Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 22 replies
  • Subscribers 2 subscribers
  • Views 21969 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

No Internet Access (IP Masquerading - Detailed)

spideyman
I am having problems with users behind the firewall being able to access the internet.  I will try and provide as much information as possible since I have been trying to figure this out for a week.

I started with a fresh install of Astaro on an old HP p4 machine with 1GB memory.  I isntalled it and followed the wizard when you first connect to the web management portal.  I have 2 interfaces:

eth0 is inside (192.168.2.0/24)
eth1 is outside (Comcast IP)

I setup the outside interface (eht1) the allow for DHCP from the initial setup wizard.  I have also configured the inside interface to serve DHCP address, which work fine.  I have DNS forwarders set to use comcasts DNS servers.  The following are the hosts attached to the network:

Windows 7 Machine
IPv4 Address. . . . . . . . . . . : 192.168.2.254
IPv4 Address. . . . . . . . . . . : 192.168.2.254
Default Gateway . . . . . . . . . : 192.168.2.100 (Astaro UTM)
DHCP Server . . . . . . . . . . . : 192.168.2.100
DNS Servers . . . . . . . . . . . : 192.168.2.100

Astaro Gateway
Management IP 192.168.2.100
Public IP 67.x.x.95

Now, on the Astaro UTM, I can resolve hostnames:

spideyfw:/root # nslookup www.cnn.com
Server:         127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
Name:   www.cnn.com
Address: 157.166.224.25
Name:   www.cnn.com
Address: 157.166.224.26
Name:   www.cnn.com
Address: 157.166.226.25
Name:   www.cnn.com
Address: 157.166.226.26
Name:   www.cnn.com
Address: 157.166.255.18
Name:   www.cnn.com
Address: 157.166.255.19

I can ping hostnames:

spideyfw:/root # ping www.yahoo.com
PING any-fp.wa1.b.yahoo.com (69.147.125.65) 56(84) bytes of data.
64 bytes from ir1.fp.vip.re1.yahoo.com (69.147.125.65): icmp_seq=1 ttl=52 time=43.5 ms
64 bytes from ir1.fp.vip.re1.yahoo.com (69.147.125.65): icmp_seq=2 ttl=52 time=42.3 ms
64 bytes from ir1.fp.vip.re1.yahoo.com (69.147.125.65): icmp_seq=3 ttl=52 time=45.2 ms
64 bytes from ir1.fp.vip.re1.yahoo.com (69.147.125.65): icmp_seq=4 ttl=52 time=45.1 ms
64 bytes from ir1.fp.vip.re1.yahoo.com (69.147.125.65): icmp_seq=5 ttl=52 time=42.5 ms

I can ping IP addresses:

spideyfw:/root # ping 69.147.125.65
PING 69.147.125.65 (69.147.125.65) 56(84) bytes of data.
64 bytes from 69.147.125.65: icmp_seq=6 ttl=52 time=47.3 ms
64 bytes from 69.147.125.65: icmp_seq=25 ttl=52 time=2507 ms
64 bytes from 69.147.125.65: icmp_seq=28 ttl=52 time=41.5 ms
64 bytes from 69.147.125.65: icmp_seq=29 ttl=52 time=42.4 ms

So all that seems good, but I am not able to access anything from internal > external (eth0 > eth1).  Below are my settings:

Packet Filter Rules:



NAT Rules:



Dashboard:



Interfaces:



What I think is wrong is IP masquerading is not working.  I ran a TCP dump on both interfaces, and this is what I found:

(inside interface)
spideyfw:/root # tcpdump -nni eth0 host 76.13.114.90
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
21:37:26.473563 IP 192.168.2.254.50669 > 76.13.114.90.80: S 2738589191:2738589191(0) win 8192 
21:37:28.536049 IP 192.168.2.254.50671 > 76.13.114.90.80: S 2712732671:2712732671(0) win 8192 
21:37:31.543599 IP 192.168.2.254.50671 > 76.13.114.90.80: S 2712732671:2712732671(0) win 8192 

