Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 2622 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Need advice on subnetting

swoc
I have a /28 network assigned by an ISP. I split the network into two /29 sunets. This gives me a /29 network that faces the internet and a /29 network for my DMZ zone. Problem is with /29 network I only get 6 usable IP adresses in the DMZ zone (which I already use all of them) but leaves 4 unused IP addresses in the zone facing the internet.

Is there a better / more efficient way of implementing the firewall? Nothing comes to my mind.

Thank you


This thread was automatically locked due to age.
  • 0
    You could use a /30, and possibly even a /31 for your external interface.

    Barry
  • 0 in reply to BarryG
    You could use a /30, and possibly even a /31 for your external interface.

    Barry

    but wouldn't that split the network into 4 subnets of /30 ?
  • 0 in reply to swoc
    Not if your ISP can do the routing correctly.

    I have a bunch of subnets set up from a class C, all different, with a /29 on the external (used to be a /30, but ISP wanted to add another IP for their failover).

    Barry
  • 0 in reply to BarryG
    Not if your ISP can do the routing correctly.

    I have a bunch of subnets set up from a class C, all different, with a /29 on the external (used to be a /30, but ISP wanted to add another IP for their failover).

    Barry


    Well, I'm using ARP Proxy feature of the ASL because I couldn't even get my ISP to subnet my /28 network. Can you be more specific on how you subneted your network? Is it even possible to subnet a /28 into 2 uneven subnets?
  • 0 in reply to swoc
    You could do 
    1 /29 and 2 /30s, 
    or
    1 /29 and 4 /31s

    Barry
  • 0
    Why don't you let the /28 network as it is and add the IPs as additional IPs on Astaro's external interface. 

    For example a.b.c.0 /28
    That would give you 
    a.b.c.0 Subnet address
    a.b.c.1 Router ISP address
    a.b.c.2 Official address on external-Astaro-interface
    a.b.c.3 Additional address on external-Astaro-interface
    ...
    a.b.c.14 Additional address on external-Astaro-interface
    a.b.c.15 Broadcast address

    That would give you 13 official IP addresses you can use.
    Then create a DNAT/SNAT rule for every IP you want to translate to the (now private) IP addresses in your DMZ.
  • 0 in reply to KKnecht
    I have a similar problem. We have a /24 net from our ISP and woulkd like to use it for our webservers and email servers...

    as of now we did it as kknecht described it setting up A LOT of DNATs... however I'm trying to simplify that. any ideas on how to do that?

    the router provided by our ISP has an IP of a.b.c.1 and the asg is configured as a.b.c.2/32 on the external interface.

    now i can't make it a.b.c.2/24 because it wouldn't route the adresses to our dmz server when i give them official IPs...

    any ideas? i heared of the proxy arp feature. can someone explain how to use this? I'm rather unexperienced with that kind of stuff.
  • 0 in reply to Krycek
    I've not used that either, but this would be a much cleaner way of doing a DMZ full of servers meant to be accessed by the public.  I've always done it like KKnecht.

    I would alos welcome a bit of discussion about the disadvantages of using ARP Proxy instead of DNATs.

    Cheers - Bob
  • 0 in reply to Krycek
    One option is to have the ISP route all your traffic to the firewall external interface, and use the public IPs internally.

    Barry
  • 0 in reply to BarryG
    which means it would look like this:

    ISP's router
    - interface 1 (external): whatever, managed by ISP
    - interface 2 (internal): 192.168.0.1 (all traffic for the official a.b.c.d net routet to 192.168.0.2)

    astaro
    - interface 1 (external - connected to ISPs router): 192.168.0.2
    - interface 2 (dmz): a.b.c.d/24
    - interface 3 (internal): x.x.x.x/...

    is that correct? So I'll have to make the ISP route all traffic destined for a.b.c.d/24 to the 192.168.0.2 interface of astaro? will that work? don't i have to use official IPs for such kind of routing? sorry... i don't know any better ;-)