Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 3243 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Trouble with Router in front of our Astaro

trialrider
Hi there,

we've a problem. At first a little view to our network settings:

[PHP]Public Router +
              |- Firewall 1 - Astaro - LAN
Router        +[/PHP]

All devices running in bridged/drop in mode. Public router forwards packets to our Astaro (VPN) and internal Server. We're using two different IP adresses.

We removed "Firewall 1" because it's running as packet filter only. After this only connections to our Astaro will be forwarded. Connections to our internal server failed, in most cases. Networking with "Firewall 1" between Routers and Astaro works fine... We don't know why.

But now "Firewall 1" is dead.

Our IT partner setup a NAT-Rule for connections to our internal server (to find the way back). Sorry, I'm not in the office so I can't say D- or S-NAT...

In most cases it works. But connecting to the Astaro for VPN failed in all cases. I think it's related to the NAT-Rule.

My thought for solving the problem was: Our Router forwards all packets to our Astaro. From all used IP addresses. In our Astaro's DNS settings there is a static entry for our public address of our internal server to it's IP. And so the connetions to our internal server from internal or external networks will be handled by the Astaro. And connecting for VPN will work to. Without any NAT-Rule.

Or has there anyone an other suggestions?
-- 
Kind regards,

Steffen


This thread was automatically locked due to age.
Parents
  • 0
    Steffen, Winter evaporated here in the last two days - it was 77F (25C) here yesterday!  Two weeks ago, we still had snow piled at the edges of parking lots.

    I googled site:astaro.org bridge mode VPN

    The only thing I found that relates to this thread was a comment by BarryG 14 months ago saying that he wasn't sure it was possible to create a VPN on a bridge, but it seems like it should work.

    I know you can set up PPTP and access it on any interface.  I have a hazy memory that utm_kid did an experiment during the 7.5 beta; he connected to the PPTP VPN on his internal interface, but couldn't get the VPN to work to work until he created a masq rule for the VPN Pool.  I still don't understand why that would make it work.  Maybe that's the trick you need.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob,

    That our Astaro doesn't route is not the problem.

    The problem are interrupted connections between our Astaro and our router only. From internal to external and vice versa. VPN connections can be established.

    We don't know what a checkbox must be marked on the Astaro or which option must be set that our router and ASG work together in perfect harmony like it does with our died Watchguard.

    So we should remove our router and set our ASG as a routing device later in time. It seems to be the only well working option.
    -- 
    Kind regards

    Steffen
  • 0 in reply to trialrider
    Thanks, Steffen, for confirming that it is possible to configure a VPN on a bridged Astaro.

    Cheers - Bob
  • 0 in reply to BAlfson
    Problem is now solved by using our ASG as a routing device. We removed our router and changed our ASG to his settings, defined external and some internal interfaces with additional addresses to.

    I hope all we be fine tomorrow at work. One IPS problem was set from "drop" to "alert": snort id 3442. Print processes stopped after firmware upgrade to 7.504... Hoping no more problems will occure.

    Masquerading for VPN is set to SNAT rules too.
    -- 
    So long,

    Steffen
Reply
  • 0 in reply to BAlfson
    Problem is now solved by using our ASG as a routing device. We removed our router and changed our ASG to his settings, defined external and some internal interfaces with additional addresses to.

    I hope all we be fine tomorrow at work. One IPS problem was set from "drop" to "alert": snort id 3442. Print processes stopped after firmware upgrade to 7.504... Hoping no more problems will occure.

    Masquerading for VPN is set to SNAT rules too.
    -- 
    So long,

    Steffen
Children
No Data