Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 2 subscribers
  • Views 132822 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Internal LAN - LAN traffic being blocked

Advoc8tr
Hi,  I'm having trouble getting Astaro to allow all communication between 2 internal subnets?  Both networks can access the internet, published servers and mail server work but internal workstations are all freezing up when anyone tries to access a domain share. 

I have tried many variations  none of which have worked so currently I have set up the DNS as described in other posts with the AD DNS server resolving all requests.  The internal DNS is set up as the only forwarder on Astaro and I have a forward and reverse domain override rules.

I have tried no firewall rules, LAN1 - any - any and LAN2- any - any none of which solved the problem of DNS and SMB / CIF traffic being blocked ??

All the servers including the astaro are virtual and running on esxi .. they are all connected via a virtual switch which is LAN2

LAN1 is mapped to a physical NIC and connects to the switch along with all other network devices.

Can I have clarification on a couple of questions please.

1.  Does astaro pass ALL traffic between internal networks by default or are rules necessary?

2. Is there a reason why you can't use the astaro DNS with ISP forwarders and domain override rules for the AD domain in an active directory environment - rather than send external DNS requests to internal DNS?

Can anyone offer any advice on what could be causing Astaro to block internal traffic between LANS

Thanks.


This thread was automatically locked due to age.
Parents
  • 0
    OK Guys thanks

    My AD domain controller and other servers are in subnet2 (LAN2).  The AD has a single domain defined.  subnet1 (LAN1) has some workstations that are connected to the domain and these are the PCs that struggle to communicate accross the subnets.  

    LAN1 also contains kids pcs, phones etc  that do not connect to the AD doman - just use the internet.  (they are the main reason I want to change as pfsense doesn't have the web proxy and associated flexibility to control their net usage)

    I have Intrusion prevention turned off but will check the log to be sure.

    I was using LAN1 - any - any  and LAN2 - any - any rules ... will change to those suggested and see if it makes a difference?  It sounds like it is similar to ISA ... 

    will post results later after I have been able to test

    Thanks for the suggestions ..
  • 0 in reply to Advoc8tr
    My AD domain controller and other servers are in subnet2 (LAN2). The AD has a single domain defined. subnet1 (LAN1) has some workstations that are connected to the domain and these are the PCs that struggle to communicate accross the subnets. 

    LAN1 also contains kids pcs, phones etc that do not connect to the AD doman - just use the internet. (they are the main reason I want to change as pfsense doesn't have the web proxy and associated flexibility to control their net usage)



    Advoc8tr, 

    It sounds like we have similiar set ups.  I'm a home user and I made different subnets for different purposes.

    One suggestion I have is to make all your DC devices in the same subnet.  Make all your non-DC devices in a seperate subnet.  This makes DC authentication easy.

    You can have your non-DC devices on one subnet easily access network shares on a different subnet with two simple firewall rules.  (This assumes Subnet1 contains the non-DC devices and Subnet2 contains the network share device):

    DeviceGroup (group of allowed devices defined in Astaro) > ANY > NetworkShareDevice > Allow
    Subnet1 (address) > ANY > Subnet2 (address) > DROP

    That will allow only your defined Group of devices on Subnet1 to access only the network share host on Subnet2.



    As an example, my astaro is on a PC with five NICs:

    WAN
    DC-Network (All DC devices)
    Non-DC Wireless Network (All non-DC devices.  Wireless could easily have been set up with two VLANs - one for DC and one for non-DC)
    Phone - VOIP
    DMZ - for internet facing devices

    With Astaro it is easy to allow entire subnets to communicate with other subnets, or to limit traffic only to specific devices on each subnet.  In my situation I have a Media Center (MC) which is in the DC subnet.  My kids have tablets which are in a different subnet.  I have firewall rules allowing their tablets to access only the MC and no other device in the DC subnet.  You can set up Astaro any way you want.



    Lastly, I note you are contemplating filtering.  You can use different filter profiles for different users.  You can have your Astaro use your DC to retrieve and authenticate users from your DC.  You can set up seperate profiles for different users (such as kids or parents).  To me this was the most difficult concept to understand and implement in Astaro.  I'd suggest you get the firewall rules working as you want before trying to set up web filtering.  

    If you want to do filtering now while you are still configuring the Astaro firewall, I'd suggest you open a free OpenDNS account, create a OpenDNS network inside that account and set Astaro to use the OpenDNS servers instead of your ISP DNS servers.  All internet traffic would then be filtered in an identical way according to your OpenDNS settings.
Reply
  • 0 in reply to Advoc8tr
    My AD domain controller and other servers are in subnet2 (LAN2). The AD has a single domain defined. subnet1 (LAN1) has some workstations that are connected to the domain and these are the PCs that struggle to communicate accross the subnets. 

    LAN1 also contains kids pcs, phones etc that do not connect to the AD doman - just use the internet. (they are the main reason I want to change as pfsense doesn't have the web proxy and associated flexibility to control their net usage)



    Advoc8tr, 

    It sounds like we have similiar set ups.  I'm a home user and I made different subnets for different purposes.

    One suggestion I have is to make all your DC devices in the same subnet.  Make all your non-DC devices in a seperate subnet.  This makes DC authentication easy.

    You can have your non-DC devices on one subnet easily access network shares on a different subnet with two simple firewall rules.  (This assumes Subnet1 contains the non-DC devices and Subnet2 contains the network share device):

    DeviceGroup (group of allowed devices defined in Astaro) > ANY > NetworkShareDevice > Allow
    Subnet1 (address) > ANY > Subnet2 (address) > DROP

    That will allow only your defined Group of devices on Subnet1 to access only the network share host on Subnet2.



    As an example, my astaro is on a PC with five NICs:

    WAN
    DC-Network (All DC devices)
    Non-DC Wireless Network (All non-DC devices.  Wireless could easily have been set up with two VLANs - one for DC and one for non-DC)
    Phone - VOIP
    DMZ - for internet facing devices

    With Astaro it is easy to allow entire subnets to communicate with other subnets, or to limit traffic only to specific devices on each subnet.  In my situation I have a Media Center (MC) which is in the DC subnet.  My kids have tablets which are in a different subnet.  I have firewall rules allowing their tablets to access only the MC and no other device in the DC subnet.  You can set up Astaro any way you want.



    Lastly, I note you are contemplating filtering.  You can use different filter profiles for different users.  You can have your Astaro use your DC to retrieve and authenticate users from your DC.  You can set up seperate profiles for different users (such as kids or parents).  To me this was the most difficult concept to understand and implement in Astaro.  I'd suggest you get the firewall rules working as you want before trying to set up web filtering.  

    If you want to do filtering now while you are still configuring the Astaro firewall, I'd suggest you open a free OpenDNS account, create a OpenDNS network inside that account and set Astaro to use the OpenDNS servers instead of your ISP DNS servers.  All internet traffic would then be filtered in an identical way according to your OpenDNS settings.
Children
No Data