Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 2 subscribers
  • Views 47082 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

setting up first dmz

amp10000
I'm setting up my first dmz for a wireless network. How exactly do I create a dmz in astaro. Also can I perform nat on the dnz segment. I would like to have that set up so that wireless users have to vpn back into the lan.


This thread was automatically locked due to age.
Parents
  • 0
    To set up a DMZ (or screened subnet), you need an extra ethernet card.

    Once thats in, and astaro recognises it, you can set the IP address and subnet mask, making sure you choose something different from your main LAN (My main lan is 192.168.2.x, and my screened subnet is 192.168.3.x)

    You then want to add a  NAT rule for the DMZ, mapping your DMZ network to the external address of your firewall.

    You then need to add rules in the packet filter if you want to allow traffic from the DMZ to the internet without using the VPN. If you want to be cautious, you can set a rules that don't allow access to anything otehr than pptp from the DMZ. 

    You didn't say if you wanted IPSEC or pptp VPN, but if you want pptp (easy for windows clients), then you just enable pptp, set the network it uses to pptp pool, and make some more packet filter rules to allow traffic into your LAN
  • 0 in reply to Manctastic
    I went into network interfaces added the interface. I gave it a ip address of 192.168.15.x subnet mask of 255.255.255.0 and a gateway of 192.168.15.0. I than went into masqerading and named the interface dmz. I than selected masqerading  choose dmz_network. I than selected what interface I wanted this to take place on. After I did that I went back to network>>interfaces and brought it up. Well the problem is my internet access on my regylar lan came to a crawl. If I go bacl delete the masqerading rule than take the dmz interface down everything go back to normal. Do you know what the problem may be?
  • 0 in reply to amp10000
    You havnt been giving the office over the road free internet have you?

    Assuming its not that, you shouldn't have to name the interface DMZ in the NAT section. 

    All that should happen in the NAT section is two MASQ rules for your internal and DMZ networks.

    Have you checked that the fireall can handle the VPN load?

    Have the QOS settings been altered?

    If this fails, please post a screenshot of your NAT and interface sections.
  • 0 in reply to amp10000
    Your DMZ interface should have no gateway entry, just IP and Netmask, just the way you configured your LAN interface, but with a different network address, so delete the gateway address entry by choosing EDIT right to the interface, dont forget to SAVE after editing

    Cheers

    ____________
    ASL 5.001 Home PII450 160MB 8GB Vmware
  • 0 in reply to Manctastic
    After I removed the default gateway on the dmz everything returned to normal. This may sound stupid but why does'nt the dmz require a default gateway. As far as vpn I will be using ipsec this is for a wireless lan. So I wanted to go with a robust vpn solution. We have the sential client that we will be putting on workstations. As far as hardware this is for work so we are using a dell poweredge 750 p4 2.8 mhz 512 megs of ram and a 36gig 10000 rpn scsi. Also I would like to know whats the best way to tie the access point to the astaro box  is it ok if I just connect the ap directly into the dmz interface with a cat5. Or should I use a switch speaking of switches I've always heard that dmz systems should be on there on separte switch.
  • 0 in reply to amp10000
    One box, one default gateway, so your DMZ receives the same as your LAN side does, though you can redirect DMZ-to-LAN traffic through routes and rules, the DMZ users though should still configure to use the default gateway on the remote host, the routing determines the right way nevertheless.

    For you cabling issue, i would say, as long as you only use on AC, switch it right on the ASL box, well configured of course, if you have more than one, and dont connect them together on their own, but cable, then you'll need probably a switch, and they would be different DMZs for ASL, so Ifaces = costs, better to do this roaming with the ACs possibilities.
  • 0 in reply to Boom
    Yes I only have one access point so I'm going to run that  right into the dmz interface of the astaro box. Also you are saying that there on;y one gateway for both dmz and lan clients. So if I have a lan client set up to use 192.168.20.0 as there gateway the dmz clients will also be setup to use 192.168.20.0 as there gateway. I just want to make sure I have a clear understanding before I start client configurations. Also are you saying that if I have multiple access points I would have so set up a dmz for each access point.
  • 0 in reply to amp10000
    Well, for the x.x.x.0 .. this is generally a network address, so never sth. you configure, but what routing concerns, no available addressing possible, so to make clear, the DMS Iface gets the first address of your subnet, in your case 192.168.20.1, the client side starts with x.x.x.2 until .254 with a netmask of 255.255.255.0 and a default gateway of ... yes, 192.168.20.1, as this will be next hop for them, what your ASL box does with them is your work to configure on the ASL with network routes to the LAN packet filter access to LAN and external, and a masquerading NAT rule for the external, this you do with each AC you connect, but i know there are solutions that can somehow be uplinked, so interconnect umong them, only one connects to ASL in the end.

    Frankly speaking, you should get more knowhow about this stuff, before you connect a company on a WLAN and Inet, its not that easy, next to consider is AC security to the client cards ...

    Good luck,
  • 0 in reply to amp10000
    [ QUOTE ]
    I went into network interfaces added the interface. I gave it a ip address of 192.168.15.x subnet mask of 255.255.255.0 and a gateway of 192.168.15.0.

    [/ QUOTE ]If network 192.168.15.0 is your new DMZ subnet, then you ought use an address of 192.168.15.1 for your DMZ interface, with a netmask of 255.255.255.0 and with no entry for default gateway. Neither your DMZ interface or your Internal network interface should have any entry for default gateway, since these interfaces ARE the default gateways for their respective subnets.

    [ QUOTE ]
    I than went into masqerading and named the interface dmz. I than selected masqerading  choose dmz_network. I than selected what interface I wanted this to take place on. After I did that I went back to network>>interfaces and brought it up. Well the problem is my internet access on my regylar lan came to a crawl. If I go bacl delete the masqerading rule than take the dmz interface down everything go back to normal. Do you know what the problem may be? 

    [/ QUOTE ] Your NAT rule for masquerading the DMZ network against the outside world will be very similar to the masquerade rule you already have in place for your Internal network. The only difference is that it specifies the DMZ network instead of the Internal network
  • 0 in reply to VelvetFog
    I've connected the ap to the dmz interface. I gave the ap a ip address in the dmz subnet of course, but I would like to ask about the default gateway of the ap. Will it's default gateway be the astaro box. Also how can connect to the ap after its plugged into the dmz. I tried to connect to it but I was not successful. My workstation is in the 192.168.1 subnet while the dmz is 192.168.15. I went the advanced tab of my computers network card properties and added a 192.168.15.8 ip address. I thought that this would let me connect to the ap in the dmz and it did not.
  • 0 in reply to amp10000
    The default gateway on the AP, will be the address of the DMZ interface.

    To connect to it you need to add packet filters to allow traffic from your internal LAN to your DMZ, but you should be careful about doing this as it is a security risk.

    If possible, define the IP of your AP in astaro, and then just add a packet filter rule allowing traffic from your internal network to the AP.

    Also, remove the Ip address you added to your computer as it won't work. Astaro should automatically route traffic destined for the DMZ correctly.
Reply
  • 0 in reply to amp10000
    The default gateway on the AP, will be the address of the DMZ interface.

    To connect to it you need to add packet filters to allow traffic from your internal LAN to your DMZ, but you should be careful about doing this as it is a security risk.

    If possible, define the IP of your AP in astaro, and then just add a packet filter rule allowing traffic from your internal network to the AP.

    Also, remove the Ip address you added to your computer as it won't work. Astaro should automatically route traffic destined for the DMZ correctly.
Children
No Data