Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 6068 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Can't access DMZ IP addresses

jazzMan007
Hey All,

I've got a bit of a head scratcher. I've got the following setup running:

Interfaces:
Internal network: 192.168.0.0/255.255.255.0
DMZ: X.X.X.0/255.255.255.248 (Effectively .1-.5; .6 is GW)
ASG: 192.168.0.254 Internal / X.X.X.5 DMZ
Additional Interfaces on ASG: X.X.X.2, X.X.X.3, X.X.X.4/255.255.255.248

NAT/MASQ Rules:
Allow all out: Masquerade from internal network to DMZ address
HTTP to XXX: Any -> DMZ Address / HTTP
HTTPS to XXX: Any -> DMZ Address / HTTPS

Packet filter Rules:
Internal Network (ANY) -> Any: Allow
Any (HTTP) -> Internal web server: Allow
Any (HTTPS) -> Internal web server: Allow

Long story short, I am unable to access the web sites on .2-.4 from the internal network. Similarly, I cannot access the webadmin of ASG (via .5) from the internal network either. Shouldn't the allow any out masquerade rule and packet filter rule allow access from the internal network to an external address of the ASG? If not, what else do I need for this to work? I don't want to have to run DSL internally just to access these site...

Thanks,
John


This thread was automatically locked due to age.
Parents
  • 0
    I think I'm still missing something from your description:

    Is the x.x.x.0/255.255.255.248 network an external/public network?
  • 0 in reply to drees
    yes...x.x.x.0/255.255.255.248 is the public external network. Once I get additional hardware, I'll put a bridging ASG in front of this network and the additional interfaces for web sites will actually be the web server. For now I need to NAT them to an internal server.

    Thanks,
    John
  • 0 in reply to jazzMan007
    Do you have NAT rules for each DMZ address?
  • 0 in reply to drees
    Yup. I've got NAT rules for each web site and packet filter rules to allow those NATs. Outgoing is wide open...NAT rule to masquerade the internal network as the main external interface, and packet filter rule to allow internal to any on any. From the outside world, everything works as expected. The issue is that I am unable to access the sites via the same external IP that is in the public DNS. 

    One thing I did find is that by turning off the advanced packet filter settings, I am able to access the ASG webadmin via the external IP. But that's the only one...the IPs of the web sites are still unaccessible. 

    I found that one by watching the packet filter live log. Now I'm not seeing any rejects, so I don't know where to look next.

    Thanks,
    John
Reply
  • 0 in reply to drees
    Yup. I've got NAT rules for each web site and packet filter rules to allow those NATs. Outgoing is wide open...NAT rule to masquerade the internal network as the main external interface, and packet filter rule to allow internal to any on any. From the outside world, everything works as expected. The issue is that I am unable to access the sites via the same external IP that is in the public DNS. 

    One thing I did find is that by turning off the advanced packet filter settings, I am able to access the ASG webadmin via the external IP. But that's the only one...the IPs of the web sites are still unaccessible. 

    I found that one by watching the packet filter live log. Now I'm not seeing any rejects, so I don't know where to look next.

    Thanks,
    John
Children
  • 0 in reply to jazzMan007
    In these types of cases, it's usually some sort of NAT or routing problem, and it's tough to troubleshoot without seeing more detail.

    Can you verify if the DMZ server is getting the SYN packets from the LAN ok, or if it's a problem with the DMZ server sending ACK packets back to the LAN?
  • 0 in reply to drees
    drees,

    Can you give any insight on how to test the things you mentioned? I don't see any logs that would indicate that...

    At this point nothing is showing up in the packet filter log when I try to hit the external addresses that are NAT'd in. Do I need to add any special routing entries on the Network >> Routing page?

    Is there any other specifics I can provide to assist in troubleshooting?

    Thanks,
    John
  • 0 in reply to jazzMan007
    Log onto the machine you are trying to access and run `netstat -an`. Look for TCP connections that you are trying to make and look at their state.

    On the firewall, you can look at the connection tracking table which may give you some insight as well.