Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 2957 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DHCP "annoyance" & help configuring DMZ Environment

atarso
Hi Everyone!

I'm using ASG 7.3.0.5, and I have the following basic configuration going (works great!)

1 x port as WAN connection to my DSL router (using DHCP)
1 x port as network connection to internal network.  This connects to a wireless router, which has my PC and laptops and stuff behind it.

I just built an FTP server, so I want to put it in a DMZ.  So, naturally, I know I need to configure another NIC on my firewall as another WAN uplink to the second port on my dsl modem, and another NIC on the firewall as the DMZ network (on a different subnet as the internal network), then give it a route, gateway, and setup masquerading, right?

Sounds simple.  But I'm running into some problems…

1.  When I enable DHCP on the the DMZ WAN Uplink interface, (which is connected to a second port on my dsl modem) it stays "down" unless I delete the interface, physically change the network cable to another NIC on the firewall and set it up for DHCP, etc. for the DMZ Wan uplink.  Huh?  This isn't a problem right now, it's a pain because I want to work on this remotely, so I can't move cables around and stuff.  I can work around it by just reconfiguring it if necessary or restoring a backup config in the worst case when I get home and stuff, but any idea why?  Is it holding on to the DHCP info. Somewhere that I can flush so I don't have to do it?  Here is a snippet of the system logs that show the DHCP activity (other log info. Cut out for clarity): 


2008:12:30-13:12:43 (none) dhcpcd[2551]: broadcasting DHCP_REQUEST for xx.xx.xx.xx

2008:12:30-13:12:47 (none) dhcpcd[2551]: timed out waiting for DHCP_ACK response 

2008:12:30-13:12:47 (none) dhcpcd[2551]: broadcasting DHCP_DISCOVER 

2008:12:30-13:12:58 (none) dhcpc-sh: DHCP connection fine. Checking again in 60 seconds 

2008:12:30-13:13:47 (none) dhcpcd[2551]: timed out waiting for a valid DHCP server response 

2008:12:30-13:13:47 (none) dhcpc-sh: DHCP client not running - starting now... 

2008:12:30-13:13:47 (none) dhcpcd[2690]: broadcasting DHCP_REQUEST for xx.xx.xx.xx

2008:12:30-13:13:57 (none) dhcpcd[2690]: timed out waiting for DHCP_ACK response 

2008:12:30-13:13:57 (none) dhcpcd[2690]: broadcasting DHCP_DISCOVER 

2008:12:30-13:13:58 (none) dhcpc-sh: DHCP connection fine. Checking again in 60 seconds 

2008:12:30-13:14:23 (none) dhcpcd[2690]: recvfrom: Network is down 

2008:12:30-13:14:48 (none) dhcpcd[2854]: broadcasting DHCP_REQUEST for xx.xx.xx.xx

2008:12:30-13:14:58 (none) dhcpc-sh: DHCP connection fine. Checking again in 60 seconds 

2008:12:30-13:14:58 (none) dhcpcd[2854]: timed out waiting for DHCP_ACK response 

2008:12:30-13:14:58 (none) dhcpcd[2854]: broadcasting DHCP_DISCOVER 

2008:12:30-13:15:58 (none) dhcpc-sh: DHCP connection fine. Checking again in 60 seconds 

2008:12:30-13:15:58 (none) dhcpcd[2854]: timed out waiting for a valid DHCP server response 

2008:12:30-13:15:58 (none) dhcpc-sh: DHCP client not running - starting now... 

2008:12:30-13:15:58 (none) dhcpcd[3033]: broadcasting DHCP_REQUEST for xx.xx.xx.xx

2008:12:30-13:16:08 (none) dhcpcd[3033]: timed out waiting for DHCP_ACK response 

2008:12:30-13:16:08 (none) dhcpcd[3033]: broadcasting DHCP_DISCOVER 

2008:12:30-13:16:58 (none) dhcpc-sh: DHCP connection fine. Checking again in 60 seconds 

2008:12:30-13:17:08 (none) dhcpcd[3033]: timed out waiting for a valid DHCP server response 

2008:12:30-13:17:08 (none) dhcpc-sh: Sleeping 60 seconds 

2008:12:30-13:17:58 (none) dhcpc-sh: DHCP connection fine. Checking again in 60 seconds 

2008:12:30-13:18:08 (none) dhcpc-sh: DHCP client not running - starting now... 

