Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 1629 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[Advise needed] Setup Astaro behind another firewall

DexterS
Hi, I'm quite new for Astaro. Sorry if I'm asking stupid questions. The situation is somehow i had never faced before, i need to deploy ASG into a environment, whereby it needs to be located behind another firewall (let said firewall C) which is not managed by us.

As the network diagram attached, the ASG need to be placed behind firewall C in order to filter the packets, and monitor the user traffic from LAN A (which is network 192.168.1.x/24). We have to connect the WAN port from ASG to the Internal port of Firewall C (192.168.1.1). The internal port of Firewall C serves as gateway for LAN A.

So, i have tried to setup the interface for ASG as below:

eth0 internal
interfaces type :ethernet standard
IP:192.168.1.10

eth1 WAN
interfaces type :ethernet standard
IP:192.168.1.11
GW:192.168.1.1

Firewall
any to any (for testing purpose)

Global ICMP settings
all options were checked

however, when i tried to ping to the gateway(192.168.1.1), it shows destination unreachable.  Even though i tried to ping from ASG itself to the gateway, it also shows destination unreachable. I tried to did a traceroute, the packet somehow stopped at eth1, and couldn't forward to the gateway.
Did i need to do certain routing at the ASG itself? Or is there any other configurations that i missed out? Hope some one could give me a little advise on this...thanks...


This thread was automatically locked due to age.
  • 0
    Hi,

    In this scenario i would suggest bridging the two interfaces. There are problems with the routing if you configure two interfaces in the same network, that is why your ping is not forwarded as the traffic comes in on eth0 it is destined for a local address and will not be forwarded out eth1.

    To create the bridge just go to Interfaces and Routing -> Bridging
  • 0
    Another option is to create a small transfer network between asg and router c with different ip range - if that is possible. Or using a different ip range for network a. I think a clear structure is easier to handle and to debug in the future.

    Regards
    Manfred
  • 0
    It makes no sense to have another firewall - blocked packets are blocked packets!  What do they want to do with the ASG?  -Mail Security?  -Web Security?

    Cheers - Bob
  • 0
    Hi Dilandau, 

    Hey, ok, i should try that too. However, please correct me if i'm wrong, is that suppose to mean i should bridge interface eth0 and eth1(or other interface?) and connect eth0 to the switch while connect the eth1 to the firewall C? 

    Hi hallowach, 

    Yea, you are right if for future debugging purpose, but for the users doesn't want to change their IP, thats why i had to figure out a way to cope with this problem. 

    Hi Bob,

    Yea, it make no sense right? But i'm facing this type of situation now, where by the administrator in LAN A wants a clearer picture of the traffic processed from LAN A. firewall C is kind of not under their control...it is somekind of complex management issues. However, i still got to move on with this.
  • 0 in reply to DexterS
    Why not just install the Astaro with two subnet NICs, one for each subnet/LAN? Then just go in and look at that subnets blocked packets, etc.

    One firewall, and you can still see into each subnet.

    I do this in version 7, and it works out just fine. I am not sure if it is different in 8, but I can only imagine that it works better as far as reports go.

    Just a thought.

    C68
  • 0
    When I first installed ASG, which was back in 2004, I ran it behind a 4-port router for the first two weeks.
    I couldn't get inbound VPNs working, and it was twice as much work to get inbound port forwarding working.
    So after that two week learning experience, I got rid of the old 4-port router.
    There was no point in keeping it.

    But if you insist on having such a setup, then make sure you use a different subnet on the LAN side of the ASG box from what you are using between the first router and the WAN side of the ASG box.
    You can not route between to nets with the same net number. And using transparent mode is not ideal.
    You end up double NATing the traffic, which is of no advantage.