Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 2 subscribers
  • Views 132834 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Internal LAN - LAN traffic being blocked

Advoc8tr
Hi,  I'm having trouble getting Astaro to allow all communication between 2 internal subnets?  Both networks can access the internet, published servers and mail server work but internal workstations are all freezing up when anyone tries to access a domain share. 

I have tried many variations  none of which have worked so currently I have set up the DNS as described in other posts with the AD DNS server resolving all requests.  The internal DNS is set up as the only forwarder on Astaro and I have a forward and reverse domain override rules.

I have tried no firewall rules, LAN1 - any - any and LAN2- any - any none of which solved the problem of DNS and SMB / CIF traffic being blocked ??

All the servers including the astaro are virtual and running on esxi .. they are all connected via a virtual switch which is LAN2

LAN1 is mapped to a physical NIC and connects to the switch along with all other network devices.

Can I have clarification on a couple of questions please.

1.  Does astaro pass ALL traffic between internal networks by default or are rules necessary?

2. Is there a reason why you can't use the astaro DNS with ISP forwarders and domain override rules for the AD domain in an active directory environment - rather than send external DNS requests to internal DNS?

Can anyone offer any advice on what could be causing Astaro to block internal traffic between LANS

Thanks.


This thread was automatically locked due to age.
  • 0
    My unit has six NICs, one WAN and I bridged the rest to create a pseudo LAN (BR0) 

    I did find I still needed a FW rule to allow traffic to pass between LAN ports even though they were bridged. So my rule was Internal  Internal.

    I havent yet played with UTM in a VMWare environment, but it might be something to do with your vSwitch? What do the Live Logs show when trying to pass traffic?
  • 0
    Thanks, I'm trying to avoid bridging and want to keep the 2 subnets (one virtual on physical) 

    If I shut down astaro and fire up pfsense using exact same config and ips it works perfectly and has done for years.

    The problem is Astaro actively dropping LAN - LAN traffic ... esp DNS which stuffs up shares etc..  Log shows all DNS traffic to DC being dropped (default drop)

    I have read in many posts that by default it passes everything between LANs .... but it doesn't??

    I even have a single rule any - any -any and it stills blocks the DNS with default drop??
  • 0
    1. When you define interfaces, WebAdmin automatically creates routes between them, but it does not create firewall rules - you must create them.
    2. It sounds like you've already found DNS Best Practice.  It's possible to do it your way, but others convinced me not to.

    If you want to post an example line from your Firewall log, please pull from the full log file, not the Live Log.

    Rule #1 - Whenever something seems strange, always check the Intrusion Prevention log.

    Cheers - Bob
  • 0 in reply to Advoc8tr
    Advoc8tr, 

    Is the network share in Subnet1 or Subnet2 or a different location.  If it's in a not in either and is in a different subnet you will need a firewall rule to allow access to that share.

    Also, are Subnet1 and Subnet2 in the same domain.  If not you will have to set up DNS trust relationships between the two domains (assuming windows domains).  This will allow DNS lookup from one domain to the other.

    The below is general examples of setting up access between different subnets.  The example about the specific host will be helpful if your network share is not located in either Subnet1 or Subnet2.

    General rules that would work for me (I'm running 4 subnets - each with own NIC, in addition to one WAN.):

    This will allow any device on each subnet to connect to any device on the other subnet: 

    Subnet1 (network) > ANY > Subnet2 (network > ALLOW
    Subnet2 (network) >  ANY > Subnet1 (network) > ALLOW

    This will allow any device on Subnet1 to connect to HOST PC-on-subnet2 but not any other device on Subnet2 (and vice versa)  The allow rule must come first before deny rules for each subnet:

    Subnet1 (network) > ANY > PC-on-subnet2 > ALLOW
    Subnet1 (network) > ANY > Subnet2 (network) > DROP

    PC-on-subnet2 > ANY > Subnet1 (network) > ALLOW
    Subnet2 (network) > ANY > Subnet1 (network) > DROP

    You can replace ANY service with specific service(s) or group(s) of services.  This gives you the gist of the logic needed.
  • 0
    Hi Rayik,

    In the examples you give, the reason for the DROP rules would be to prevent the drops from appearing as default drops in the Firewall log.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Rayik,

    In the examples you give, the reason for the DROP rules would be to prevent the drops from appearing as default drops in the Firewall log.

    Cheers - Bob


    No and yes.  

    No - In the example it was to limit access to one host.  So the host has a firewall rule to allow access the other subnet.  After that firewall rule, a general block rule is put in to block any other hosts from accessing the other subnet.