2008:12:30-13:18:08 (none) dhcpcd[3250]: broadcasting DHCP_REQUEST for xx.xx.xx.xx

2008:12:30-13:18:18 (none) dhcpcd[3250]: timed out waiting for DHCP_ACK response 

2008:12:30-13:18:18 (none) dhcpcd[3250]: broadcasting DHCP_DISCOVER 

2008:12:30-13:18:58 (none) dhcpc-sh: DHCP connection fine. Checking again in 60 seconds 

2008:12:30-13:19:18 (none) dhcpcd[3250]: timed out waiting for a valid DHCP server response 

2008:12:30-13:19:18 (none) dhcpc-sh: Sleeping 60 seconds 

2008:12:30-13:19:58 (none) dhcpc-sh: DHCP connection fine. Checking again in 60 seconds 

2008:12:30-13:20:18 (none) dhcpc-sh: DHCP client not running - starting now... 

2008:12:30-13:20:18 (none) dhcpcd[3387]: broadcasting DHCP_REQUEST for xx.xx.xx.xx

2008:12:30-13:20:28 (none) dhcpcd[3387]: timed out waiting for DHCP_ACK response 

2008:12:30-13:20:28 (none) dhcpcd[3387]: broadcasting DHCP_DISCOVER 

2008:12:30-13:20:58 (none) dhcpc-sh: DHCP connection fine. Checking again in 60 seconds 

2008:12:30-13:21:28 (none) dhcpcd[3387]: timed out waiting for a valid DHCP server response 

2008:12:30-13:21:28 (none) dhcpc-sh: Sleeping 60 seconds 

2008:12:30-13:21:58 (none) dhcpc-sh: DHCP connection fine. Checking again in 60 seconds 


2.  I'm not sure exactly what I need to do to get things working for the DMZ too - was I right above?  These are the steps I planned to take (and where I get lost):
A.  Create interface "DMZ WAN Uplink" (via DHCP from DSL modem)
B.  Create interface "DMZ FTP Server" --> connect to FTP server
C.  Create Static Route as Gateway Route; Network = DMZ WAN Uplink (from step A); Gateway = ???  I would have specified the DMZ FTP Server from step B, but it won't let me…huh?  I tried the reverse too and the same thing...
D.  Create Masquerading Rule for "DMZ FTP Server -->DMZ WAN Uplink, right?  Just like my existing masquerading rule for my first network.
E.  Create packet filter rules, and have fun!

My confusion is because of the default gateway - that was a nice way to just click and get my first network going, but you can only have one default gateway understandably….hhmm….Ideas?  Thanks in advance for any input - appreciated!!!


This thread was automatically locked due to age.
Parents
  • 0

    I just built an FTP server, so I want to put it in a DMZ.  So, naturally, I know I need to configure another NIC on my firewall as another WAN uplink to the second port on my dsl modem, and another NIC on the firewall as the DMZ network (on a different subnet as the internal network), then give it a route, gateway, and setup masquerading, right?


    Normally, you would just put another NIC in the firewall for the DMZ; and not add another external NIC.

    If you need another external IP, you can add a second IP to the external NIC.

    Barry
Reply
  • 0

    I just built an FTP server, so I want to put it in a DMZ.  So, naturally, I know I need to configure another NIC on my firewall as another WAN uplink to the second port on my dsl modem, and another NIC on the firewall as the DMZ network (on a different subnet as the internal network), then give it a route, gateway, and setup masquerading, right?


    Normally, you would just put another NIC in the firewall for the DMZ; and not add another external NIC.

    If you need another external IP, you can add a second IP to the external NIC.

    Barry
Children
  • 0 in reply to BarryG
    Sorry, I put too much info. in my post I think...

    So I have a four port DSL modem.  Two of the ports are reserved for IPTV, and the other two are usable.  One is currently used for my web traffic, the other just sitting there begging to be used ;o)

    On my firewall, I have four NIC's.  Two of them are currently in use (one for WAN uplink to above mentioned DSL modem, one for internal facing network).  The other two I was wanting to make another WAN uplink for DMZ only, and the other last NIC would serve traffic to DMZ network.

