Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 471 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

v7 Network Configuration Question

markholmes24
I need to put a Firebox in front of our network.  The network is composed of one subnet made up of 511 'public' IP's on the 'trusted' side of the firewall, and on the other side, a router on the same subnet which connect's us to the wider University network.

The firewall I am replacing is configured in 'drop in' mode - all the interfaces are set to one IP, and it performs Proxy-ARP.

How should I configure the Astaro?  I am not sure I should set both interfaces to the same IP.  Instead I have set one side (internal) to ***.1.40.3, the external to ***.1.40.7 (I am using the x's for the purpose of masking my IP's in this post).  The external interface has the IP of the interface on the router we connect to set as the default gateway.  I have set rules to allow HTTP etc out, and configured DNS.  At the moment I can't connect to any websites - haven't tried any other protocols yet.  The problem isn't DNS, have tried by using actual IP's of websites to verify this.

What do I need to do to configure this correctly?  I have set Astaro up  in NATTed networks before but never on non-NAT.

Regards,

Mark


This thread was automatically locked due to age.
  • 0
    I should add there are will also be two other 'private' ie 192.***.***.***/24 networks connected to the Astaro (it has 8 I/F), and an ADSL link.  Obviously the two private networks are NAT'ed whereas the ***.1.40.0/23 isn't as it's composed of public IP's.

    What I want is:-

    Traffic from main LAN ***.1.40.0/23 pushed out via router on the external interface (router is on the same ***.1.40.0/23 subnet)

    Traffic from the private networks is pushed out via the ADSL link

    Traffic for authenticated users on those two private networks pushed out via the router on ***.1.40.0/23.  (one of the interfaces is connected to a WLAN, users authenticate using PPTP VPN - if they aren't connected via VPN it goes out via the ADSL link).

    Mark
  • 0 in reply to markholmes24
    Having all interfaces with "the same IP" sounds like "Bridged Mode" on Astaro.

    However, I'd recommend, if you can, have the router route everything for your public networks to Astaro, and subnet that. That will requre a (small) external subnet, and a larger internal subnet.

    You want to use Masquerading (a form of NAT) for the private networks.

    Policy-based routing should be able to route to your two internet connections.
    I'm not sure about your 'authenticated users' though... maybe you can get them to use the http proxy and route it through the right place.

    Barry
  • 0 in reply to BarryG
    Thanks for that - having looked around some more after posting last night, it looks like transparent mode is what I'm after.

    Unfortunately, because we are part of a wider network I can't play with the existing IP structure of the ***.1.40.0/23 network.  One of the requirements of the project is that the existing structure of that network is left in place. 

    If I'm right, I should be able to bridge the ***.1.40.0/23 internal and WAN interfaces, so leaving the existing structure in place, then NAT the two private networks.  I'm fine with the NAT side of things as I've set up Astaros in that way before.

    I will let you know how I get on with pushing authenticated users out over a different link - the rough plan was that wireless users can authenticate using a PPTP VPN client, then I set a policy route to push traffic from that VPN network pool out over the main WAN router.  If a user is connected to the wireless network but hasn't authenticated with the VPN, the traffic is routed out via the ADSL line and restricted to web only.  The reason I have to have this setup in place is that the WLAN has to serve regular users (who will have an AD account) as well as visitors (who will just know the WPA key).

    I am fairly sure this can be done but we will see!

    Thanks again for your advice Barry.

    Mark