Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 1706 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

How to open up ports between subnets in Astaro Security Gateway?

Uncle B
Hi

I'm having trouble to allow my ant-v from one subnet be used in another subnet.

The issue is I'm using ASG V7, and I have two subnets one with 10.10.10.x and the other 10.10.1.x.

My ant-v is on 10.10.1.x and would like my clients residing in 10.10.10.x to be able to use it.

Any one out there with an idea on how I could sort this out?

Thanks in advance.

Uncle B.


This thread was automatically locked due to age.
  • 0
    Hi, Uncle B, and welcome to the User BB.

    Do you have a packet filter rule like '{10.10.10.x definition} -> Any -> {10.10.1.x definion} : Allow'?

    Cheers - Bob
  • 0 in reply to BAlfson
    I am having a similar issue. There is a server on subnet A and clients on subnet B. Clients could communicate with the server no problem, before I subnetted the server.
    To troubleshoot this, I created a service "Any.At.All" {TCP/UDP 1:65535 → 1:65535}
    and two rules:
    {Subnet A} → {Any.At.All} → {Subnet B} → Allow
    {Subnet B} → {Any.At.All} → {Subnet A} → Allow

    Application doesn't work. It is pretty ugly, it uses a 255.255.255.255 broadcast to discover the server, there is also ability to specify the server's IP, but nothing is discovered.

    I can't even ping the server from Subnet B. What is wrong?
  • 0
    Hmmm ... that's a hint about the QoS issue for VoIP /VPN.

    For example, if before you made the changes, in bith sites, you had VoIP and Data devices mixed together with random IPs in "Internal (Network)":

    Site1 = 10.1.1.0/24
    Site2 = 10.2.2.0/24



    I figured you would do something like the following, creating new network definitions inside a larger IP-range for the "Internal (Network)"s:

    Site1: Internal (Network) = 10.1.0.0/23

    Data1 = 10.1.1.0/24
    VoIP1 = 10.1.0.0/24


    Site2: Internal (Network) = 10.2.2.0/23

    Data2 = 10.2.2.0/24
    VoIP2 = 10.2.3.0/24


    We didn't need to isolate the two subnets, just to be able to identify whether the traffic between sites should go via one VPN or the other.  So, I guess that's where you are now - VoIP and Data devices on physically different LANs, and the VoIP phones want to talk to  the VoIP server.  Is that right?

    Now it occurs to me that you might want to use DHCP for the VoIP phones and the computers, and that would require you to physically separate the subnets on different interfaces.  Your "Any-at-All" service is the same as the default "Any" service.

    I'm going to guess that the problem is the default gateway setting in the server.

    Note that pinging must be enabled between devices on different interfaces; this is done by selecting 'Firewall forwards Pings' on the 'ICMP' tab of 'Network Security >> Packet Filter'.

    Cheers - Bob