Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 22 replies
  • Subscribers 2 subscribers
  • Views 21969 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

No Internet Access (IP Masquerading - Detailed)

spideyman
I am having problems with users behind the firewall being able to access the internet.  I will try and provide as much information as possible since I have been trying to figure this out for a week.

I started with a fresh install of Astaro on an old HP p4 machine with 1GB memory.  I isntalled it and followed the wizard when you first connect to the web management portal.  I have 2 interfaces:

eth0 is inside (192.168.2.0/24)
eth1 is outside (Comcast IP)

I setup the outside interface (eht1) the allow for DHCP from the initial setup wizard.  I have also configured the inside interface to serve DHCP address, which work fine.  I have DNS forwarders set to use comcasts DNS servers.  The following are the hosts attached to the network:

Windows 7 Machine
IPv4 Address. . . . . . . . . . . : 192.168.2.254
IPv4 Address. . . . . . . . . . . : 192.168.2.254
Default Gateway . . . . . . . . . : 192.168.2.100 (Astaro UTM)
DHCP Server . . . . . . . . . . . : 192.168.2.100
DNS Servers . . . . . . . . . . . : 192.168.2.100

Astaro Gateway
Management IP 192.168.2.100
Public IP 67.x.x.95

Now, on the Astaro UTM, I can resolve hostnames:

spideyfw:/root # nslookup www.cnn.com
Server:         127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
Name:   www.cnn.com
Address: 157.166.224.25
Name:   www.cnn.com
Address: 157.166.224.26
Name:   www.cnn.com
Address: 157.166.226.25
Name:   www.cnn.com
Address: 157.166.226.26
Name:   www.cnn.com
Address: 157.166.255.18
Name:   www.cnn.com
Address: 157.166.255.19

I can ping hostnames:

spideyfw:/root # ping www.yahoo.com
PING any-fp.wa1.b.yahoo.com (69.147.125.65) 56(84) bytes of data.
64 bytes from ir1.fp.vip.re1.yahoo.com (69.147.125.65): icmp_seq=1 ttl=52 time=43.5 ms
64 bytes from ir1.fp.vip.re1.yahoo.com (69.147.125.65): icmp_seq=2 ttl=52 time=42.3 ms
64 bytes from ir1.fp.vip.re1.yahoo.com (69.147.125.65): icmp_seq=3 ttl=52 time=45.2 ms
64 bytes from ir1.fp.vip.re1.yahoo.com (69.147.125.65): icmp_seq=4 ttl=52 time=45.1 ms
64 bytes from ir1.fp.vip.re1.yahoo.com (69.147.125.65): icmp_seq=5 ttl=52 time=42.5 ms

I can ping IP addresses:

spideyfw:/root # ping 69.147.125.65
PING 69.147.125.65 (69.147.125.65) 56(84) bytes of data.
64 bytes from 69.147.125.65: icmp_seq=6 ttl=52 time=47.3 ms
64 bytes from 69.147.125.65: icmp_seq=25 ttl=52 time=2507 ms
64 bytes from 69.147.125.65: icmp_seq=28 ttl=52 time=41.5 ms
64 bytes from 69.147.125.65: icmp_seq=29 ttl=52 time=42.4 ms

So all that seems good, but I am not able to access anything from internal > external (eth0 > eth1).  Below are my settings:

Packet Filter Rules:



NAT Rules:



Dashboard:



Interfaces:



What I think is wrong is IP masquerading is not working.  I ran a TCP dump on both interfaces, and this is what I found:

(inside interface)
spideyfw:/root # tcpdump -nni eth0 host 76.13.114.90
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
21:37:26.473563 IP 192.168.2.254.50669 > 76.13.114.90.80: S 2738589191:2738589191(0) win 8192 
21:37:28.536049 IP 192.168.2.254.50671 > 76.13.114.90.80: S 2712732671:2712732671(0) win 8192 
21:37:31.543599 IP 192.168.2.254.50671 > 76.13.114.90.80: S 2712732671:2712732671(0) win 8192 

