Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 2740 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Firewall inside a firewall

jmirick
I'm trying to see if I can put a firewall inside a network behind another firewall, to provide more granular control over allowed traffic.  Using the software.

So I have: line --> Sonic Wall --> switch -->  (office machines) and Astaro -->  switch --> test-workstation.

Office network is 192.168.10.nn, 
the Astaro is 10.30 on its external, no gateway;
40.1 on its internal, no gateway;
and the test workstation is 40.10.

I have previously connected the Astaro directly out via DSL so I know all the stuff works.

Current config:
Sonic has NAT on;
Astaro has NAT on, Internal (network) -> all / all;
DNS proxy on, internal interface, internal network, and both my internal DNS and an external one listed.
Packet filter set for internal / any / any.

What happens:
Firefox attempts to connect outside, says "connectioni refused at . . ."
Up2Date returns a code 500 attempting to connect to authentication servers.
Workstation won't ping outside but will ping inside.
Workstation will connect to a test website at 10.23 by IP but not by name.

SO . . .  I have a DNS issue?  or is double-natting not allowed?  Shouldn't the outer firewall (the Sonic) just see 10.30 and its dependent subnet as just one machine?  Do I need the HTTP proxy on the Astaro?


This thread was automatically locked due to age.
  • 0
    Probably a DNS issue.

    Incidentally, I wouldn't double nat anyway... IPSEC NAT-T does not work properly when one endpoint is double natted... Not sure exactly why you want two firewalls, but if you really do, try running the Astaro in Bridged mode.
  • 0 in reply to BrucekConvergent
    Whats wrong with 2 firewalls? Added redunant should not be a problem.
    Although myself,I run my 2 firewall in transparent mode. Yes,I would make for
    harder routing to internal if thats what say where the server lies.Me I would
    not run a double nat situation,probamatic.Although,both firewalls are not Astaro either.If it was me I would go Sonic-switch-Astaro(transparent)-switch-lan wkstations. If I was say testing something I did not want current
    lan to interact with,use a DMZ setting. That is my opinion,I do not know very much but works for me.Mine is
    Astaro-switch-Fortinet(transparent)-switch-lan    with websvr in DMZ hanging
    of Astaro currently,and any test machines.If I made a suggestion that helped,I am glad. If not,well just trying to help with a suggestion.
  • 0 in reply to mech9122
    Office network is 192.168.10.nn,
    the Astaro is 10.30 on its external, no gateway


    Always configure a default gateway. In a larger multi-home corporate network, this would be one the backbone routers.
    As you are still in a "private" subnet, you don't have to do NAT (you can, but you don't have to)
  • 0 in reply to NimmdirKeks
    Thanks to everybody . . .  this was an experiment to see if we could further lock down this part of the network and let someone administer that part without touching the rest of the stuff.  This would seem to need more hassling and experimentation that I have available right now, so I'm abandoning it for the moment.  Good point about the gateway on the Astaro, that may be a key, and I'm going to keep it in mind when I get back to this.  Thanks again.
  • 0 in reply to jmirick
    Sorry,I did not mention anything about gateways.