Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 2 subscribers
  • Views 132832 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Internal LAN - LAN traffic being blocked

Advoc8tr
Hi,  I'm having trouble getting Astaro to allow all communication between 2 internal subnets?  Both networks can access the internet, published servers and mail server work but internal workstations are all freezing up when anyone tries to access a domain share. 

I have tried many variations  none of which have worked so currently I have set up the DNS as described in other posts with the AD DNS server resolving all requests.  The internal DNS is set up as the only forwarder on Astaro and I have a forward and reverse domain override rules.

I have tried no firewall rules, LAN1 - any - any and LAN2- any - any none of which solved the problem of DNS and SMB / CIF traffic being blocked ??

All the servers including the astaro are virtual and running on esxi .. they are all connected via a virtual switch which is LAN2

LAN1 is mapped to a physical NIC and connects to the switch along with all other network devices.

Can I have clarification on a couple of questions please.

1.  Does astaro pass ALL traffic between internal networks by default or are rules necessary?

2. Is there a reason why you can't use the astaro DNS with ISP forwarders and domain override rules for the AD domain in an active directory environment - rather than send external DNS requests to internal DNS?

Can anyone offer any advice on what could be causing Astaro to block internal traffic between LANS

Thanks.


This thread was automatically locked due to age.
  • 0
    Would these 2 rules achieve the same thing?

    LAN1 - any - ANY
    LAN2 - any - ANY
  • 0 in reply to Advoc8tr
    Re reading your previous post you are saying I would need

    LAN1(network) - ANY - LAN1(network) rule to allow communication between devices on same subnet ??  this could be where I'm going wrong ??


    No need for that rule.

    You only need:

    LAN1 - any - LAN2 > ALLOW
    LAN2 - any - LAN1 > ALLOW


    Would these 2 rules achieve the same thing?

    LAN1 - any - ANY
    LAN2 - any - ANY 


    Those two rules would allow any traffic of any kind, from any device contained in the LANS1 or LAN2, to pass from between the LANs and also both LAN1 / LAN2 to any other connected LAN or WAN.  In essence, there is no firewall for any device on LAN1 and LAN2 and any service on any port is allowed between any other LANs and WAN.

    I set my astaro up as a "block all" firewall with specific rules to allow specific devises and / or certain types of traffic to pass between LANs and the WAN.  If you are familiar with Smoothwall,  it can be installed as either a BLOCK ALL or ALLOW ALL firewall by default.  In Smoothwall speak, I  set astaro up as a BLOCK ALL firewall with specific rules allowing traffic.  It seems like you may want an ALLOW ALL firewall with traffic blocked only by specific rules.  Astaro can be set up either way.
  • 0
    Thanks Rayik,

    When you say it can be set up either way do mean as determined by the rules you use OR can it be set to allow all (outbound from any LAN) with a global setting somewhere?  

    I am familiar with ISA server which is a block all by default, but for a home network I do prefer the allow all (between LANs and out to the internet) My concerns are mostly with inbound security.

    Can you clarify how to set it in that mode ?
  • 0
    I think I have isolated the issue. The specific shares that hang and freeze are all mapped using only the netbios (machine) name.  ie. \sbs

    shares accessed using the full domain \sbs.mycompany.lan  seem to work fine?

    Any ideas why this happening?  Is their a way to nominate a default domain or create a domain search list ??

    My laptop has static IP so the settings being passed by DHCP are not the cause ?

    Even with all the extras turned off and very loose LAN - any - any rules 30% of traffic is being default dropped (all DNS traffic to DC DNS server) according to firewall summary.
  • 0
    Can't get it to work. Decided to scrap it and try a clean install of v9 (sophos utm)

    Anyone know the difference between the home edition and the free essentials business edition?
  • 0
    Hi, the home edition has all features enabled except clustering, but is for personal use only. It has a 50-IP limit for internal devices.

    The free essentials edition does not have many features enabled; see Sophos UTM Essential Firewall - Sophos products - Sophos
    for the list of enabled features.
    It is free for commercial use, and afaik, allows unlimited IP addresses for internal devices.

    Barry
  • 0
    Thanks Barry & rayik ... you've been a big help.

    Will post results once I get the new version up and running.

    Cheers,  David
  • 0 in reply to Advoc8tr
    Advoc8tr - Speaking in Smoothwall terms again, examples of a default BLOCK ALL and default ALLOW ALL installation are below.    The key is to remember that firewall rule ordering is important.  Astaro starts with Rule 1 and continues down each Rule to the last rule.  Once traffic matches a firewall rule, that rule is enforced and no further rules after it are checked for that traffic.


    Example of a default "BLOCK ALL" setup is below.  It will block everything except specifically listed services

    Firewall Rule 1:  ANY > HTTP Services > ANY - ALLOW 
    Firewall Rule 2:  ANY > SSH > ANY - ALLOW
    Firewall Rule 3:  ANY > ANY > ANY - DROP

    This will allow only Web Browsing and SSH and block all other services.


    Example of a default "ALLOW ALL" setup is below.  It will allow anything that is not listed to be blocked

    Firewall Rule 1:  ANY > HTTP Services > ANY - DROP 
    Firewall Rule 2:  ANY > SSH > ANY - DROP
    Firewall Rule 2:  ANY > ANY > ANY - ALLOW

    This will allow any service to be passed except for Web Browsing and SSH which will be blocked.


    You can do the same type of set up between LANs.

    Default "BLOCK ALL" setup between LANs:

    Firewall Rule 1:  HOST1-on-LAN1 > ANY > LAN2 - ALLLOW
    Firewall Rule 2:  LAN1  > ANY > LAN2 - DROP

    This will allow only HOST1-on-LAN1 to access LAN2.  All other devices on LAN1 will be blocked from LAN2


    Default "ALLOW ALL" setup between LANs:

    Firewall Rule 1:  HOST1-on-LAN1 > ANY > LAN2 - DROP
    Firewall Rule 2:  LAN1  > ANY > LAN2 - ALLOW

    This will allow any device on LAN1 to access any device on LAN2 for any service with one exception.  HOST1-on-LAN1 will be blocked from any type of access to LAN2.



    You've posted that you are going to have multiple LANs.  I'd recommending keeping each individuals LANs firewall rules adjacent.  Example:

    Firewall rules 1 - 5 - LAN1 rules
    Firewall rules 6 - 10 - LAN2 rules
    Firewall rules 11 -15 - LAN3 rules
    etc ...

    It will be easier for you to follow the rules you set up for each LAN and get the results you expect and want.



    Lastly, I'd again recommend you setup the firewall rules to what you want before you start setting up web filtering.  

    Astaro enforces web filtering profiles before firewall rules.  That means  if a web filtering profile would allow traffic, traffic is allowed and passed even though there may be a specific firewall rule that specifically blocks it. 

    For me, I  get unintended results when I try to set up profiles before fully having the firewall rules set up.

    Good luck.
  • 0
    OK I have solved the problem.

    In both cases I was using the virtual appliance imported from the .ovf file.

    It configures all the ethernet adapters as type  "flexible' and this somehow causes the problem?

    By manually changing all the network adapter types in the .vmx file to "e1000" it instantly began working as it should and passing all inter lan traffic properly?

    It is an intermittent problem in that it only seems to effect some windows domain traffic while other things worked like all inbound traffic to published servers, with DNAT and SNAT rules etc..

    I'd install from the ISO next time and manually configure the virtual machine in esxi - specifying "e1000' as the adapter type.

    Cheers for all the help ...  hope this helps someone else save a bucket load of time.