3 packets captured
3 packets received by filter
0 packets dropped by kernel

(outside interface)
spideyfw:/root # tcpdump -nni eth1 host 76.13.114.90
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
21:38:24.307310 IP 192.168.2.254.50693 > 76.13.114.90.80: S 3046422443:3046422443(0) win 8192 
21:38:27.298581 IP 192.168.2.254.50693 > 76.13.114.90.80: S 3046422443:3046422443(0) win 8192 
21:38:29.377588 IP 192.168.2.254.50695 > 76.13.114.90.80: S 3120491574:3120491574(0) win 8192 

3 packets captured
3 packets received by filter
0 packets dropped by kernel

The outside interface is using a non-routeable IP address, hence no syn-ack to the syn packets.  IP forwarders is enabled:

spideyfw:/root # cat /proc/sys/net/ipv4/ip_forward
1

I have no clue what to do next.  I really would like to use the astaro gateway, so any help is greatly appreciated.  I hope I didnt provide way too much info, but I wanted to be as thorough as possible.


This thread was automatically locked due to age.
Parents
  • 0
    The definition for the External interface looks exceptionally broad... please show a picture of 'Network >> Interfaces' 'Interfaces' with only the 2nd and 3rd triplets hidden.

    Cheers - bob
  • 0 in reply to BAlfson
    Hi Bob,
    that was the question I asked, but didn't get an answer. ISPs don't usually give /22 to home users.

    I think I see another problem, what mode is the modem in?

    Ian M[[:)]][:S][[:)]]
  • 0 in reply to RFCat_vk_01
    The IP addressing is normal for Comcast, you often see two different network ranges active on the same segment, and the cable modems are often assigned an IP out of a network as large as /22.  (I have heard that this means you can sometimes see interesting things on your WAN interface, but I wouldn't know...)

    They tend to assign the networks round robin, so it is not surprising that the two devices flip assignments, and since each MAC is in the tables, they tend to keep getting the same assignments.

    None of which helps Spideyman get connected...

    Forgive me if you've tried this, but-
    Power off the cable modem, and leave it unplugged for at least 60 seconds (really, by-the-clock 60 seconds, no cutting corners) then plug it back in.  When the boot process is complete, log in to the Astaro, and start a reboot on it.  When the ASG is fully up again, try again.  If it is still not happy, please check the following:
    do an ifconfig and look for errors or oddities

    to see the full routing table, issue the command:
    ip r s t all
Reply
  • 0 in reply to RFCat_vk_01
    The IP addressing is normal for Comcast, you often see two different network ranges active on the same segment, and the cable modems are often assigned an IP out of a network as large as /22.  (I have heard that this means you can sometimes see interesting things on your WAN interface, but I wouldn't know...)

    They tend to assign the networks round robin, so it is not surprising that the two devices flip assignments, and since each MAC is in the tables, they tend to keep getting the same assignments.

    None of which helps Spideyman get connected...

    Forgive me if you've tried this, but-
    Power off the cable modem, and leave it unplugged for at least 60 seconds (really, by-the-clock 60 seconds, no cutting corners) then plug it back in.  When the boot process is complete, log in to the Astaro, and start a reboot on it.  When the ASG is fully up again, try again.  If it is still not happy, please check the following:
    do an ifconfig and look for errors or oddities

    to see the full routing table, issue the command:
    ip r s t all
Children
  • 0 in reply to Jack Daniel
    I recheck everything Including your lan ethernet port. When I installed my Software version my LAN got $%ed up.

    Ping each one until you get a reply with both up.

    drink coffee and relax it will come to you.

    think why cant you communicate with LAN?

