Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 12 replies
  • Subscribers 2 subscribers
  • Views 2824 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HowTo: Masquerade only one external inteface

dirkkotte
we have 2 ISPs and one DMZ (routeble over ISP1)
only traffic over the second ISP shoud be Masqueraded.
How to do this?
thanks Dirk


This thread was automatically locked due to age.
Parents
  • 0
    How many external interfaces are in the firewall?

    Barry
  • 0 in reply to BarryG
    2 external Interfaces with static IPs from different providers.
    one connects with the routed DMZ-Subnet - shuod be routed in the future and
    one for surfing / must be masqueraded because the dmz-subnet is not reacheble over this ISP

    thanks Dirk
  • 0 in reply to dirkkotte
    Dirk, tell us a little more about what your situation is.  Version of Astaro? Using HTTP proxy?  Using SMTP proxy?

    You said "must be masqueraded because the dmz-subnet is not reacheble over this ISP" - can you say that in another way?

    Is the default gateway to ISP1 or ISP2?

    What problem are you trying to solve - I mean, why do you want to masquerade?

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi,
    here my configuration

    ISP1 --- ASTARO7.402 ---- DMZ --- FW2 ---- LAN
    ISP2 ----'

    i have static IPs from ISP1 and ISP2. The DMZ has an additional Supnet from ISP1.

    we masquerade the local-lan at FW2 (FW2 has an public IP from ISP1 at the DMZ-Intrface) 
    because the FW2, the MailExchanger and some other services reside within the dmz they must comunicate with their public IPs from ISP1.
    Surfing and some ohter services shoud use ISP2.  With the current version i  can not say the proxy have to use ISP2 (see other thread).
    The DMZ-Subnet is not routeble over ISP2! So i have to masquerade outgoing traffic from the ISP2-Interface.
    Some ideas?
    Thanks dirk
  • 0 in reply to dirkkotte
    Dirk,

    You have public IPs (I assume "supnet" means subnet) from ISP1 in your DMZ, but you want them to communicate with the world through ISP2?  I'm sorry, you provide some details, but it's not clear at all what's going on on your network.

    How To Ask Questions The Smart Way.

    Please provide a network diagram.

    How many devices in the DMZ - Do you provide email services to the public?

    What version of Astaro?  How many Ethernet interfaces in your Astaro box?

    Do you have an Astaro Email Security subscription?

    Do you have an Astaro Web Security subscription? 

    There are many people here who will be glad to help you, but we can't help if we don't understand the problem.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi dirk, 
    how have you configured the routing/link balancing in your setup?
    When does or should ASG select ISP1 and when ISP2?

    Does FW2 masquerade the LAN on a DMZ ip adress?

    thanks
    Gert
  • 0 in reply to Gert Hansen
    Hi all,
    at the moment i try to configure link balancing with 2 ISPs - but i can use only one link.
    the network diagram are not to understand?
    ISP1 --- ASTARO7.402 ---- DMZ --- FW2 ---- LAN
    ISP2 ----'
    .. ok
    I have two ISP links from different ISPs. These terminating at the ASTARO FW. behind the ASTARO i have the DMZ. These have an IP-Subnet from Provider 1, many devices and are routeble over the ISP1-Link.
    the next is the FireWall2. One interface has an IP-Adress from the DMZ-Subnet (routeble from ISP1). To this interface the internal LAN behind the Firewall2 masqueraded.
    The ASTAO shoud send HTML-Traffic to ISP2. 
    but ... the visible source-address of this traffic are from ISP1 - i can´t send this traffic over ISP2 without masquerading. traffic over ISP1 shoud not be masqueraded! 
    Mail-, WEB-Security Subsctiptions and the count of interfaces are different from system to system.
  • +1 in reply to dirkkotte
    To masquerade traffic that goes out over ISP2, you add a masquerading rule under "Network Security » NAT" that looks like:
    - Network: Any
    - Interface: ISP2

    That should do the job.

    Regards,
    Daniel
  • 0 in reply to anonymous_02
    Daniel, I'm under the weather today, but that doesn't look right - you don't really mean 'Any', do you?
  • 0 in reply to BAlfson
    Dirk, It sounds like all you want the Astaro to do is WAN uplink balancing, and nothing else.  I don't know for a fact, but I don't think bridge mode is compatible with uplink balancing.

    I'm not trying to be a Trottel, but it's just impossible to help you if you don't provide a clear picture of the situation.  Please read the link I provided above to the article about getting help in venues like this one.

    MfG - Bob
  • 0 in reply to BAlfson
    Hi Daniel,
    it is tooo simple! This works.
    - Network: DMZ-Network
    - Interface: ISP2
    Thnks 
    Dirk
Reply Children
  • 0 in reply to dirkkotte
    Network: Any 
    should also work, because only traffic that is send out this interfaces is masqueraded.
    For the public IPs from ISP1 this is what you want, but for all other traffic (if there is any) this can also do no harm.
    Your rule is more specific.

    Regards,
    Daniel