Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 683 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Initial routing help

AstaroGuestIUser
I'm trying to migrate and existing firewall config to Astaro, have a few setup question with the interface routing, and one routing question about the external machines. This is Astaro 5.1, 2 NICs in the machine.

The current topology:

  .1  (router and gateway)
[ switch ] - .X (random machines outside fw)
  .2 eth0
[ firewall ]
  .2 eth1
[ switch ] - .X (random machines inside fw)

So, the firewall aliases both the internal and external NICs as .2, making it transparent. The routing table looks like so:

eth0 .2 .0 255.255.255.0 .1
eth1 .2 .0 255.255.255.0 none

(where it's interface-ip-broadcast-netmask-gateway), it's a real class C - no NAT, all one subnet.

So, I'm trying to configure Astaro to be somewhat the same:

1) can both the internal and external interfaces share the same IP like my current firewall? or do they need to be two IPs?

2) where does the gateway entry go in Astaro - on the external interface where the real gateway is like my current firewall, or on the internal interface? (astaro will not allow me to enter it in both places)

3) do any special routes need to be setup, based on the answers to #1 and #2? (I don't think so, this should be handled already - forward between interfaces, gateway)

4) do I turn on Proxy ARP on the internal interface? (I think Yes, but would like verification) To my knowledge, the internal interface has to ARP all IPs except the ones listed in the external configuration, which leads me to the last part.

Last one: for the random machines outside the firewall, I added a host definition for each IP address, then added a static route to the > for each host definition. Is this the proper way to do it? Is there some other way to configure it that I overlooked?

thanks for any help!
-te


This thread was automatically locked due to age.
Parents
  • 0
    1) no

    2) gateway should be specified for EXT interface

    3) no

    4) probably not, but it depends what you're trying to do.

    you really should have a seperate subnet inside the firewall, and use Masquerading (in NAT section).
    Then, you won't need any static routes setup on the firewall.

    Do the EXT machines need to initiate connections to the INT machines?

    Have you read the manual/installation guide/howtos?

    Barry
Reply
  • 0
    1) no

    2) gateway should be specified for EXT interface

    3) no

    4) probably not, but it depends what you're trying to do.

    you really should have a seperate subnet inside the firewall, and use Masquerading (in NAT section).
    Then, you won't need any static routes setup on the firewall.

    Do the EXT machines need to initiate connections to the INT machines?

    Have you read the manual/installation guide/howtos?

    Barry
Children
  • 0 in reply to BarryG
    [ QUOTE ]

    1) no
    2) gateway should be specified for EXT interface
    3) no


    [/ QUOTE ]

    Thanks, it's as I thought. Appreciated.

    [ QUOTE ]

    4) probably not, but it depends what you're trying to do.


    [/ QUOTE ]

    Based on the initial topology outlined above, I have several machines outside the firewall, let's use .5 (FTP server, eg). The machines inside the firewall must "know" that machine .5 is outside the firewall, and .5 must know the rest of the machines are inside the firewall.

    To my knowledge, the INT must arp out the machines configured outside the firewall (hence my question about static routes to EXT interface), and the EXT must arp out all the IPs on the inside of the firewall. I'm attempting to understand how to do this in Astaro's terms, since it's not overtly obvious -- in the existing firewall it's merely a simple configuration item clearly explained.

    [ QUOTE ]

    you really should have a seperate subnet inside the firewall, and use Masquerading (in NAT section).
    Then, you won't need any static routes setup on the firewall.


    [/ QUOTE ]

    Shoulda coulda woulda -- I have a production environment here, it's designed and working without issues. I have a linux based firewall appliance (old Watchguard) I'm trying to replace with something new. The firewall must meet the needs of the network, not the other way around.

    [ QUOTE ]

    Do the EXT machines need to initiate connections to the INT machines?


    [/ QUOTE ]

    Yes, they do -- for instance, the WAP is outside the firewall. A user must connect to the WAP, then turn on VPN to get back in through the firewall (basically as if they were sitting at home). There are other machines on the outside that initiate NTP connections, DNS requests, etc as well.

    [ QUOTE ]

    Have you read the manual/installation guide/howtos?


    [/ QUOTE ]

    Yes. If I somehow missed the exact sections dealing with my questions, please feel free to tell me what PDF (sic) and page number, because I sure didn't find them.

    -te