3 packets captured
3 packets received by filter
0 packets dropped by kernel

(outside interface)
spideyfw:/root # tcpdump -nni eth1 host 76.13.114.90
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
21:38:24.307310 IP 192.168.2.254.50693 > 76.13.114.90.80: S 3046422443:3046422443(0) win 8192 
21:38:27.298581 IP 192.168.2.254.50693 > 76.13.114.90.80: S 3046422443:3046422443(0) win 8192 
21:38:29.377588 IP 192.168.2.254.50695 > 76.13.114.90.80: S 3120491574:3120491574(0) win 8192 

3 packets captured
3 packets received by filter
0 packets dropped by kernel

The outside interface is using a non-routeable IP address, hence no syn-ack to the syn packets.  IP forwarders is enabled:

spideyfw:/root # cat /proc/sys/net/ipv4/ip_forward
1

I have no clue what to do next.  I really would like to use the astaro gateway, so any help is greatly appreciated.  I hope I didnt provide way too much info, but I wanted to be as thorough as possible.


This thread was automatically locked due to age.
Parents
  • 0
    Spidey, this all sounds impossible.  The SNAT shouldn't be used, just a regular Masq rule, 'Internal (Network) -> External', should be all you need.  None of this sounds like "normal" difficulties, so, as early as it is in your Astaro configuration, I think you should zap the hard drive and reinstall from ISO.  In fact, I think you should burn a new CD and do so at a much lower speed.  Not that I think this was the problem, just that this is so strange that I think you really should start over from scratch.

    Cheers - Bob
  • 0 in reply to BAlfson
    Ok, so I followed the steps that everyone has suggested and found out a few more pieces of information.

    I re-downloaded the .iso and burned it at the slowest setting my burner offered.  I re-installed Astaro and started from scratch.  Still no luck, but I do have more info that may help.

    I can confirm that I can do nslookup from a client machine on the internal interface and it will give me the IPs of the nameserver.  I cannot ping hostnames/IP addresses from client machines.

    I have enabled the proxy in transparent mode, still no internet connectivity.

    The key thing I think is wrong is that when I am using my linksys router, my IP address is: 24.X.X.215 and when I use Astaro, I am assigned with a 67.x.x.95 address, which is strange.  I am not sure why I get 2 seperate addresses even tho the 67.x.x.95 address resolves hostnames/ping.

    Also, I may be wrong, but dont I need a default route of 0.0.0.0 to point to the outside interface?  My routing table looks like:

    spideyfw:/root # route -n
    Kernel IP routing table
    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    67.X.X.0    0.0.0.0         255.255.252.0   U     0      0        0 eth1
    127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
    192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0

    HTTPS.jpg
Reply
  • 0 in reply to BAlfson
    Ok, so I followed the steps that everyone has suggested and found out a few more pieces of information.

    I re-downloaded the .iso and burned it at the slowest setting my burner offered.  I re-installed Astaro and started from scratch.  Still no luck, but I do have more info that may help.

    I can confirm that I can do nslookup from a client machine on the internal interface and it will give me the IPs of the nameserver.  I cannot ping hostnames/IP addresses from client machines.

    I have enabled the proxy in transparent mode, still no internet connectivity.

    The key thing I think is wrong is that when I am using my linksys router, my IP address is: 24.X.X.215 and when I use Astaro, I am assigned with a 67.x.x.95 address, which is strange.  I am not sure why I get 2 seperate addresses even tho the 67.x.x.95 address resolves hostnames/ping.

    Also, I may be wrong, but dont I need a default route of 0.0.0.0 to point to the outside interface?  My routing table looks like:

    spideyfw:/root # route -n
    Kernel IP routing table
    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    67.X.X.0    0.0.0.0         255.255.252.0   U     0      0        0 eth1
    127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
    192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0

    HTTPS.jpg
Children
No Data