ASL + LB

?? DNS, you talking about the DNS entry on the Router right?
Normaly that would be the DNS of the provider, not the DNS on the Firewall. 

The Firewall only sees the internal IP-Adress of the Router nothing more. All the Load-Balancing is beeing done by the LB604 not the Firewall.

I am also using a dual wan router DI-LB604. In the LAN side of the LB there is ASTARO firewall.

WAN1--!
!
!---DI-LB604---192.168.0.1------192.168.0.10---ASL
!
WAN2--!

In the LB router I am using the ISP DNS.
In the ASL I am enabling the DNS proxy and put 192.168.0.1 in the DNS configuration. (192.168.0.1 is the LAN side of the LB)

I am also let ASTARO to listen to 192.168.0.10.

In the Clients PC I am using 192.168.0.10 as their DNS server.

I hope that my ASL is caching the DNS.

I would like to mention that I faced a trouble with VoIP applications and Camera, still not solved.

Hearing from you soon.

When the Router allows DNS requests on the 192.168.0.1, then yes. 

But, if a client is in the 192.168.0.0/24 network, he can directly ask the 192.168.0.1. So why should the firewall answer DNS requests on 192.168.0.10?

Hi Friends,

The clients are behind the ASL. I just allow DNS request to 192.168.0.1.

This is the best settings, since I tried many issues, but some sites are not resolved until another try F5  [:S] .

So is the DNS requests are cached in my ASTARO ?

Another issue is I have a problem with the VoIP, the download of sound and even the camera are bad, while upload the voice is perfect !!!!

Kindly help.

Thanks

Why don't you let the Astaro resolve directly to the ISP DNS?  Just punch a hole for port 53 through the Dlink box.  Let your clients resolve to the DNS proxy on the Astaro.

If this is a production network you should get a more robust bandwidth aggregator like a FatPipe Superstream.  Forget the Dlink SOHO stuff.

I agree with you to put ISP DNS in the ASL box, but what about "Interface to listen to " ?

What DNS should I put in the DLINK router, since it reuqire at least one DNS.

I bought DLINK because it is cheap, moreover no other Load Balance brand in IRAQ.

Hearing from you soon.

The interface to listen on is the interface serving your clients.  i.e, which network card to you want to respond to DNS queries to the DNS proxy on the Astaro?  Usually most people only listen on the internal interface.  

Who cares what DNS your Dlink box uses?  You are not going to send any queries to the Dlink box if you do what I suggested in my last post.  You punch a hole through the Dlink firewall to allow all port 53 traffic coming from the astaro to the ISP DNS.  The Astaro does not query the DNS on the Dlink.  It sends them through to the ISP DNS servers.  

How many users do you have behind the Astaro?
If you have more than 100 then you need to use something other than your Dlink.  Look at the smaller Sonicwall products.  Some of them do round-robin bandwidth agg.

WAN1
!
!---DI-LB604---192.168.0.1------192.168.0.10---ASL---Clients
!
WAN2


The interface that is serving my clients, is the Internal interface of the ASL.

So normally I am going to use the ISP DNS in the forwarder DNS.

How can I know that the DLINK is blocking the 53 ? Is it normally closed ? I can telnet port 53 

What should I put in the DNS of the DLINK box ?

Should the client have the DNS of ASL and DLINK ?

Hearing from you soon.

[ QUOTE ]

The interface that is serving my clients, is the Internal interface of the ASL.

So normally I am going to use the ISP DNS in the forwarder DNS.

How can I know that the DLINK is blocking the 53 ? Is it normally closed ? I can telnet port 53 

What should I put in the DNS of the DLINK box ?

Should the client have the DNS of ASL and DLINK ?

Hearing from you soon. 

[/ QUOTE ]

If the internal interface of the Astaro is serving your clients then you should have the internal interface selected in the DNS proxy settings to listen on.  

