Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 2771 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

New setup, DNS and routing issues

tachijuan
Hello All - sorry if these are relatively newb questions.

I just migrated away from SmoothWall to Astaro V8.301. I have pretty much everything working as I had before with my smoothwall setup. However, I'm running into some issues that I can't sort out because ASG is much more capable. My setup is a relatively complex home setup:

- Five Static IP addresses assigned to me (a /29 network).
- Four of those Static IP addresses have Linux machines directly on them. Those are being protected by the built-in firewalls. Three of these are dual homed (i.e. one NIC on the public internet and one NIC on my internal network). This was a much simpler thing to do with smoothwall than to try to have everything behind a single firewall and route accordingly. The linux servers are my mail server and web servers (I host a few sites for friends and family).  - (Call these PubHosts)
- One of those IP's is connected to the ASG. All of my home machines (laptops, desktops, tv's, etc.) are behind this IP. This is also the IP that's used to setup the SSL VPN.  (call it the HomeNet).

Here's what works:

- My HomeNet machines can all communicate to the world without any problem. They can also communicate to each other.
- DHCP is working fine for devices that don't have a static IP or static DHCP assignment.
- Static DHCP assignment is working fine
- SSL VPN is working and I can connect to HomeNet via TunnelBlick on my macs.
- PubNet machines still connect to the internet fine (I can hit the mail/web services on them from outside my network just fine.)
- DNAT is working for my RDP server and one internal test web server both of which are on HomeNet.

Here's what's broke and I can't figure out how to fix:
- HomeNet machines can't resolve short names (i.e. "ping bud" doesn't resolve, but "ping bud.domain.com" does work). 
- HomeNet machines can ping/ssh to the PubHosts, but can not get HTTP traffic to work. HTTPS traffic seems to work fine. (i.e. "ssh server.domain.com"  and "ping server.domain.com" works, "telnet server.domain.com 80" does not work)
- SSL VPN'd machines aren't getting any DNS services from ASG. I have to use /etc/hosts to resolve IP's. Once resolved, I can flow traffic fine. 


I'm pretty sure that I'm not getting something simple here and that there's room for improvement (i.e. I'm planning on moving all of the PubNet hosts behind ASG at some point). 

What did I do wrong? What logs/screenshots can I share that will help?

Thanks!


This thread was automatically locked due to age.
Parents
  • 0
    Hi, tachijuan, and welcome to the User BB!

    - HomeNet machines can't resolve short names (i.e. "ping bud" doesn't resolve, but "ping bud.domain.com" does work).

    Do you have your local domain name listed in the DHCP server?

    - HomeNet machines can ping/ssh to the PubHosts, but can not get HTTP traffic to work. HTTPS traffic seems to work fine. (i.e. "ssh server.domain.com" and "ping server.domain.com" works, "telnet server.domain.com 80" does not work)

    Are you running 'Web Security' in a "Transparent" mode?  If so, you'll want to add those PubHosts to the 'Skip transparent mode destination hosts/nets' list on the 'Advanced' tab, probably with 'DNS Host' definitions for their FQDNs.

    - SSL VPN'd machines aren't getting any DNS services from ASG. I have to use /etc/hosts to resolve IP's. Once resolved, I can flow traffic fine.

    Start with DNS Best Practice, and then go to 'Remote Access >> Advanced' to confirm that section is completed.

    Cheers - Bob
Reply
  • 0
    Hi, tachijuan, and welcome to the User BB!

    - HomeNet machines can't resolve short names (i.e. "ping bud" doesn't resolve, but "ping bud.domain.com" does work).

    Do you have your local domain name listed in the DHCP server?

    - HomeNet machines can ping/ssh to the PubHosts, but can not get HTTP traffic to work. HTTPS traffic seems to work fine. (i.e. "ssh server.domain.com" and "ping server.domain.com" works, "telnet server.domain.com 80" does not work)

    Are you running 'Web Security' in a "Transparent" mode?  If so, you'll want to add those PubHosts to the 'Skip transparent mode destination hosts/nets' list on the 'Advanced' tab, probably with 'DNS Host' definitions for their FQDNs.

    - SSL VPN'd machines aren't getting any DNS services from ASG. I have to use /etc/hosts to resolve IP's. Once resolved, I can flow traffic fine.

    Start with DNS Best Practice, and then go to 'Remote Access >> Advanced' to confirm that section is completed.

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    BAlfson, thanks for the reply. We are making progress:

    Do you have your local domain name listed in the DHCP server?


    Yes. domain.com is listed as the Domain for the DHCP server:


    What I did do was add .domain.com to all of my static DNS entries and now it works. For testing purposes I added a nonexistent host (testtest) and left the domain stuff out (i.e. the name of the server is just testtest). dig gets no results back when I do "dig testtest" or "dig testtest.domain.com". Same thing for ping. Weird thing is that nslookup does get the data back. I'd been doing all of this testing on my Macs. When I saw this nslookup stuff happen, I went to one of my internal linux hosts and it all works. The difference is that the Mac's have their name server defined via /etc/resolv.conf. The Mac's are getting it from DHCP.

    Are you running 'Web Security' in a "Transparent" mode? If so, you'll want to add those PubHosts to the 'Skip transparent mode destination hosts/nets' list on the 'Advanced' tab, probably with 'DNS Host' definitions for their FQDNs.


    No web security. I'm trying to run a minimal set of services until I get all the basics sorted out:




    Start with DNS Best Practice, and then go to 'Remote Access >> Advanced' to confirm that section is completed.


    That Remote Access thing fixed the SSL VPN issue. I should have seen that.


    So - maybe I'm missing something here, but is the ASG not intended to be used as the primary DNS server for a small setup like mine? I'd hate to standup a separate internal DNS server. Smoothwall acted fine for me in this sense. What I don't see is how to setup CNAMEs and MX recors, etc in the DNS setup.


    Thanks again for all the help!