ARP

Can you please post screenshots of your NAT rules, and your PacketFilter rules?

Have you read the NAT howto already?

Barry

Ah,

now its getting clearer, Pix can do that via the proxy arp feature. Why are you using NAT anyway from A to B, as they both on a private subnet-range you normally can route  between them. 

As far I remeber, there are two ways to solve, either use a Wins server in network A, so the domain controllers can see the clients via network neigborhood. Or you put the Astaro into bridging mode, and expand the subnets, so the clients and servers are in one subnet. 

Chris

Barry: I have read the NAT docs. I know it's working because I can establish a remote desktop connection to the server behind the firewall unsing the NAT address. Furthermore, the server can surf the net so I know outbound is OK too.

Chris: There are a couple of reasons why I have this topology. One is because I don't have control over routing in our network. I would need a route in subnet Bs router to point subnet A at the firewall. This is our production network and I don't want to mess around with it. Yes, they are both private, but the core router doesn't know how to get to it.

The other is because I want to test this solution with NAT. I want to be able to make it work with or without it. it could come in handy in an extranet situation where the outside is pointing to a partner or client and the inside is our network.

If I read you correctly it doesn't sound as if I can accomplish what I'm attempting. I'm trying to stay away from adding more infrastructure than I have to (WINS server, etc...) In bridging mode, doesn't the inside and outside use the same subnet? If that's the case then it doesn't solve my isolation or extranet scenarios. I turned on the proxy arp feature in ASL but it doesn't seem to help, although admittedly, I don't fully understand how it works in ASL.

Thanks,
John

John,
NAT should work for what you are doing.

There's no DROPs or REJECTs in your log posted, so all I can guess at this point is that perhaps VMWare is confusing something.

Barry

Hi, 

Berry, ARP is below the packet-filter. The trouble he has, is that the DC needs a mac-address of a host that wishes to join the domain. So also the request from the client reaches the DC, the DC cant find the mac-address of the client, because the Astaro wont give it to the DC. 

Theoretically, the DC should take the mac of the Astaro interface, because the Client is in a foreign network, and the Astaro interface is the door to get there. But well its Microsoft.

John, Arp-Proxy is similar to bridge mode in the effect, that a client thinks, he can communicate directly with a host, but in reality he communicates via the firewall. But therefore, they have to be in the same subnet of course. 
So if you dont want to change your net, I fear you have to put in the mac addresses manually on your DC. But you can get the mac-addresse from the astaro, just like in windows with arp -a. So it shouldnt be to much work making a batch file on the DC that inserts them into the arp-table. 

Chris

OK... There must be a way to tell the DC not to track MACs though?

How do VPN users connect to DCs?

Barry

Don't think you can add a client via VPN to a AD, but you should be able to connect to a AD if your client is allready a member of the domain. 

Chris