Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 1083 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Im Down! Dangit, Help

chugger93
I have no idea what I did.  My astaro was obviously working fine...but I decided to hook up my new webserver to the DMZ.  So I plugged a cat5 cable from the DMZ NIC to the webserver NIC,  turned on the DMZ zone from red to green, and changed it from 192.168.1.20,  to the webservers internal IP of 192.168.1.7.  Now nothing works! 

What the hell did I do...

restart does nothing...I cant get to the web admin


This thread was automatically locked due to age.
  • 0
    hmm, I did a search and found out you can do a restore from a USB stick.  Seemed to do the trick.  Can anyone lend any advice on how to setup a webserver on a DMZ then?
  • 0
    Did you make the DMZ interface on the astaro the same IP address as the webserver? If you did that it would cause you problems with spoofing. 

    To configure a webserver in a DMZ you just need to create an interface on the astaro in a different network from your existing internal network.

    For example if your internal network is 192.168.0.x, make the DMZ interface 192.168.1.1 and then connect the webserver to the DMZ interface with and IP address of 192.168.1.7 and make  sure the webserver's default gateway is the astaro's DMZ interface.

    Then in order to make the webserver accessible from the internet you will need to create a DNAT rule to forward port 80 traffic and/or port 443 traffic to the webserver and create a packet filter rule to allow the traffic.
  • 0 in reply to dilandau
    Ok, kinda what I thought.  This is what I have so far.  My DMZ is now on a different network (192.168.2.1)

    My Webserver's IP ADDRESS is now
    IP:  192.168.2.2
    GATEWAY:  192.168.2.1
    DNS: 192.168.2.1

    The link shows down, which I dont quite get?


    Heres the Interface config so far....



    I guess I'm stuck on the RULES if everything else looks right... ?

    Now do I need to create a network defintion, HOST defined with 192.168.2.2 and call it WEBSERVER?

    What about packet rules and the such?  Because my 192.168.1.1 normal network cannot remote desktop into the webserver, or ping anything on that network
  • 0 in reply to chugger93
    You will need to create packet filter rules to allow access between the Internal and DMZ networks. You will also need to create a host definition for the webserver and make sure you add the dmz network to the allowed networks for DNS on the astaro.

    If the link is shown as down it usually indicates either the cable is bad or not plugged in, or if you were using a straighthrough try a crossover or use a hub or switch between the astaro and webserver.

    There is an article on the kb that has the steps for creating a DNAT and packet filter rule:

    http://portal.knowledgebase.net/display/2n/kb/article.asp?aid=239708
      
    Example: Webserver on HTTP TCP port 80

    1) Create a DNAT rule
    Goto Network Security>>NAT
    Select DNAT/SNAT tab
    New NAT rule
    Name: Webserver
    Group: No group
    Position: Bottom
    Traffic Source: Any
    Traffic Service: HTTP
    Traffic Destination: External (address)
    NAT Mode: DNAT (destination)
    Destination: Webserver
    Destination Service: HTTP (or left blank)
    Click Save
    Once created click traffic light  from Red to Green

    2) Create Packet filter access
    Goto Network Security>>Packet filter
    Select Rules tab
    New Rule
    Group: no group
    Position: Bottom
    Source: Any
    Service: HTTP
    Destination: Webserver
    Action: Allow
    Time Event: Always
    Log traffic: off
    Comment: Allow http traffic to webserver
    Click Save
    Once created click traffic light  from Red to Green
  • 0 in reply to dilandau
    I will test your suggestions later tonight.  I am using a regular patch cable going from the astaro NIC to the webserver NIC so thats probably the problem.  Gonna have to use a crossover instead.


    I do however need explicit rules that wont allow traffic from the dmz to my internal network for security reasons.  But I want to be able to access that box as well...
  • 0 in reply to chugger93
    hmmm, did what u said, but the DMZ still cannot get out to the internet
  • 0 in reply to chugger93
    Make sure you have created a Nat Masq rule for the DMZ network. If you are trying to access the internet from the webserver you will also need a packet filter rule like the following example:

    Source: DMZ Network
    Service: Any
    Destination: Any
    Action: Allow

    Does the dashboard still display the link as down?
  • 0 in reply to dilandau
    naw, it shows it as up now that I replaced the patch cable with a crossover cable  [;)]

    I can access my website now...all seems good except the DNS issue still...




    b.t.w, thanks for your help thus far
  • 0 in reply to chugger93
    Also,

    I cant get to my website from the outside.  Must be missing a rule eh?

    I probably need source, ANY, destination WEBSERVER.  But what about the SERVICE?  Should I use ANY or just HTTP?

    Im confused there....
  • 0 in reply to chugger93
    Never allow ANY!

    Depending on what you are serving to your guests - HTTP / HTTPS (if needed) should do it.

    Ray