Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 2770 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

New setup, DNS and routing issues

tachijuan
Hello All - sorry if these are relatively newb questions.

I just migrated away from SmoothWall to Astaro V8.301. I have pretty much everything working as I had before with my smoothwall setup. However, I'm running into some issues that I can't sort out because ASG is much more capable. My setup is a relatively complex home setup:

- Five Static IP addresses assigned to me (a /29 network).
- Four of those Static IP addresses have Linux machines directly on them. Those are being protected by the built-in firewalls. Three of these are dual homed (i.e. one NIC on the public internet and one NIC on my internal network). This was a much simpler thing to do with smoothwall than to try to have everything behind a single firewall and route accordingly. The linux servers are my mail server and web servers (I host a few sites for friends and family).  - (Call these PubHosts)
- One of those IP's is connected to the ASG. All of my home machines (laptops, desktops, tv's, etc.) are behind this IP. This is also the IP that's used to setup the SSL VPN.  (call it the HomeNet).

Here's what works:

- My HomeNet machines can all communicate to the world without any problem. They can also communicate to each other.
- DHCP is working fine for devices that don't have a static IP or static DHCP assignment.
- Static DHCP assignment is working fine
- SSL VPN is working and I can connect to HomeNet via TunnelBlick on my macs.
- PubNet machines still connect to the internet fine (I can hit the mail/web services on them from outside my network just fine.)
- DNAT is working for my RDP server and one internal test web server both of which are on HomeNet.

Here's what's broke and I can't figure out how to fix:
- HomeNet machines can't resolve short names (i.e. "ping bud" doesn't resolve, but "ping bud.domain.com" does work). 
- HomeNet machines can ping/ssh to the PubHosts, but can not get HTTP traffic to work. HTTPS traffic seems to work fine. (i.e. "ssh server.domain.com"  and "ping server.domain.com" works, "telnet server.domain.com 80" does not work)
- SSL VPN'd machines aren't getting any DNS services from ASG. I have to use /etc/hosts to resolve IP's. Once resolved, I can flow traffic fine. 


I'm pretty sure that I'm not getting something simple here and that there's room for improvement (i.e. I'm planning on moving all of the PubNet hosts behind ASG at some point). 

What did I do wrong? What logs/screenshots can I share that will help?

Thanks!


This thread was automatically locked due to age.
  • 0
    Hi, tachijuan, and welcome to the User BB!

    - HomeNet machines can't resolve short names (i.e. "ping bud" doesn't resolve, but "ping bud.domain.com" does work).

    Do you have your local domain name listed in the DHCP server?

    - HomeNet machines can ping/ssh to the PubHosts, but can not get HTTP traffic to work. HTTPS traffic seems to work fine. (i.e. "ssh server.domain.com" and "ping server.domain.com" works, "telnet server.domain.com 80" does not work)

    Are you running 'Web Security' in a "Transparent" mode?  If so, you'll want to add those PubHosts to the 'Skip transparent mode destination hosts/nets' list on the 'Advanced' tab, probably with 'DNS Host' definitions for their FQDNs.

    - SSL VPN'd machines aren't getting any DNS services from ASG. I have to use /etc/hosts to resolve IP's. Once resolved, I can flow traffic fine.

    Start with DNS Best Practice, and then go to 'Remote Access >> Advanced' to confirm that section is completed.

    Cheers - Bob
  • 0 in reply to BAlfson
    BAlfson, thanks for the reply. We are making progress:

    Do you have your local domain name listed in the DHCP server?


    Yes. domain.com is listed as the Domain for the DHCP server:


    What I did do was add .domain.com to all of my static DNS entries and now it works. For testing purposes I added a nonexistent host (testtest) and left the domain stuff out (i.e. the name of the server is just testtest). dig gets no results back when I do "dig testtest" or "dig testtest.domain.com". Same thing for ping. Weird thing is that nslookup does get the data back. I'd been doing all of this testing on my Macs. When I saw this nslookup stuff happen, I went to one of my internal linux hosts and it all works. The difference is that the Mac's have their name server defined via /etc/resolv.conf. The Mac's are getting it from DHCP.

    Are you running 'Web Security' in a "Transparent" mode? If so, you'll want to add those PubHosts to the 'Skip transparent mode destination hosts/nets' list on the 'Advanced' tab, probably with 'DNS Host' definitions for their FQDNs.


    No web security. I'm trying to run a minimal set of services until I get all the basics sorted out:




    Start with DNS Best Practice, and then go to 'Remote Access >> Advanced' to confirm that section is completed.


    That Remote Access thing fixed the SSL VPN issue. I should have seen that.


    So - maybe I'm missing something here, but is the ASG not intended to be used as the primary DNS server for a small setup like mine? I'd hate to standup a separate internal DNS server. Smoothwall acted fine for me in this sense. What I don't see is how to setup CNAMEs and MX recors, etc in the DNS setup.


    Thanks again for all the help!
  • 0
    Hi, you can create 'static dns records' in Astaro, but no CNAMEs or MX.

    Barry
  • 0
    The implementation in Astaro is more of a DNS proxy than a full blown DNS server.  Feel free to add more points to Networking: Full DNS Server
  • 0 in reply to BarryG
    Hi, you can create 'static dns records' in Astaro, but no CNAMEs or MX.

    Barry


    Thanks Barry. Any more feedback on why I can't see the HTTP traffic to my PubNet hosts?
  • 0
    What happens if you try to ping them?

    (make sure pings are allowed through the firewall on the PacketFilter-ICMP page.)

    Barry
  • 0 in reply to BarryG
    What happens if you try to ping them?

    (make sure pings are allowed through the firewall on the PacketFilter-ICMP page.)

    Barry


    That's the weird thing. I can ping, ssh, and even see the sites that use HTTPS. It's only the HTTP traffic that's not making it through. Is there a log I can look at to see what's going on?

    I can "telnet server.domain.com 80" and it's blocked and never makes the connection. I can, however, immediately "telnet server.domain.com 443" and it works.
  • 0 in reply to tachijuan
    The firewall log should tell you wether or not packets are blocked.

    Your system configuration shows three rules, do they include both HTTP and HTTPS?  If you enable logging on those rules you should also be ableto tell wether or not they are accessed when you try to use port 80
  • 0 in reply to khardeveld
    The firewall log should tell you wether or not packets are blocked.

    Your system configuration shows three rules, do they include both HTTP and HTTPS?  If you enable logging on those rules you should also be ableto tell wether or not they are accessed when you try to use port 80


    That was the problem. I had a misconfigured DNAT rule for http. 

    Thanks guys!