    This would allow me to utilize both ports on my DSL modem without impacting each other (i.e. during large FTP transactions my surfing wouldn't be felt as my ISP throttles each port to 6Mb each).

    So, I have no problems getting the second WAN link up and working (aside from the wonky behaviour mentioned above with disabling the interface), but I just can't get the whole setting up as a separate network as a DMZ (ie. the routing, masquerading, gateway, etc.).

    Does this help clarify my question?  In a nutshell, I'm trying to configure a second WAN uplink for use on the DMZ network only (isolate from regular network and regular WAN uplink).  When I had it setup before with what I thought was right, I was hitting my firewall (so port forwarding wasn't working...?  That gives me an idea...I'll mess around with that idea and post back if I get any progress - if that's the case, thanks for listening!  LOL).
  • 0 in reply to atarso
    Read up on Policy Routing in the docs or knowledgebase... it should be able to do what you want.

    Barry
  • 0 in reply to BarryG
    I did search the knowledge base and found an article on new interfaces, then when I read your post and tried another search, I found a more appropriate article on How to port forward service ports (bingo!).  I'll give that a shot along with my earlier revelation.  Will post the results in the hopes that it will help someone else in the future (granted I get it going).
  • 0 in reply to atarso
    I believe you'll still need Policy Routing to get the outgoing traffic to go the way you want.

    Barry
  • 0 in reply to BarryG
    Atarso, if your ISP allows you to use the second port for no additional charge, I'd be interested in the name of the ISP and of the model of the modem.

    Thanks - Bob
  • 0 in reply to BAlfson
    Yes, I know, it's a sweet deal!  It's a small town with it's own local ISP, it only services the area [:$](

    I get to enjoy 2 x 6Mb uplinks and 2 x 15Mb uplinks for ipTV (I havent tried connecting to one of them, but they tell me it won't work if I try...Sometime after I get FTP done I'll connect my laptop to it and see for myself hehe).

    But yes, I can hook my laptop on one port and get DHCP public IP on it, and my firewall running with another assigned public IP.  So I thought I might as well make use of it!  They also don't restrict my traffic in terms of bandwidth or anything dumb like that either.  [:$])

    Alas I figured out my immediate problem - I was trying to use my 10.1.1.x FTP server...BEHIND my 192.168.1.X router - duh!  I moved it and hooked it (my ftp server that is) up directly to the NIC on the firewall for it and am trying again tonight.  I'm having a problem with routes though.  I just want to get SSH from my internal network talking to the FTP server network.  Will have to mess around with that later.  I'm not stumped yet ;oP

    Thanks again for listening!!!
  • 0 in reply to atarso
    I pay $100.00/month - that includes phone, internet, and TV all in one package with all phone features.  Long distance on top of that, but I hardly make long distance calls anyway...[:D]
  • 0 in reply to atarso
    The other day I logged a new post on asking how to determine why my firewall was offline for over an hour with logs lost, etc. for that time.  When I got home, I discovered the power had gone out (blew me away because the weather was fine etc. and no planned outages, etc.).  Any...Well…Don't I feel sheepish!  I got home last night and thought back to my whole power outtage incident from that day and then clued in that the down link on my FTP server….must be right - I haven't changed the BIOS settings on that server since I got it, and when I looked at the server, I realized the lights were out (and NO ONE was home haha).  I powered it on.  Will test again when time permits.  To think…All the testing and messing around I did yesterday was for nothing because the server was off the whole time - LOL (well, not really LOL, but heck, you have to laugh at these mistakes to maintain your sanity).  Am I sane though?  Ok, enough rantings...

    I aspire to be able to help others once I figure this stuff out...Heh.

    Oh yeah, another thing...I am trying to configure the second WAN nic for my DMZ connection with DynDNS, but it looks like you can't have two WAN nics with DynDNS going simultaneously (with different hostnames, IP's, etc.).  I try to apply the second configuration and I get an error about an inconsistency - huh?  When I get that figured out, I'll post the solution to that too (if there is indeed one, or rather, a work around if applicable).
  • 0 in reply to atarso
    I think you can even create multiple DynDNS for each interface if you want.

    Funny post about your "off" server ;-)

    Thanks - Bob