Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 3993 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

(internal) Routing issue

MartinB
We have a small problem with routing and our new ASG 220 (8.300).
We have 2 network IP ranges in our LAN. Both are connected over a router. The ASG is in IP range A and all our Clients have the ASG configured as their default gateway. In the ASG we configured a route for IP range B to the router. 
Doing that all traffic between both IP ranges was blocked by the ASG. There was no route redirection just every packet was blocked. 
To solve this temporarily, we created 2 rules allowing every traffic between both IP ranges. It is working now, but from time to time we see packet-loss between both nets. 

What would be the best solution for this? Changing default gateway or setting a route on every internal computer/device is not an option. We just want the ASG to redirect traffic for net B to the router.

Edit: attached image of paket loss after installing astaro ASG on 3.2.2012 at ~15:00


This thread was automatically locked due to age.
  • 0
    How about a simple diagram?  Is it like:

    Internet
    |
    Astaro --- net A
    |
    Router --- net B



    Where did you get the packet loss graph?  What packets are being lost?

    Cheers - Bob
  • 0
    Diagram:

    Internet 
      |
    Astaro -- DMZ
      |
    Net A - Router - Net B

    Net A has Astaro as default GW. Route to Net B in Astaro ist set.
    The PL Graph is from our Nagios server. Nagios is located in net A with the ASG as default GW. The shown graph is from ICMP (ping). We see the same for all hosts in Net B.

    Friday 3.2.2012 we installed the ASG 220 in exchange of our old Sonicwall. Network didn't change.
  • 0
    The configuration for ping behavior is on the ICMP tab of 'Network Security >> Firewall'.

    Did that resolve your issue?

    Cheers - Bob
  • 0
    I know this Tab and we don't want to use those settings there. We created a rule for each ICMP (ping, tracroute, etc.) we want to allow, so we can decide exactly from which network/host ICMP can pass to which net/host.

    We do not want to enable it globaly. 

    It surprised us that we had to create a rule to allow net A to net B and net B to net A, cause both are in our LAN and we created an according route on the Astaro. 

    Martin

    Edit: From the manual: Allowing any ICMP traffic on this tab will override ICMP settings being made in the firewall. If you only want to allow ICMP for certain hosts or networks, you should use the Firewall > Rules tab instead.
    So thats what we did. And the traffic (pings) we have problems with is beween 2 nets BOTH on LAN interface. The Astaro should only redirect the client from netA to use the router to net B. And even with the rules decribed above it doesn't work properly.
  • 0
    Hi, creating a route doesn't eliminate the need for packetfilter rules.

    Even though both are internal, if the machines in A have the firewall as their gateway, they need to go 'through' the firewall to get to B.

    Please post screenshots of your PacketFilter rules for ICMP, and any custom service definitions, and excerpts from the PacketFilter and IPS logs.

    Barry
  • 0
    See attached picture for the packet filter rules. Nevertheless on our old appliance packet-Filters for a route coming from LAN and going to LAN wasn't necessary thats why we are a bit surprised we had to configure a rule on the ASG.

    Thanks for the hint with the IPS, i found out that the lost packets were indeed caused by the IPS. From time to time the Nagios Server checks were detected as ICMP Flood and/or UDP Flood attacks. 
    I now excluded the Nagios server from IPS. Hope that will eliminate this problem.

    Martin
  • 0
    Martin, is there a reason you're using a Network definition for [LAN Netz] Daun (Network) instead of the "(Network)" object like "LAN (Network)"?  If both are connected to the same Astaro interface, then why not change the netmasks for the clients?

    Excluding the Nagios for flood attacks is the right answer.

    Cheers - Bob
  • 0 in reply to BAlfson
    There is no network object for the second net because it is not directly connected to the LAN, it is behind a router that is connected inside the LAN. Because of that i created a network definition to define the routing and packet filter rules.

    Well with nagios not being blocked by the IPS everything looks fine. Ping times are 2ms higher than with the old firewall, but thats something no one will notice during normal work. Now i only have to solve our IPSec problem, new thread will follow if our partner cannot solve it quickly.