. Will it's default gateway be the astaro box. Also how can connect to the ap after its plugged into the dmz. I tried to connect to it but I was not successful. My workstation is in the 192.168.1 subnet while the dmz is 192.168.15. I went the advanced tab of my computers network card properties and added a 192.168.15.8 ip address. I thought that this would let me connect to the ap in the dmz and it did not.

I've connected the ap to the dmz interface. I gave the ap a ip address in the dmz subnet of course, but I would like to ask about the default gateway of the ap. Will it's default gateway be the astaro box. Also how can connect to the ap after its plugged into the dmz. I tried to connect to it but I was not successful. My workstation is in the 192.168.1 subnet while the dmz is 192.168.15. I went the advanced tab of my computers network card properties and added a 192.168.15.8 ip address. I thought that this would let me connect to the ap in the dmz and it did not.

The default gateway on the AP, will be the address of the DMZ interface.

To connect to it you need to add packet filters to allow traffic from your internal LAN to your DMZ, but you should be careful about doing this as it is a security risk.

If possible, define the IP of your AP in astaro, and then just add a packet filter rule allowing traffic from your internal network to the AP.

Also, remove the Ip address you added to your computer as it won't work. Astaro should automatically route traffic destined for the DMZ correctly.

Is your wireless access point a real access point, or a Wi-Fi router?
If it is a true access point, the IP subnet used over the radio link remains the same.
If you are using a Wi-Fi router, you generally connect its WAN side to your DMZ subnet, and use theNAT and  DHCP server built into the unit to provide a separate set of IP addresses for the wireless connections.

The default gateway configuration issue is always very simple. On any multihomed device with more than one Ethernet interface, you configure a default gateway only on the WAN side. You always need the default gateway pointer in a routing table to point upstream to the next device in the chain that connects you to the Internet.

How do you guys access servers or devices in your dmz? I know you can physically walk over to the servers ,but what if you are away from the office and need to access one. Do you remote in with a vpn connection. I was able to access the ap but I hated the fact that I had to always put my workstation in the same subnet as the dmz in order to work on the ap. Is there some way I can have multiple ips on my network card. I know I can go into advanced and add another IP address but when I tried it I could not access the ap.

I initially had the same problem accessing my SMC Wi-Fi router. I could only manage it from my wireless laptop, or from a PC connected to my DMZ network, but not from a PC on my Internal network.

Since I already had a secondary IP address bound to my Internal interface, I simply created a NAT rule in ASL that made port 8080 (SMC routers present Webadmin on port 8080 on their WAN side) on the Wi-Fi access point, cross map to port 80 on the secondary Internal interface IP address.

Problem solved. Now I can browse my SMC Wi-Fi router as if it was located on my internal network.

ASL should automatically route traffic destined from your LAN to your DMZ as long as there are packet filters to allow it.

I currently have my DMZ as 192.168.3.x, and my internal lan as 192.168.2.x, and packet filter rules that allow traffic from my internal network to the dmz network. 

If i want to admin my AP, i just enter the IP, and Astaro autoamtically routes the traffic through the DMZ interface.

If for some reason this fails to work, you could just add a static route for your DMZ subnet to astaro, which is probably a lot easier than using DNAT, and also gives you access to the whole of the DMZ.

I would like to know about packet filter rules. I want to block everything from the dmz interface to the internal network. After clients establish a pptp vpn I will allow such services from the pptp pool such as  http and smtp etc. What do you guys think is this the right approach.