Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 2 subscribers
  • Views 20283 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Public IP's behind ASG 8

NeutralSt8
Hi,

My apologies if someone knows of a thread that addresses this. I read a number of threads regarding public IP's and they usually describe solutions where there are 2 IP's required to get to the actual server: the public IP and then use of NAT to a private IP (usually using the 192.x.x.x address space).

What I would like to know is if it is possible to use only 1 IP setup on the internal server that can be mapped to be exposed to the outside world?.

I currently have a DNS server properly routed so that when I do an external lookup test, the correct IP address is shown.

Thanks in advance for any assistance.

S. Lee

BTW, I prefer not to add a DMZ as my server is a small form factor system and I do not have any spare interface for the DMZ


This thread was automatically locked due to age.
  • 0 in reply to NeutralSt8
    Sorry for the lack of attention and thanks for the answers thus fall.

    I do have a small block of IP's assigned and as indicated, would like to use it behind the ASG.

    It sounds like I will either need to add a DMZ or to use NAT/routing.

    Thank you for the enlightenment [:)] muchly appreciated.


    If you don't want to use NAT, then just use Proxy ARP:

    1. Enable Proxy ARP on your External (WAN) and Internal Interfaces (under Network & Interfaces >> Interfaces.)
    2. Add static route(s) for the IP addresses you would like to use behind your firewall to point at your Internal interface.
    3. Add a static route for your ISPs gateway to point at the External (WAN) interface.
    4. Add appropriate firewall rules to permit traffic to pass, eg. Internet IPv4 to >, and External WAN IP Address to Internet IPv4.
    5. Set the IP address on your Internal machine to that of the WAN IP Address you created the static route on, and use your ISPs gateway on the machine.

    You may also need to force a gratuitous ARP for the WAN IP addresses you are using for Proxy ARP, incase they have been used by other MAC address besides your ASG and your ISP has them cached ...

    You're all set! The Static Routes in combination with Proxy ARP will allow your ASG to pretend to be both your external IP addresses (and then forward the traffic internally) AND also pretend to be your ISPs gateway and forward it externally. No NAT needed, the ASG is practically transparent (almost like a bridge) -- this is the configuration I use to put each of my honeypots on a separate VLAN without doing NAT or subnetting. It's great!
  • 0
    Sorry for not attending my own thread for a while here. First off, I have executed the first few suggestions and NAT'd a number of services and now have access to these services inside my firewall - from the internet.

    Thanks to all who took the time to respond.

    I just read peterkieser's suggestion and it really intrigues me. I will spend a little (or what usually ends up being a lot - as I am a bit of a newb) on attempting the implementation.

    Thx again.
  • 0
    peterkieser, is it possible to do both the Proxy ARP and the NAT/subnetting?

    The reason I ask is I would like to attempt what you have described without deleting all of the services that are currently configured.

    Thanks in advance.
  • 0
    You don't need to delete the NAT rules, just to disable them and any related Additional Addresses temporarily.

    Cheers - Bob
  • 0 in reply to NeutralSt8
    peterkieser, is it possible to do both the Proxy ARP and the NAT/subnetting?

    The reason I ask is I would like to attempt what you have described without deleting all of the services that are currently configured.

    Thanks in advance.


    You can do a combination of NAT and Proxy ARP on the same appliance/interface. Just set the gateway on the NAT addresses to that of the Astaro appliance on your Internal interface, like you normally would -- I would recommend to have it on a separate VLAN/interface though.
  • 0 in reply to peterkieser
    If you don't want to use NAT, then just use Proxy ARP:

    1. Enable Proxy ARP on your External (WAN) and Internal Interfaces (under Network & Interfaces >> Interfaces.)
    2. Add static route(s) for the IP addresses you would like to use behind your firewall to point at your Internal interface.
    3. Add a static route for your ISPs gateway to point at the External (WAN) interface.
    4. Add appropriate firewall rules to permit traffic to pass, eg. Internet IPv4 to >, and External WAN IP Address to Internet IPv4.
    5. Set the IP address on your Internal machine to that of the WAN IP Address you created the static route on, and use your ISPs gateway on the machine.

    You may also need to force a gratuitous ARP for the WAN IP addresses you are using for Proxy ARP, incase they have been used by other MAC address besides your ASG and your ISP has them cached ...

    You're all set! The Static Routes in combination with Proxy ARP will allow your ASG to pretend to be both your external IP addresses (and then forward the traffic internally) AND also pretend to be your ISPs gateway and forward it externally. No NAT needed, the ASG is practically transparent (almost like a bridge) -- this is the configuration I use to put each of my honeypots on a separate VLAN without doing NAT or subnetting. It's great!


    Would I assign the public ip address to the internal interface of the ASG as well as the host computer being protected?
  • 0 in reply to sjbates4205
    Would I assign the public ip address to the internal interface of the ASG as well as the host computer being protected?


    Just the host computer. The static route on the Astaro pointing to your Internal interface would handle the ARP request from your ISPs router.