Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 3490 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DMZ routing problem

justus5
Hi,

We recently tried to upgrade our ASL5 firewall to ASL7 but didn't quite make it.  

ASL7 was installed from scratch to a identical box as the ASL5 and all of the configurations were copied by hand and at least triple-checked. 

The firewall interface and network configuration is IMO very basic one:

ISP Cisco
    |
   eth1
     | 
ASL - eth2 - LAN (private IPs)
                           |
                           +--- eth3 - DMZ (public IPs)

Everything else is working ok, but hosts in the DMZ network are unable to access the internet. Actually the traffic stops at the ASL, since the hosts are unable to even ping the router. The eth3 interface has a private IP assigned to it and traffic to the DMZ hosts has been statically routed.

So far we have tried booting everything (Cisco, hosts, switches..),  Proxy ARP for DMZ and External interfaces and waiting for several hours in case some miserable ARP table somewhere refuses to update itself. 

And still, this exact same configuration works like a charm in the ASL5 box.


This thread was automatically locked due to age.
Parents
  • 0
    Did you create a masquerade rule to masquerade the DMZ network behind the WAN interface? If not, the DMZ network won't have any Internet access.
  • 0 in reply to VelvetFog
    Duh - summer holidays are over but the problem still remains.

    We tried using the masquerade rule on the DMZ interface but it didn't help. Could the problem be that the Cisco, Firewall and DMZ systems are all using the same public IP block but the addresses are spread behind two interfaces..? In test environment, using private IP's in the DMZ systems the configuration seems  to work, but not with the real public ones.

    The same configuration works in ASL V5 and V6 but upgrading ASL to V7 hangs the traffic.
  • 0 in reply to justus5
    Could the ASL ping the hosts in the DMZ ? 
    Could it be possible that you have a subnetmask mismatch ?
  • 0 in reply to ClausP
    ASL can ping everything - internet, internal and DMZ hosts. I forgot to mention that turning on Proxy ARP on the DMZ interface does indeed help internal hosts to see them, but still keeping them in the dark from external access.
  • 0 in reply to justus5
    Ok, seems that the only supported (= working) DMZ configuration with the ASL v7 is to configure the DMZ systems with private IPs and using DNAT/SNAT to address the public ips.
  • 0 in reply to justus5
    Ok, seems that the only supported (= working) DMZ configuration with the ASL v7 is to configure the DMZ systems with private IPs and using DNAT/SNAT to address the public ips.


    No, that is not true. I am using ASG V7 with public IPs in a DMZ without any problems.
  • 0 in reply to ClausP
    No, that is not true. I am using ASG V7 with public IPs in a DMZ without any problems.


    Are the DMZ IPs in same block as your gw? In our test environment, with real IPs, everything works OK but as soon as we put the firewall live the DMZ traffic freezes.
Reply
  • 0 in reply to ClausP
    No, that is not true. I am using ASG V7 with public IPs in a DMZ without any problems.


    Are the DMZ IPs in same block as your gw? In our test environment, with real IPs, everything works OK but as soon as we put the firewall live the DMZ traffic freezes.
Children
No Data