Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 769 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Noob problem with routing

Boogle
I'm hoping you guys can help out a real noob when it comes to networking [:)]

I want to do a proof of concept at the moment, so I can understand how everything works. I have an ADSL modem/router with DMZ capability, and an Astaro box connected directly to it, nothing else is connected to the internal switch. I want to disable NAT on the modem, and have everything going to the Astaro box so I can do the following:

All packets to a certain IP address go through NAT and end up at a workstation (i.e. browsing the net, etc.).
All packets to x address go to server x.

I have one IP at the moment, but will have a block soon so I can host games, small web sites and so forth. But for now I would just like to enable the NAT part of it so I can see how everything is done, and deal with the rest later on. I'm assuming I'll have to have 2 subnets, one for NAT and the other for the servers - and therefore need 3 NICs. Thats no problem, the problem is I don't know how to set up all the rules [:S]

Also I would like to create a definition called 'Internet' and matches any address that isn't internal. Don't know if thats possible or not, but 0.0.0.0 matches external and internal :\

I hope I've explained everything clearly [:S] Really appreciate any help [:)]


This thread was automatically locked due to age.
  • 0
    The Internet definition would require a "Not" qualifier for Network definitions. This has been discussed and would be a nice feature to have (did they slip it into 5.2??)

    Why don't you just do what you want to do in steps? When you get stumped, repost. You describe a few things you want accomplished, so focus on just one for now...

    Have you got basic Internet connectivity going yet where you can browse?
  • 0 in reply to SecApp
    Thanks for the help, I do have Internet access of sorts. If I enable NAT on the modem then everything is hunky dory, but disable NAT and nothing works. Routing is working fine on the firewall since I can connect to the modem on a different subnet, so I need to perform Masquerading on workstations. However, it isn't working - and I'm pretty sure its because the External interface is just a NIC with a local IP, and the gateway is set to the modem's IP address. I've set the DMZ host setting on the modem to the IP address of the firewall, so I assumed that would just forward everything to the firewall, unless it has a specific destination (ie. a computer connected to the modem).

    Would have replied sooner, but I was setting up Astaro on a more powerful computer.
  • 0 in reply to Boogle
    For starters, are you using the http proxy or not?

    Is the modem's address a "private" number? (172..., 192..., 10...)

    Using a standalone PC (maybe with a personal firewall), do you have no problem accessing the 'net if you set its gateway to the modem??
  • 0 in reply to SecApp
    HTTP Proxy is disabled, although I will be enabling it later on. Enabling the proxy makes no difference to connectivity though if the modem has NAT disabled.

    Using PCs connected through the firewall or directly to the modem doesn't work if NAT is disabled on the modem.

    Modem has a private ip of 192.168.1.1. External interface on Astaro is set to 192.168.1.2. Workstations are 192.168.0.0 (except when I tested for you earlier, and set one to 192.168.1.20, gateway 192.168.1.1 when it was connected directly to the modem).

    I can set routing rules on the modem itself if that helps?
  • 0 in reply to Boogle
    Your internal Astaro interface/workstations should be something like 192.168.2.0/255.255.255.0 (interface could be 192.168.2.1...). By speccing that outside is 192.168.1 and inside is 192.168.2, Astaro can differentiate between inside and outside and knows how to route the packets. If I understand you correctly, you have the inside network including the outside network (as opposed to being mutually exclusive), so the Linux routing kernel doesn't do its job.

    That's the first problem I see; that's why we have to do this in steps.

    Feature request: A warning in the web admin when you make overlapping networks. In peculiar situations you might have to have such a layout, but usually people do not want to do this, and to merely have a warning on a status line of the admin I think would not be so bad...
  • 0 in reply to SecApp
    That what I have done. I have three interfaces on the Astato box:

    External
    192.168.1.2 / 255.255.255.0, Gateway: 192.168.1.1

    Internal (Workstations)
    192.168.0.1 / 255.255.255.0, No gateway

    DMZ (Servers)
    192.168.2.1 / 255.255.255.0, No gateway

    192.168.1.2 is the ADSL router, which has NAT enabled. Disable NAT and nothing can connect to the Internet. I can enable / disable Masquerading on the Astaro box at will, doesn't change a thing.
  • 0 in reply to Boogle
    You can't browse?

    Is the gateway on the workstation set to 192.168.0.1?

    Do you have a rule Internal HTTP Any Allow? And a masquerade rule set up the way the webadmin's Help example shows? (since you are not using the proxy...)

    Are you using the DNS proxy? Or do you have a rule Internal DNS Any Allow? (or Internal DNS DNS_Servers Allow)