Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 3244 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Trouble with Router in front of our Astaro

trialrider
Hi there,

we've a problem. At first a little view to our network settings:

[PHP]Public Router +
              |- Firewall 1 - Astaro - LAN
Router        +[/PHP]

All devices running in bridged/drop in mode. Public router forwards packets to our Astaro (VPN) and internal Server. We're using two different IP adresses.

We removed "Firewall 1" because it's running as packet filter only. After this only connections to our Astaro will be forwarded. Connections to our internal server failed, in most cases. Networking with "Firewall 1" between Routers and Astaro works fine... We don't know why.

But now "Firewall 1" is dead.

Our IT partner setup a NAT-Rule for connections to our internal server (to find the way back). Sorry, I'm not in the office so I can't say D- or S-NAT...

In most cases it works. But connecting to the Astaro for VPN failed in all cases. I think it's related to the NAT-Rule.

My thought for solving the problem was: Our Router forwards all packets to our Astaro. From all used IP addresses. In our Astaro's DNS settings there is a static entry for our public address of our internal server to it's IP. And so the connetions to our internal server from internal or external networks will be handled by the Astaro. And connecting for VPN will work to. Without any NAT-Rule.

Or has there anyone an other suggestions?
-- 
Kind regards,

Steffen


This thread was automatically locked due to age.
  • 0
    Some information more:

    At first:
    --------
    NAT rule is a D-NAT rule but deactivated at the moment.

    Traffic Source: Any
    Traffic Port: HTTPS
    Traffic Destination: lan (address)

    Typ: DNAT
    Destination: internal client
    Destination Port: HTTPS

    Automatic packet filter rule: enabled

    Second:
    --------

    In our died firewall "Proxy ARP" was enabled. In our Astaro it's not. Does enabling this option solve the problem?

    Kind regards,

    Steffen
  • 0
    Hi, Steffen,

    All devices running in bridged/drop in mode. Public router forwards packets to our Astaro (VPN) and internal Server. We're using two different IP adresses.

    Let me say that in my own words to make sure I understand.  You have two different IP addresses on the Astaro External interface, one of which is the public target for the internal webserver.  The Astaro is in bridged mode, so the IPs in your LAN are public IPs.  Is that right?  That seems unlikely; the alternative is that the Astaro is in Routing (not bridged) mode and your LAN has private IPs.  In that case, the DNAT is incorrect, and the 'Traffic destination' should be "External (Address)" instead of "Lan (Address)."

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob,

    "...two different IPs on the Astaro's external interface...": No.

    On our Astaro there is no external or internal interface. Because it's running bridged. We can connect to our internal network from the internet/external using a defined IP range by our ISP. At the moment there are only two IPs used. One for VPN and one for connecting to our internal client. Paket forwarding from these IPs is defined in our public router. The default gateway for all clients and devices in our LAN.

    BTW: We enabled "Proxy ARP" but the problem still exists. No connection to anywhere on the other side of our Astaro/Router on random moments. With different ports: HTTPS, SMTP(S), POP3(S), Printing...


    [future mode]
    Later this year we want to remove our public router and connect our Astaro in routing mode to our ISP Router. So the Astaro will be used with an external interface and needed IPs. But the bridge must be alive, because a router with internal IP is used for connecting to our companies central on one side and our LAN on the other. So the bridge will be the internal interface.
    [/future mode]

    I hope it's more clear now.
    -- 
    Kind regards,

    Steffen
  • 0
    Thanks, that helps to understand, but I'm still struggling to "see" your setup.  Internal and External interfaces are bridged.  The primary IP on br0 and an Additional Address on br0 are both public IPs that are routed into your LAN.  The Astaro is not doing any NAT, and your LAN consists only of itself and one internal client device.

    It still sounds like I'm a bit confused, doesn't it? [;)]

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob,

    Our Astaro only has an IP from our LAN. The public IPs are on our routers external interface. On it's internal interface he has an IP from our LAN.

    At the moment our Astaro doesn't any real routing for our clients. NAT is done by our router.

    Maybe I should paint a picture with our settings and IPs.

    Have a nice weekend. Here we have. Winter was back over night.
    -- 
    Kind regards

    Steffen
  • 0
    Steffen, Winter evaporated here in the last two days - it was 77F (25C) here yesterday!  Two weeks ago, we still had snow piled at the edges of parking lots.

    I googled site:astaro.org bridge mode VPN

    The only thing I found that relates to this thread was a comment by BarryG 14 months ago saying that he wasn't sure it was possible to create a VPN on a bridge, but it seems like it should work.

    I know you can set up PPTP and access it on any interface.  I have a hazy memory that utm_kid did an experiment during the 7.5 beta; he connected to the PPTP VPN on his internal interface, but couldn't get the VPN to work to work until he created a masq rule for the VPN Pool.  I still don't understand why that would make it work.  Maybe that's the trick you need.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob,

    That our Astaro doesn't route is not the problem.

    The problem are interrupted connections between our Astaro and our router only. From internal to external and vice versa. VPN connections can be established.

    We don't know what a checkbox must be marked on the Astaro or which option must be set that our router and ASG work together in perfect harmony like it does with our died Watchguard.

    So we should remove our router and set our ASG as a routing device later in time. It seems to be the only well working option.
    -- 
    Kind regards

    Steffen
  • 0 in reply to trialrider
    Thanks, Steffen, for confirming that it is possible to configure a VPN on a bridged Astaro.

    Cheers - Bob
  • 0 in reply to BAlfson
    Problem is now solved by using our ASG as a routing device. We removed our router and changed our ASG to his settings, defined external and some internal interfaces with additional addresses to.

    I hope all we be fine tomorrow at work. One IPS problem was set from "drop" to "alert": snort id 3442. Print processes stopped after firmware upgrade to 7.504... Hoping no more problems will occure.

    Masquerading for VPN is set to SNAT rules too.
    -- 
    So long,

    Steffen