Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 1631 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[Advise needed] Setup Astaro behind another firewall

DexterS
Hi, I'm quite new for Astaro. Sorry if I'm asking stupid questions. The situation is somehow i had never faced before, i need to deploy ASG into a environment, whereby it needs to be located behind another firewall (let said firewall C) which is not managed by us.

As the network diagram attached, the ASG need to be placed behind firewall C in order to filter the packets, and monitor the user traffic from LAN A (which is network 192.168.1.x/24). We have to connect the WAN port from ASG to the Internal port of Firewall C (192.168.1.1). The internal port of Firewall C serves as gateway for LAN A.

So, i have tried to setup the interface for ASG as below:

eth0 internal
interfaces type :ethernet standard
IP:192.168.1.10

eth1 WAN
interfaces type :ethernet standard
IP:192.168.1.11
GW:192.168.1.1

Firewall
any to any (for testing purpose)

Global ICMP settings
all options were checked

however, when i tried to ping to the gateway(192.168.1.1), it shows destination unreachable.  Even though i tried to ping from ASG itself to the gateway, it also shows destination unreachable. I tried to did a traceroute, the packet somehow stopped at eth1, and couldn't forward to the gateway.
Did i need to do certain routing at the ASG itself? Or is there any other configurations that i missed out? Hope some one could give me a little advise on this...thanks...


This thread was automatically locked due to age.
Parents
  • 0
    Hi Dilandau, 

    Hey, ok, i should try that too. However, please correct me if i'm wrong, is that suppose to mean i should bridge interface eth0 and eth1(or other interface?) and connect eth0 to the switch while connect the eth1 to the firewall C? 

    Hi hallowach, 

    Yea, you are right if for future debugging purpose, but for the users doesn't want to change their IP, thats why i had to figure out a way to cope with this problem. 

    Hi Bob,

    Yea, it make no sense right? But i'm facing this type of situation now, where by the administrator in LAN A wants a clearer picture of the traffic processed from LAN A. firewall C is kind of not under their control...it is somekind of complex management issues. However, i still got to move on with this.
Reply
  • 0
    Hi Dilandau, 

    Hey, ok, i should try that too. However, please correct me if i'm wrong, is that suppose to mean i should bridge interface eth0 and eth1(or other interface?) and connect eth0 to the switch while connect the eth1 to the firewall C? 

    Hi hallowach, 

    Yea, you are right if for future debugging purpose, but for the users doesn't want to change their IP, thats why i had to figure out a way to cope with this problem. 

    Hi Bob,

    Yea, it make no sense right? But i'm facing this type of situation now, where by the administrator in LAN A wants a clearer picture of the traffic processed from LAN A. firewall C is kind of not under their control...it is somekind of complex management issues. However, i still got to move on with this.
Children
  • 0 in reply to DexterS
    Why not just install the Astaro with two subnet NICs, one for each subnet/LAN? Then just go in and look at that subnets blocked packets, etc.

    One firewall, and you can still see into each subnet.

    I do this in version 7, and it works out just fine. I am not sure if it is different in 8, but I can only imagine that it works better as far as reports go.

    Just a thought.

    C68