Telnetting to port 53 is not the best way to check see if you have access to a DNS server.  Use dig from the shell of the Astaro or nslookup from a windows client behind your Astaro to see if DNS is working properly.

Is your Dlink going to be serving DNS?  If not then don't worry about the DNS box of the Dlink config.  Why does it matter to you if your Dlink router can resolve DNS?  It is the Astaro you need to make sure can resolve names. 

If you are planning to use the DNS proxy of the Astaro then you should point your clients to the Astaro for DNS.  Does that not make sense?

Why would you point your clients to the DNS of the Dlink?  Why?  My first suggestion was not to do it in this manner.

[ QUOTE ]
WAN1
!
!---DI-LB604---192.168.0.1------192.168.0.10---ASL
!
WAN2

WAN1 and WAN2 are configured with the DNS of the ISP.

ASL DNS proxy is listening to external, the DNS forwarder is 192.168.0.1

Am I doing right ? 

[/ QUOTE ]Your setup looks fine to me. The D-Link load balancing router acts as auto configured DNS proxy, getting its DNS server entries via DHCP on the WAN ports. The Astaro box behind it is then configured to point to the D-Link router's LAN interface for both routing and DNS forwarding.

However, while having an separate router, such as your load balancing D-Link between the Astaro box and the Internet connection solves a couple of issues with Astaro, such as the inability of ASL to do WAN load balancing, and also ASL's inability to auto configure its DNS proxy with the DNS server info presented by the ISP's DHCP server, you are left with the problem of having to open ports on both the ASL box and the D-Link box for any services you wish to present to the outside world. As an example, VPN access configuration tends to get more difficult when you have another network address translating router inbetween the ASL box and the Internet.

Dear Friends, Thanks for your fast reply.

My application are very simple, I am serving an internet cafe.

Can you specifiy exactly the IP, Gateway and DNS of the following:

1- DLINK.
2- ASL  (also DNS listen interface)
3- Clients.

Or do you prefer to have another network scheme ?

Thank you.

What kind of lines do you have? Could it be, that your line has a very high load?

What kind of lines do you have? Could it be, that your line has a very high load?

Hi,

My internet connection is via satellite, I checked again my LAN and I result that the LB is the problem.

When I remove the LB, voice goes loud and clear.

When I work behind LB only, the downstream voice has many cuts.

Thanks

Hi,

guess the balancer is switching the line for the RTP (udp) stream. This would explain the stuttering. Couldn't find any info in the manual, if you can force the LB to stay on one line for such a connection. 

I think you can force the router to NAT such traffic on one dedicated wan-interface.

Ali has tried disconnecting one of the WAN links and still gets the stuttering.

I'm at a loss as to how it can be fixed...

I borrowed yesterday another LB device, which is SP890 from Micronet.

This device AGREES to use it without assigning DNS in it.

So the ISP DNS now is inside the ASL.

Hope it will work fine.

Dear Friends,

I was using the same DNS IP server for WAN1 & WAN2 in the DI-LB604 Load Balance Device as well as in the forwarding name server of the DNS proxy in my ASL box.

Now I am using different DNS IP in WAN1, WAN2 and ASL box.

It seems it is working fine. Can anyone explain to me what was going ?

Regards,

Dear Friends,

When I connect single PC behind the LB router, the browsing goes very smooth. While when I am behind the ASL, the browsing has troubles with resolving sites.

The router does not block any port.

Need help.

Dear Friends,

Now the setup is working fine like after the D-LINK support provide me with a new firmware for the DI-LB604:

WAN 1
!
!
LB ---------- ASL ------- Clients
!
!
WAN 2


WAN1 & WAN2 DNS is: ISP DNS

ASL forwarding DNS is: should not be ISP DNS.

Strange ha ? Please, comment.

I tried another LB router which is Micronet SP891, but the same result.

Is there any rule or setting should I implement in ASTARO ?

Your urgent reply is highly appreciated.