    Yes - It functions as you described. The block would be listed to a specific firewall rule and not the general drop rule.

    As to the OP, if he had both subnets on different domains, then setting up DNS trust relationships on the DCs is the easiest and quickest way to ensure cross domain DNS lookup.  Without a DNS trust relationship (or manual DNS entries in each DC which are manually updated as IPs change), DNS lookup will fail and the result will be "no access."

    Bob
  • 0
    OK Guys thanks

    My AD domain controller and other servers are in subnet2 (LAN2).  The AD has a single domain defined.  subnet1 (LAN1) has some workstations that are connected to the domain and these are the PCs that struggle to communicate accross the subnets.  

    LAN1 also contains kids pcs, phones etc  that do not connect to the AD doman - just use the internet.  (they are the main reason I want to change as pfsense doesn't have the web proxy and associated flexibility to control their net usage)

    I have Intrusion prevention turned off but will check the log to be sure.

    I was using LAN1 - any - any  and LAN2 - any - any rules ... will change to those suggested and see if it makes a difference?  It sounds like it is similar to ISA ... 

    will post results later after I have been able to test

    Thanks for the suggestions ..
  • 0 in reply to Advoc8tr
    My AD domain controller and other servers are in subnet2 (LAN2). The AD has a single domain defined. subnet1 (LAN1) has some workstations that are connected to the domain and these are the PCs that struggle to communicate accross the subnets. 

    LAN1 also contains kids pcs, phones etc that do not connect to the AD doman - just use the internet. (they are the main reason I want to change as pfsense doesn't have the web proxy and associated flexibility to control their net usage)



    Advoc8tr, 

    It sounds like we have similiar set ups.  I'm a home user and I made different subnets for different purposes.

    One suggestion I have is to make all your DC devices in the same subnet.  Make all your non-DC devices in a seperate subnet.  This makes DC authentication easy.

    You can have your non-DC devices on one subnet easily access network shares on a different subnet with two simple firewall rules.  (This assumes Subnet1 contains the non-DC devices and Subnet2 contains the network share device):

    DeviceGroup (group of allowed devices defined in Astaro) > ANY > NetworkShareDevice > Allow
    Subnet1 (address) > ANY > Subnet2 (address) > DROP

    That will allow only your defined Group of devices on Subnet1 to access only the network share host on Subnet2.



    As an example, my astaro is on a PC with five NICs:

    WAN
    DC-Network (All DC devices)
    Non-DC Wireless Network (All non-DC devices.  Wireless could easily have been set up with two VLANs - one for DC and one for non-DC)
    Phone - VOIP
    DMZ - for internet facing devices

    With Astaro it is easy to allow entire subnets to communicate with other subnets, or to limit traffic only to specific devices on each subnet.  In my situation I have a Media Center (MC) which is in the DC subnet.  My kids have tablets which are in a different subnet.  I have firewall rules allowing their tablets to access only the MC and no other device in the DC subnet.  You can set up Astaro any way you want.



    Lastly, I note you are contemplating filtering.  You can use different filter profiles for different users.  You can have your Astaro use your DC to retrieve and authenticate users from your DC.  You can set up seperate profiles for different users (such as kids or parents).  To me this was the most difficult concept to understand and implement in Astaro.  I'd suggest you get the firewall rules working as you want before trying to set up web filtering.  

    If you want to do filtering now while you are still configuring the Astaro firewall, I'd suggest you open a free OpenDNS account, create a OpenDNS network inside that account and set Astaro to use the OpenDNS servers instead of your ISP DNS servers.  All internet traffic would then be filtered in an identical way according to your OpenDNS settings.
  • 0
    Thanks Rayik,

    I can't use the same subnet for the DC connected PC's as they are located on a physically separate network and switch to the virtual network that houses all the servers ... the only route between the switches is via the astaro gateway

    If nothing else works I may try bridging the 2 LAN interfaces on the astaro appliance and use a common subnet - shouldn't be necessary though?

    I can only test A/H and will try some new rules - originally I thought no rules were necessay for traffic to pass LAN to LAN.  The device group sounds like an option also.
  • 0
    Re reading your previous post you are saying I would need

    LAN1(network) - ANY - LAN1(network) rule to allow communication between devices on same subnet ??  this could be where I'm going wrong ??

    So to allow ALL inter LAN communication I need 4 rules

    LAN1 - any - LAN1
    LAN1 - any - LAN2
    LAN2 - any - LAN2
    LAN2 - any - LAN1

    Is this right?