Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 2 subscribers
  • Views 15253 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Two ethernet interfaces on LAN one filtered.

Nety
OK I am trying to get the following working.

I have 3 Ethernet cards. One is external two are to internal LAN’s. 

First internal (192.168.2.0) is simple going to a gig switch with most or my devices attached.

Second internal is the tricky one (192.168.3.0). This is attached to a WRT54G with the firewall disabled and the wan port joined to the LAN ports. This has one laptop attached to it and our IP phone. The IP phone is exposed to the internet via a nat/packet filter rule and is working fine.
The wireless is running with WPA2 security.

What I a want to do is this. Setup the laptop to have full access to the 192.168.2.0 network and access to the internet. Currently I have got it accessing the internet fine but although I can ping devices on the 192.168.2.0 network Microsoft networking is not working for it.
This laptop needs to also be able to have full access to the network if it is connected via the wireless access point but as it will get the same address I think that will work providing I get the first part working.
However I do not want other devices that connect via the wireless to have access to the local network or full access to the internet (will give limited access). 

I have given the laptop a static address and created a network object for it with the static address. However I can’t seem to get it to see the 192.168.2.0 network properly. Have tried various packet filter rules but none seem to work.


This thread was automatically locked due to age.
Parents
  • 0
    Have you looked at the PacketFilter log?

    You'll need to allow at least TCP port 445 for modern MS filesharing.

    When you are trying to connect to a share are you using \computername or \ipaddress ?

    Barry
  • 0 in reply to BarryG
    The packet filter rule I setup was

    Laptop -> any -> Lan (192.168.2.0) allow

    Which I would have thought should let all traffic to/from the laptop and the 192.168.2.0 network?

    I have not tried connecting via ip address although I did try putting a DNS entry in to the DNS on the astaro box which then allowed the laptop to resolve the name via nslookup but not via ping.

    edit - yes checked the log and it was not showing any drops from/to the laptop.
  • 0 in reply to Nety
    OK spent some more time on this last night. I found that although I can ping my home server on the 192.168.2 range but I cannot ping any other devices on the .2 range. Which is really strange because I cannot work out why the Astaro is letting a ping though for that ip but no others.

    Any ideas? Am I just missing something obvious? I have included a layout of my home network.
  • 0 in reply to Nety
    What are your NAT and Masquerading settings?

    Barry
  • 0 in reply to BarryG
    I have two masquerading settings. One from each of the internal networks to the external interface.

    I do not have any Nat settings relating to the laptop. I have several for different services ie https to the home server.
    I did try setting up a nat for the laptop but it did not seem to help.
    I do have a packet filter rule from the laptop to the 192.168.2.0 network which seems to get me closer (no drops on the trace) but still no go.
Reply
  • 0 in reply to BarryG
    I have two masquerading settings. One from each of the internal networks to the external interface.

    I do not have any Nat settings relating to the laptop. I have several for different services ie https to the home server.
    I did try setting up a nat for the laptop but it did not seem to help.
    I do have a packet filter rule from the laptop to the 192.168.2.0 network which seems to get me closer (no drops on the trace) but still no go.
Children
  • 0 in reply to Nety
    Anything showing in the packetfilter log now when you try to connect?

    Barry
  • 0 in reply to BarryG
    I will confirm tonight but when I looked last night nothing dropped. It is almost like it is not routing it correctly. But it does route pings to the home server[:S] Using tracert it makes it to the gateway on the local subnet but then gets lost.
  • 0 in reply to Nety
    This is the only drops I am seeing

    17:37:26  Default DROP  UDP 
    192.168.3.252  :  123
    → 
    207.46.232.182  :  123

    len=76  ttl=127  tos=0x00  srcmac=00:01:03:09:4a:27  dstmac=00:04:75:9a:75:e8
    17:37:27  Default DROP  UDP 
    192.168.3.252  :  123
    → 
    207.46.232.182  :  123

    len=76  ttl=127  tos=0x00  srcmac=00:01:03:09:4a:27  dstmac=00:04:75:9a:75:e8
  • 0 in reply to Nety
    Nety, why not just put both internal connections on the same subnet?  It doesn't look like you have any reason to separate them.  Otherwise, Barry, doesn't he need to write a static route?
  • 0 in reply to BAlfson
    Hi Nety, 

    which IP adress does the Wife-Laptop have, once it is connected to the WLAN?

    thx Gert
  • 0 in reply to BAlfson
    Nety, why not just put both internal connections on the same subnet?  It doesn't look like you have any reason to separate them.  Otherwise, Barry, doesn't he need to write a static route?


    Astaro should add the route automatically.
    I have multiple internal interfaces and VLANs, and it all works fine with just a few packetfilter rules.

    Barry
  • 0 in reply to Gert Hansen
    hi nety, 

    which ip adress does the wife-laptop have, once it is connected to the wlan?

    Thx gert


    192.168.3.252
  • 0 in reply to Nety
    Hi,
    I had a similar setup but simplified it to just having the VoIP phones on their own network. I manage the IP phones from my main network. without any issues.
    In both cases I didn't do anything exotic with NAT/MASQ to allow traffic between the various segments, just a route from one th ethe other and a bypass proxy rule in the PC/laptop for the network you are trying to access. 

    I haven't got my local DNS working yet, so mine only uses IP addressing for access.

    Ian M
  • 0 in reply to RFCat_vk_01
    Ideally I would have the laptop and IP phone on the main switch but it is only a 5 port switch. 

    I have the two interfaces because I want the wireless network seperated from the main network. If someone does hack it I dont want them to have full access to my network.

    However I want the laptop regardless of it being on the wired or wireless network to have full access to the main network. I did not expect it to be an issue.

    RFCat_vk, did you have to put in the route manually?

    Here is what I have set.
  • 0 in reply to Nety
    Your DNAT's don't look right to me.
    Try disabling them all and see if your internal networks work better.

    Barry