Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 20 replies
  • Subscribers 2 subscribers
  • Views 19139 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Astaro will not allow Network Definition using a loop back address (127.0.0.1)

coewar
Astaro v8.305
Why??  Why?? Why??????  
I try to create a Network Def for 127.0.0.1 so that I can use it, and the GUI tells me "this is a loopback address" and won't let me create it!

Another fine example of someone putting in extra effort to code something because they thought "no one will need to do this" and leaves the thing unable to do something rather than just not wasting time and effort to code something like that which would simply allow it.

My scenario which we use all the freaking time because it's totally cool and flexible, is that we SSH into a server or router and use tunnels for various things. We have a scenario where it makes perfect sense for the destination server to SSH into the Astaro router and create a remote tunnel on it, resulting in a 127.0.0.1 with some port open on the router that would let us use it to send encrypted data to that destination server. The destination server can literally be anywhere in the world.

Could have set up a nice NAT rule to make this work, but just because of this unnecessary GUI rule, I can't. Gotta find some way around it now or something.


This thread was automatically locked due to age.
  • 0 in reply to ChrisH1
    Ah. You'll need a specially compiled OpenVPN binary for that - the default build doesn't allow storing username and password in the config file.


    That is a very bad idea anyway! If you do that, there is no need for a password to secure things at all because storing the password locally means it's stored in cleartext.
  • 0
    Hi Coewar,

    Just make a DNS Definition for "localhost". All you gotta do is ask [:)]
  • 0 in reply to trollvottel
    That is a very bad idea anyway! If you do that, there is no need for a password to secure things at all because storing the password locally means it's stored in cleartext.

    So? If I want to connect an unattended server via VPN, what else is there but a) don't use a password at all (which is what I do with OpenVPN) or b) store the credentials?

    If someone gets access to my server I have other problems than a single cleartext password.
  • 0 in reply to ChrisH1
    So? If I want to connect an unattended server via VPN, what else is there but a) don't use a password at all (which is what I do with OpenVPN) or b) store the credentials?


    Hi, as mentioned above, Windows 2003 (server) has an IPSEC client, presumably with secure password storage.
    Windows 2008 server probably has this as well. I'm not sure about Win7 though.

    Barry
  • 0
    Why do you want to secure the traffic between Astaro and Satrun, but its okay to be insecure from Mars to Astaro?

    The Mars to Astaro traffic IS encrypted via an IPSec VPN.


    BTW, Windows 2003 is able to do IPsec.
    How To Configure IPSec Tunneling in Windows Server 2003

    IPSec VPN is more intrusive than SSL. One thing I don't want to do is cause that Window's server to have all its out going internet traffic suddenly get routed through the router. But I might have to look into that.

    That is a very bad idea anyway! If you do that, there is no need for a password to secure things at all because storing the password locally means it's stored in cleartext.

    I wouldn't want to bother with the recomplied OpenVPN. I would like to use an SSL Cert instead of password. Unforutnately from what I've read, this isn't allowed in Astaro?

    Hi Coewar,
    Just make a DNS Definition for "localhost". All you gotta do is ask [:)]

    Ask whom??? This forum is the only sure way to get an answer.
    Anyway, regarding getting something configured, that seemd to work. Though the DNAT rules don't seem to work by having a DNS entry as opposed to a Network IP. I'm going to have to do some more testing to see what the issue is.
    So any particular reason why someone had to code to reject having 127.0.0.1 as an IP address? If I could do that, then all my NAT rules and anything else would automatically get adjusted.
  • 0 in reply to coewar
    Ask who, your reseller or your support team if you have a business licence?

    The forum is the place for unofficial help and sometimes like in this case the moderators from Astaro do jump in and offer advice.

    Ian
  • 0
    The support channel is not all that helpful all the time. And I have several email cases with them where they recommend me using the forum to get my answers, and some of their answers came from the forum.
  • 0
    Coewar, the reason you are being referred to the forum is because the job of Astaro/Sophos Support is not to provide configuration assistance - that's resellers like me that sell that service.  Some Astaro folks and resellers provide a bit of configration help here, but we're all volunteers, so don't expect complete, complex solutions - TANSTAAFL!

    Cheers - Bob
    PS
  • 0
    Really?? I had no idea. By what boundaries is Astaro's support limited then? Astaro folks never told me about that, they just assigned to me a person to buy it from, but none of them said I can get configuration help from them. Another reason the Forum works out better. [:)] I even learn this here and not there.

    For all the times I contacted support, they primarily tell me "we don't support xyz" because I'm using the image in a cloud network (among others, including Amazon) and they were still telling me that even the Amazon was not supported yet. The only reason I'm using Astaro is because it's a Linux router I can install anywhere. I think their product capabilities far out paced their support abilities.

    Anyway, yes I did add that entry that you depicted, but there is something not quite working with it that I have to test out to figure out why.
  • 0
    Maybe posting a picture of the NAT would help.

    Barry