Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 2 subscribers
  • Views 3631 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Cannot get transfer network. Bridging alternative?

jeffmc
Hi,

My ISP gave me a /27 network with 29 IPs and I have DSL with a router that my ISP put on my premises.  ASL is setup with 3 NICs and I want to setup a DMZ using one of those NICs. I want to be able to use all of the public IPs in my DMZ.  I read through the older FAQ and searched the message boards and learned that if I could obtain a small network (/30) from my ISP I would be able to setup a transfer network since I have control of my router.  

Unfortunately, my ISP would not give me that small network to setup a transfer network.  [:(]Ps.

The router my ISP gave me is a Netopia Cayman 3500 series and reading through it's documentation it appears that it can be configured as a bridge.  Additional searching through the forums here seems to mention that I could configure my router as a bridge which could allow me to use my public IPs in my DMZ without having to split it up.

So would any additional configuration beyond setting it up for bridge mode be required on my router?  Will I need to add a route to the router to send my /27 network to my ASL box?

My /27 is 67.x.y.130-158, mask is .224 and the gateway is .129

This is what I have so far:

Code:

      -------------                          ---------             /----

      |ISPs Router|67.x.y.129      67.x.y.130|       |192.168.0.1 /

      |           |--------------------------|  ASL  |-----------/  LAN 

      | Cayman    |                          |       |           \ 192.168.0.0

      -------------                          |       |            \255.255.255.0

                                             ---------             \

                                       67.x.y.131|                  \----

                                                 |

                                                 |

                                                 |

                                                / \

                                               /   \

                                              /     \

                                             /  DMZ  \

                                        ----/         \----

                                        |   67.x.y.132    |

                                        | 255.255.255.224 |


So to summarize, I want to be able to use my official network in my DMZ but my ISP will not give me a transfer 

network so I want to know if I setup my router as bridge what additional configuration if any, is required to make 

this happen?  I do not want to use Proxy ARP and split up my official network therefore losing IPs.

Thanks in advance for any and all assistance in this matter. [:)]


This thread was automatically locked due to age.
Parents
  • 0
    Hi!

    If I check your sheme, I can see, you have 2 NICs in the same network (ISP and DMZ). In such case your router will not work. I recomend you to use private class IPs for your DMZ network and then make NAT for needed hosts.
    Only so you can achieve your router to work.

    BR, Matjaz
  • 0 in reply to Matjaz
    Thanks for your response Matjaz, but I know several ASL users out there are using public IPs in their DMZs and I desire to have this as well so using Private IPs in my DMZ is NOT an option.   Here's an updated layout of my network in which I've added the ISPs WAN IP/mask to the router.

    Code:

            Internet
                |
                |
                |
           67.v.w.42/252
          -------------                          ---------             /----
          |ISPs Router|67.x.y.129      67.x.y.130|       |192.168.0.1 /
          |           |--------------------------|  ASL  |-----------/  LAN 
          | Cayman    |                          |       |           \ 192.168.0.0
          -------------                          |       |            \255.255.255.0
                                                 ---------             \
                                           67.x.y.131|                  \----
                                                     |
                                                     |
                                                     |
                                                    / \
                                                   /   \
                                                  /     \
                                                 /  DMZ  \
                                            ----/         \----
                                            |   67.x.y.132    |
                                            | 255.255.255.224 |


    Like I stated earlier, I have access to the router so I can change its configuration if needed.  

    I know someone out there has the answer to my situation so please step up and help me out so I can move on with life. [:)]n.
  • 0 in reply to jeffmc
    67.x.y.132   255.255.255.224 is not a valid subnet, as you have listed for your DMZ network.  The setup as you have detailed it will not work because the firewall will think that .129 and .130 are also a part of the DMZ network, yet you have them assigned on the external interface.

    To get what you want, you need to use 67.x.y.128 255.255.255.224 on the DMZ interface and get a different IP address range for the external interface.  

    Or if you don't need that many IP addresses in your DMZ, you could use  67.x.y.128 255.255.255.240 on the external interface (using .129 and .130 only) and then assigning 67.x.y.144 255.255.255.240 on the DMZ interface.  This does waste a lot of addresses on the external interface, though.  You could use these for NAT addresses, though, if you aren't totally opposed to doing some NAT. 