    Then most important add Packet Filter to go out from local IPS
    The default install does not do this. It should but It does not.

    make your gateway is same as your DNS
    make sure DNS forward is blank.

    remove all rules ....kiss. keep it simple st%$^id! [:)]

    Please let me know if this helps. Its not that hard....[:O]
  • 0 in reply to MikeinNYC
    Bob, sorry for my ignorance but I am not sure exactly what the 2nd and 3rd triplets are [:S]

    Jack, I left the modem unplugged for a few minutes, plugged it back in and waited for all the lights to come up.  Turned the Astaro box on and waited for it to boot.  Still no luck with connection.  Below are my ifconfig and ip rst all commands:

    spideyfw:/root # ifconfig
    eth0      Link encap:Ethernet  HWaddr 00:50:FC:3E:0B:4A
              inet addr:192.168.2.100  Bcast:192.168.2.255  Mask:255.255.255.0
              UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
              RX packets:2131 errors:0 dropped:0 overruns:0 frame:0
              TX packets:1378 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:1000
              RX bytes:348069 (339.9 Kb)  TX bytes:671652 (655.9 Kb)
              Interrupt:169 Base address:0x6000

    eth1      Link encap:Ethernet  HWaddr 00:E0:18:7D:87:CB
              inet addr:67.X.118.95  Bcast:255.255.255.255  Mask:255.255.252.0
              UP BROADCAST NOTRAILERS RUNNING MULTICAST  MTU:1500  Metric:1
              RX packets:19114 errors:0 dropped:0 overruns:0 frame:0
              TX packets:1601 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:1000
              RX bytes:4220603 (4.0 Mb)  TX bytes:114204 (111.5 Kb)
              Interrupt:209 Base address:0x8000

    lo        Link encap:Local Loopback
              inet addr:127.0.0.1  Mask:255.0.0.0
              UP LOOPBACK RUNNING  MTU:16436  Metric:1
              RX packets:7850 errors:0 dropped:0 overruns:0 frame:0
              TX packets:7850 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:0
              RX bytes:4524234 (4.3 Mb)  TX bytes:4524234 (4.3 Mb)

    spideyfw:/root # ip r s t all
    default via 67.X.116.1 dev eth1  table 200  proto static onlink
    default via 67.X.116.1 dev eth1  table default  proto kernel onlink
    192.168.2.0/24 dev eth0  proto kernel  scope link  src 192.168.2.100
    67.X.116.0/22 dev eth1  proto kernel  scope link  src 67.X.118.95
    127.0.0.0/8 dev lo  scope link
    broadcast 67.X.116.0 dev eth1  table local  proto kernel  scope link  src 67.X.118.95
    local 67.X.118.95 dev eth1  table local  proto kernel  scope host  src 67.X.118.95
    broadcast 67.X.119.255 dev eth1  table local  proto kernel  scope link  src 67.X.118.95
    broadcast 127.0.0.0 dev lo  table local  proto kernel  scope link  src 127.0.0.1
    local 127.0.0.1 dev lo  table local  proto kernel  scope host  src 127.0.0.1
    broadcast 127.255.255.255 dev lo  table local  proto kernel  scope link  src 127.0.0.1
    broadcast 192.168.2.0 dev eth0  table local  proto kernel  scope link  src 192.168.2.100
    local 192.168.2.100 dev eth0  table local  proto kernel  scope host  src 192.168.2.100
    broadcast 192.168.2.255 dev eth0  table local  proto kernel  scope link  src 192.168.2.100
    local 127.0.0.0/8 dev lo  table local  proto kernel  scope host  src 127.0.0.1
    spideyfw:/root #

    Mike, I will give your suggestions a try.  I do have the gateway and DNS set to the astaro IP address.
  • 0 in reply to MikeinNYC


    Then most important add Packet Filter to go out from local IPS
    The default install does not do this. It should but It does not.


    Strongly disagree with that statement- systems should be closed by default, especially security systems.  Outbound access should be restricted to only the traffic absolutely necessary, and the rules should not allow for the bypassing of proxies.

    Also, if you go through the setup wizard, you will have specific rules created allowing appropriate outbound access.
  • 0 in reply to Jack Daniel
    Any ideas why I cant get this working?  Should I just try a different machine, or is the problem comcast?