Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 2 subscribers
  • Views 3261 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Simple Network Configuration Still Unable To Browse

bobby_digital
Hi All,

I have a simple configuration setup 3 nics, configured as trusted, untrusted and dmz. Trusted and Untrusted configured fine and I'm able to browse the web with no problems at all. However, the DMZ interface is the tricky part. It will be connected to my linksys wireless router. So my config with this is as follows:

Trusted Interface - 10.x.x.x
Untrusted - Internet
DMZ - 172.x.x.x

I followed the configuration from:

https://community.sophos.com/products/unified-threat-management/astaroorg/f/53/t/32694

However, i'm still unable to browse and unable to access the DMZ from the Trusted interface. I have masquerade rules and a PF rule allowing the DMZ to any.... And i'm plugged into a LAN port on the linksys wireless router. 

Any Help is greatly appreciated.


This thread was automatically locked due to age.
  • 0
    Hi, 

    1. Your rule to allow the DMZ to ANY means the DMZ can access the Trusted LAN, so you don't really have a DMZ. You can fix this by putting a rule above that to block traffic from DMZ to LAN.

    2. Do you have a PF rule allowing the LAN to talk to ANY or to the DMZ?  And a Masquerade rule for LAN->EXT?

    You should take a look at your PacketFilter and IPS logs too.

    Barry
  • 0
    I just need some help understanding this setup for my sanity. I can't figure out why the wireless will not work and i'm configured the same way as the guy stated from the DMZ basic setup config. Also, another thing that is baffling me is the config and cabling i'm reading that has to be implemented in order for the wireless to work. I'm told that it has to be plugged into a regular lan port and that dhcp has to be turned off on the linksys. So my question I guess is what routing mode should the linksys be in to accomodate this configuration? I'm guessing that the astaro will handle all DHCP for the clients connected wireless via the DMZ interface?

    Again, thanks all for your responses... this is a fun learning process....
  • 0
    You might want to change the names you're using to Internal and External so that you don't have to explain what's where - at least, these names are the "culture" in the Astaro world.

    Several basic tips for setting up an Astaro:

    - At the initial installation, use a publically-resolvable FQDN for the hostname.  Changing this later causes LOTS of problems.  Not having a good FQDN makes configuration of VPNs, Mail Security, etc. more complicated.

    - By default, a firewall blocks everything.  You can see in the Firewall log what is being blocked.  The initial installation wizard adds Firewall rules for "Internal (Network)" that allow it Web Surfing and other access to the Internet.  Astaro is a "stateful" firewall, it keeps track of connections it makes, so no rules are required to allow response traffic from the Internet.

    - The public internet doesn't know how to route private IP addresses.  When, for example, browsing requests are sent out, they must leave with the public IP of the External interface.  The initial installation wizard adds a Masquerading (NAT) rule: 'Internal (Network) -> External'.

    - When traffic arrives at an Astaro interface, it will be handled by a DNAT, if one exists, before a proxy.  If it does go to a proxy, then your manual routes and firewall rules won't be considered.  That is: "DNATs before Proxies before manual rules & routes."



    Cheers - Bob
  • 0
    @BAlfson - thank for the info, I get your response 100%... I guess the part thats not making sense to me is the configuration I'm being told that is needed in order to get the linksys wireless to work with the Astaro...

    Again, thanks for all responses.
  • 0
    Yes, you should turn the Linksys into a wireless switch so that you don't have double-NATting going on - many good reasons for avoiding that.  I tell people to disable DHCP and tape over the WAN port on their wireless routers.

    Cheers - Bob
  • 0
    @BAlfson - So in operating mode under advanced routing, i should switch from gateway mode to "router" mode?
  • 0
    If that's a question about the Linksys, and those are the only choices, then - "Yes."  However, I guess that that relates only to what is done with the traffic that passes through the WAN port, so it "should" make no difference.

    Cheers - Bob
  • 0 in reply to BAlfson
    OK I hate to sound crazy, but I'm still having issues getting my wireless to work on the dmz interface of the firewall. 

    If someone has settings that work from a wireless standpoint please feel free to share with me. I'm willing to try any config at this point.

    For testing purposes I basically have any any allow rules for the dmz just tryin to get traffic to traverse the firewall. 

    I check the logs and i'm not even seeing traffic from the 172.x.x.x network.
  • 0
    The Firewall log normally only shows blocked packets. It won't show the allowed traffic unless the rule allowing the traffic has 'Log traffic' selected.

    Have you added a 'DMZ (Network) -> External' masquerading rule?

    Cheers - Bob
  • 0 in reply to BAlfson
    Yes, I have added the required masquerading rules. I think maybe i need to completely reconfigure my linksys in order to work with the Astaro product. I'm just not sure what config the linksys should be in to accomplish this. I've tried just about every possible configuration to no avail.