    It really all comes down to subnetting rules.  You must have two distinct subnets on each interface.  If you can't get another subnet to use between the ISP router and your firewall (it only needs to be a 255.255.255.252 mask) then you will have to divide up what you have.
  • 0 in reply to Moby
    Hi!

    If you really can get only one block of IPs and you don't want to waste them too much as Moby mentioned, then NAT is your best choice.

    Otherwise it is possible to have public IPs in DMZ. I also have it, but with one difference to you. I have assigned 1 IP to ISP interface which is not in the network of IP range which is routed to my FireWall. And then at the DMZ site it is possible to have public IP. 
    But something more you have to have in mind. If you are splitting IP range to 2, you always loose 2 IPs, one for network and one for broadcast address.
    If you don't have network calculator, I recomend you using  this one,  so that you can easilly plan your networks.

    BR, Matjaz
  • 0 in reply to Matjaz
    if you REALLY do need all these public IPs then you are a high end user and should buy a bigger range from your ISP.

    In reality you could host $1,000,000 worth of kit on a 224 network without any problems. If you have a specific technology need for more public IPs perhaps you should post details
  • 0 in reply to Moby
    [ QUOTE ]
    67.x.y.132   255.255.255.224 is not a valid subnet, as you have listed for your DMZ network.  The setup as you have detailed it will not work because the firewall will think that .129 and .130 are also a part of the DMZ network, yet you have them assigned on the external interface.
     

    [/ QUOTE ]

    Hi Moby,

    Thanks for your response.  Yes, I know that the subnet you mentioned above is not valid.  What I meant was that I just wanted to use 67.x.y.132 as the IP of the first server in my DMZ.
  • 0 in reply to jeffmc
    heres an option.

    do natting on your edge router and nowhere else. subnet your entire LAN including the internet facing NIC of astaro as private ip addresses.

    this way the only public ip address you use is for the router itself. then to point a public ip address to whatever private ip you have assigned the box it is intended for. as long as you dont do any natting on astaro (double natting is a bad idea) you are cool.

    at first glance this should work
  • 0 in reply to Moby
    [ QUOTE ]

    It really all comes down to subnetting rules.  You must have two distinct subnets on each interface.  If you can't get another subnet to use between the ISP router and your firewall (it only needs to be a 255.255.255.252 mask) then you will have to divide up what you have. 

    [/ QUOTE ]

    Can I use private addresses for this additional subnet?  Let's say 192.168.100.1/.252 for the router lan interface and 192.168.100.2/.252 for firewall external interface.  Could I use that as my transfer network?
  • 0 in reply to jeffmc
    everything to the right of 67.x.y.129  and 67.x.y.129  itself in your diagram could have its own subnet

    e.g. 10.1.1.0/24
    10.1.1.2.0/24 etc

    astaro would be routing and not natting. the edge router would nat.

    it should in theory just be a simple routed network just like any corporate. the only issue you ill have is if you need to address you boxes using a public ip address but originating from inside your lan. without doubling up on static routes in astaro and yur router what would happen is that it would pass you fireall twice.

    but as i say if you want to squeeze every ip out of your range this would be a solution i reckon
  • 0 in reply to jeffmc
     [ QUOTE ]
     Thanks for your response. Yes, I know that the subnet you mentioned above is not valid. What I meant was that I just wanted to use 67.x.y.132 as the IP of the first server in my DMZ.  

    [/ QUOTE ] 

    You still cannot use 67.x.y.132 as the IP for your first server in the DMZ unless 1) the whole 67.x.y.128 255.255.255.224 subnet is assigned to the DMZ interface and use a different network for the external interface, or 2) Use Private IPs on for your DMZ interface and perform static 1-to-1 NATs for the DMZ servers.

    [ QUOTE ]
     Can I use private addresses for this additional subnet? Let's say 192.168.100.1/.252 for the router lan interface and 192.168.100.2/.252 for firewall external interface. Could I use that as my transfer network?  

    [/ QUOTE ] 

    I think that should be possible, although it will make the NAT a little wierd, since you can't masquerade behind the external interface without doing a second NAT at the Cayman Router.

