Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 4716 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

can't ping any DMZ Interface

amp10000
I can't ping the dmz interface of the astaro box. I have a layer 3 switch in place that is subnettted and trunked an interface on the astaro box. I have about  4 vlans on the layer 3 switch basically I'm using vlan tagging through an intel nic.  I can ping all of the vlans fine I alsoI can  ping the dmz interface from any system thats plugged into the layer 3 switch without any problem, but if I connect a regular dumb switch to the dmz interface on the astaro box than  connect a client to that switch I can't ping the dmz interface on the astaro box. Has anyone here seen ths problem before?


This thread was automatically locked due to age.
Parents
  • 0
    Assuming you have the ICMP settings enabled in ASL.

    Do you see anything in the packetfilter live log?

    Barry
  • 0 in reply to BarryG
    Barry I downloaded the regular packet filter logs and I also looked at the live log. Some how  astaro is dropping the packets because it thinks that they are spoofed. Can you tell me why astaro would do this and how do I go about fixing it? I don't remember having this problem in other versions of astaro. By the way I'm using astaro version 6. I'm getting the follwing lines in the log



    source
    192.168.20.10

    dest
    192.168.20.1

    port

    proto
    icmp

    header
    60

    payload

    ttl
    128

    spoofing mac
    00:10:4b:2b:07:55:00>>02:b3:ac:38:e3::08:00

    61316-log.pdf
  • 0 in reply to amp10000
    So your DMZ is not a VLAN, right?

    Barry
Reply Children
  • 0 in reply to BarryG
    Barry the DMZ is not a vlan its just a plain 3com nic.  Sorry that the pdf was cut off I can repost if ou want me to.
  • 0 in reply to amp10000
    And you have ICMP or at least PING on Firewall enabled?

    If so, I'm out of ideas.
    Anyone else?

    You might try contacting Astaro support.

    Barry
  • 0 in reply to BarryG
    I'm out of ideas myself I have ping enabled on the firewall. Hell I even put in a any any rule and that did not work. Some how the system is lableing all DMZ  traffic as spoofed traffic. Is there some sort of way to edit spoof protection. I've set up this same config with previous versions of astaro and I must say this is the first time I've seen this.
  • 0 in reply to amp10000
    I found my problem I had 2 interfaces going into the layer 3 switch. One interface was the trunk running back to astaro and the other was a workstation that was being used to access astaro. The workstation was in vlan one but since the switch is trunked and all 802.1x info is being sent over port 24 than obviously the vlan I was plugged into was also sending packets over the trunk thus causing a spoofing problem. Here is my problem I pulled it from the astaro knowledge base. So right now I have things up and running thanks Barry



    IP SPOOFING  Product Version: 5.000 or later 
      
    Symptom: 
    The performance of the system is very weak.  There are some systems that you cannot reach.  You notice IP SPOOFING in the log files and WebAdmin access is limited or unaccessable.

    Cause: 
    The cause of IP SPOOFING can be many things.  

    There may be a loop in the network where both interfaces are plugged into the same switch without seperation.  Two or more network cards share the same network topology.  Another device on the network shares the same network topology as the firewall.  

    Resolution: 
    Check all cabling to make sure that no two interfaces connect into the same switch without proper separation.  Check that no two network cards have the same network topology or are on the same subnet.  Check that there are no other devices on the network with the same network topology as the firewall has.