Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 2 subscribers
  • Views 20271 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Public IP's behind ASG 8

NeutralSt8
Hi,

My apologies if someone knows of a thread that addresses this. I read a number of threads regarding public IP's and they usually describe solutions where there are 2 IP's required to get to the actual server: the public IP and then use of NAT to a private IP (usually using the 192.x.x.x address space).

What I would like to know is if it is possible to use only 1 IP setup on the internal server that can be mapped to be exposed to the outside world?.

I currently have a DNS server properly routed so that when I do an external lookup test, the correct IP address is shown.

Thanks in advance for any assistance.

S. Lee

BTW, I prefer not to add a DMZ as my server is a small form factor system and I do not have any spare interface for the DMZ


This thread was automatically locked due to age.
Parents
  • 0
    Sorry for the lack of attention and thanks for the answers thus fall.

    I do have a small block of IP's assigned and as indicated, would like to use it behind the ASG.

    It sounds like I will either need to add a DMZ or to use NAT/routing.

    Thank you for the enlightenment [:)] muchly appreciated.
  • 0 in reply to NeutralSt8
    Sorry for the lack of attention and thanks for the answers thus fall.

    I do have a small block of IP's assigned and as indicated, would like to use it behind the ASG.

    It sounds like I will either need to add a DMZ or to use NAT/routing.

    Thank you for the enlightenment [:)] muchly appreciated.


    If you don't want to use NAT, then just use Proxy ARP:

    1. Enable Proxy ARP on your External (WAN) and Internal Interfaces (under Network & Interfaces >> Interfaces.)
    2. Add static route(s) for the IP addresses you would like to use behind your firewall to point at your Internal interface.
    3. Add a static route for your ISPs gateway to point at the External (WAN) interface.
    4. Add appropriate firewall rules to permit traffic to pass, eg. Internet IPv4 to >, and External WAN IP Address to Internet IPv4.
    5. Set the IP address on your Internal machine to that of the WAN IP Address you created the static route on, and use your ISPs gateway on the machine.

    You may also need to force a gratuitous ARP for the WAN IP addresses you are using for Proxy ARP, incase they have been used by other MAC address besides your ASG and your ISP has them cached ...

    You're all set! The Static Routes in combination with Proxy ARP will allow your ASG to pretend to be both your external IP addresses (and then forward the traffic internally) AND also pretend to be your ISPs gateway and forward it externally. No NAT needed, the ASG is practically transparent (almost like a bridge) -- this is the configuration I use to put each of my honeypots on a separate VLAN without doing NAT or subnetting. It's great!
Reply
  • 0 in reply to NeutralSt8
    Sorry for the lack of attention and thanks for the answers thus fall.

    I do have a small block of IP's assigned and as indicated, would like to use it behind the ASG.

    It sounds like I will either need to add a DMZ or to use NAT/routing.

    Thank you for the enlightenment [:)] muchly appreciated.


    If you don't want to use NAT, then just use Proxy ARP:

    1. Enable Proxy ARP on your External (WAN) and Internal Interfaces (under Network & Interfaces >> Interfaces.)
    2. Add static route(s) for the IP addresses you would like to use behind your firewall to point at your Internal interface.
    3. Add a static route for your ISPs gateway to point at the External (WAN) interface.
    4. Add appropriate firewall rules to permit traffic to pass, eg. Internet IPv4 to >, and External WAN IP Address to Internet IPv4.
    5. Set the IP address on your Internal machine to that of the WAN IP Address you created the static route on, and use your ISPs gateway on the machine.

    You may also need to force a gratuitous ARP for the WAN IP addresses you are using for Proxy ARP, incase they have been used by other MAC address besides your ASG and your ISP has them cached ...

    You're all set! The Static Routes in combination with Proxy ARP will allow your ASG to pretend to be both your external IP addresses (and then forward the traffic internally) AND also pretend to be your ISPs gateway and forward it externally. No NAT needed, the ASG is practically transparent (almost like a bridge) -- this is the configuration I use to put each of my honeypots on a separate VLAN without doing NAT or subnetting. It's great!
Children
  • 0 in reply to peterkieser
    If you don't want to use NAT, then just use Proxy ARP:

    1. Enable Proxy ARP on your External (WAN) and Internal Interfaces (under Network & Interfaces >> Interfaces.)
    2. Add static route(s) for the IP addresses you would like to use behind your firewall to point at your Internal interface.
    3. Add a static route for your ISPs gateway to point at the External (WAN) interface.
    4. Add appropriate firewall rules to permit traffic to pass, eg. Internet IPv4 to >, and External WAN IP Address to Internet IPv4.
    5. Set the IP address on your Internal machine to that of the WAN IP Address you created the static route on, and use your ISPs gateway on the machine.

    You may also need to force a gratuitous ARP for the WAN IP addresses you are using for Proxy ARP, incase they have been used by other MAC address besides your ASG and your ISP has them cached ...

    You're all set! The Static Routes in combination with Proxy ARP will allow your ASG to pretend to be both your external IP addresses (and then forward the traffic internally) AND also pretend to be your ISPs gateway and forward it externally. No NAT needed, the ASG is practically transparent (almost like a bridge) -- this is the configuration I use to put each of my honeypots on a separate VLAN without doing NAT or subnetting. It's great!


    Would I assign the public ip address to the internal interface of the ASG as well as the host computer being protected?
  • 0 in reply to sjbates4205
    Would I assign the public ip address to the internal interface of the ASG as well as the host computer being protected?


    Just the host computer. The static route on the Astaro pointing to your Internal interface would handle the ARP request from your ISPs router.