    I do have to apologize for not reading carefully enough through your first post.  Now that I'm looking back, you presented another possible solution to begin with, which is to put the Cayman router into bridging mode, and have the 67.v.w.42/252 IP address assigned to the external interface of the Astaro.  Then you can use the entire 67.x.y.128/27 range as your DMZ network.  That would allow you to Masq behind the external interface and keep public IPs on your DMZ network.  Since you are eliminating the router, you now have your second small IP range to use on the external interface.
Reply
  • 0 in reply to jeffmc
     [ QUOTE ]
     Thanks for your response. Yes, I know that the subnet you mentioned above is not valid. What I meant was that I just wanted to use 67.x.y.132 as the IP of the first server in my DMZ.  

    [/ QUOTE ] 

    You still cannot use 67.x.y.132 as the IP for your first server in the DMZ unless 1) the whole 67.x.y.128 255.255.255.224 subnet is assigned to the DMZ interface and use a different network for the external interface, or 2) Use Private IPs on for your DMZ interface and perform static 1-to-1 NATs for the DMZ servers.

    [ QUOTE ]
     Can I use private addresses for this additional subnet? Let's say 192.168.100.1/.252 for the router lan interface and 192.168.100.2/.252 for firewall external interface. Could I use that as my transfer network?  

    [/ QUOTE ] 

    I think that should be possible, although it will make the NAT a little wierd, since you can't masquerade behind the external interface without doing a second NAT at the Cayman Router.

    I do have to apologize for not reading carefully enough through your first post.  Now that I'm looking back, you presented another possible solution to begin with, which is to put the Cayman router into bridging mode, and have the 67.v.w.42/252 IP address assigned to the external interface of the Astaro.  Then you can use the entire 67.x.y.128/27 range as your DMZ network.  That would allow you to Masq behind the external interface and keep public IPs on your DMZ network.  Since you are eliminating the router, you now have your second small IP range to use on the external interface.
Children
  • 0 in reply to Moby
    [ QUOTE ]
     
    I do have to apologize for not reading carefully enough through your first post.  Now that I'm looking back, you presented another possible solution to begin with, which is to put the Cayman router into bridging mode, and have the 67.v.w.42/252 IP address assigned to the external interface of the Astaro.  Then you can use the entire 67.x.y.128/27 range as your DMZ network.  That would allow you to Masq behind the external interface and keep public IPs on your DMZ network.  Since you are eliminating the router, you now have your second small IP range to use on the external interface. 

    [/ QUOTE ]

    Moby,

    Ok, now we are getting somewhere, thanks. [:)]nterface?

    Additionally, when you say second small IP range, are you referring to the .252 network using private IPs (192.168.100.1)?

    And to finally make this work wouldn't I also need to set a route on the router to send my /27 to my firewall?

    Look forward to hearing from you and thanks for yours and everyone's assistance!
  • 0 in reply to jeffmc
     [ QUOTE ]
    So when you say Masq behind the external interface, are you talking about masq'n the internal network behind the external interface?
      

    [/ QUOTE ] 

    Yes, so you can give Internet access to your private LAN.

     [ QUOTE ]
     Additionally, when you say second small IP range, are you referring to the .252 network using private IPs (192.168.100.1)?
     

    [/ QUOTE ] 

    No.  Right now your Cayman router receives and IP from your ISP, correct?  It is the 67.v.w.42/30 (255.255.255.252) network.  Once you put your Cayman in bridging mode, the Astaro should be able to get that IP via DHCP (assuming that is how your Cayman gets the IP).

     [ QUOTE ]
     And to finally make this work wouldn't I also need to set a route on the router to send my /27 to my firewall? 

    [/ QUOTE ] 

    No, because the Cayman is acting like a bridge, so it does not know anything about routes.  All it should pay attention to is learning which interfaces contain which MAC addresses.  All it does is repeat the traffic it sees from the Internal Interface and sends it out the External Interface.  It is exactly the same as putting a small hub between your ISP and your Astaro, except that a regular hub doesn't act like a DSL modem.   

    That is assuming that your Cayman router is a router/DSL modem.  If you also have a DSL modem outside of your Cayman router, you do not even need the router in place, but based on your diagram, I assume it acts as both a DSL modem and a router.
  • 0 in reply to Moby
    Hi Moby,

    It's finally working now!  Thanks so much! Thanks also to the others who posted suggestions.