Proxy - additional ip address possible?!

if i configure an additional ip address on my internal interface - is is possible to reach the proxy over this ip?

for example:
internal on eth0: 192.168.0.1/24
additional ip on eth0: 192.168.0.250/32

Hi,

Normally I'd say, no, not as long as you're using /32 as a subnet mask...
But I tried it, and it seems to be working just fine. 

My config;
Primary Internal address; 10.0.1.254
I gave Astaro 10.0.1.253/32 as an extra address.

I can use 10.0.1.253 as a proxy server on my laptop with IP 10.0.1.9
Although, at this moment, I cannot test it from another subnet (behind the internal interface card)...

Besides this small test, this isn't a normal configuration...
What's the thought behind this configuration anyway?

Regards,
Erwin.

Hi,
thanks for your answer and the quick test.
unfortunately i cant test it by myself at the moment.

What else should i use to configure a single additional ip addresses?
/32 is in my opinion the only option that will work.

I've always used the same subnet mask as the primary IP (/24 in your case).

Barry

Barry, you mean when you assign something outside of the primary subnet in the interface definition - right?  I have a habit of using /32 because (I think) I found that things wouldn't work correctly otherwise.

Erwin, I think the proxies "listen" on specific interfaces instead of specific addresses.

Cheers - Bob

Hi Bob,

His primary IP is on 192.168.0.0/24.
His secondary IP is on the same network.

When I've added secondary IPs on the same network, I've always used the same subnet mask, and never had any problems (using DNATs and SNATs and Masq).

If it was on a different subnet, I wouldn't think /32 would work anyways.

Barry

WebProxy is a service not a routing or gateway protocol. It will accept request even from 5 or more ip on the same interface as additional
I see no reason doing that for one subnet because you can't configure different rules this way

His primary IP is on 192.168.0.0/24.
His secondary IP is on the same network.

When I've added secondary IPs on the same network, I've always used the same subnet mask, and never had any problems (using DNATs and SNATs and Masq).

If it was on a different subnet, I wouldn't think /32 would work anyways.

I agree with Barry on this, and I would even go further here, Barry says "If it was on a different subnet, I wouldn't think /32 would work anyways."

I'd say, I'm absolutely sure /32 will not work on different subnets. /32 should not even work within the same subnet, because with /32 you're subnetting to a network with only one host possible... So why does it work with Astaro...? [:S] Let's find out...

A small test to see if, what I say, is correct; my laptop (10.0.1.9/24) and my pc (10.0.1.150/24)
From my pc I opened a command prompt and entered "ping -t 10.0.1.9" and the ping is running just fine. Now I change the subnet mask on my laptop to /32 and see what happens... The ping stops, as expected...
I set the subnet mask back to /24 and the ping starts again, as expected...

I say here "as expected" because another outcome in this test isn't possible.
If this outcome was any different, my Cisco CCNA course would have been useless... So I'm glad that this works as designed... [:P]

The only thing I don't understand yet is how Astaro can reply on the additional address with a /32 subnet mask, because that should NOT be possible. As we said (and proved) just a minute ago; the additional address is within a subnet with only one host possible... 
Somehow Astaro manages to reply... Let's see...

Maybe I can do another test...
I have the Astaro 9.1 BETA version running within Vmware Workstation.
Internal interface: 192.168.1.254/24 and no additional address.
External interface: 10.0.1.253/24 (get's on the internet through the "production" astaro at 10.0.1.254)
I changed the IP address of my laptop to 192.168.1.9/24
My PC still has 10.0.1.150/24
So I can use my pc to enter the Astaro webadmin through the external interface.

OK, ping is running from my laptop to the internal interface of my astaro machine (from 192.168.1.9/24 to 192.168.1.254/24)

Now for the test... Let's change the subnet mask of the internal interface to /32, with no additional address configured... What will happen...?
Right!!! As I expected, the ping flow stops, Astaro cannot be reached through the internal interface anymore, because I subnetted Astaro's internal network down to a network with only one host possible...
When I set the subnet mask back to /24 it's all working again. 

This is what happens; the ping does arrive from my laptop at Astaro (because of the /24 on my laptop, my laptop can access 256-2=254 hosts, 256 - network address and - broadcast address) so my laptop can access the Astaro machine, but... because of the /32 mask at the Astaro side, (Astaro's internal network is subnetted to a network with only one host possible and therefor) Astaro cannot talk back to my laptop.

(Note; when you try this, make sure you can access the Astaro webadmin through the external interface, else you need to change the subnet back through the console...)

So, what I guess... In the situation of;
Internal interface: 10.0.1.254/24 and additional address of 10.0.1.253/32,
Astaro manages to reply on a ping to 10.0.1.253/32 and this can only happen if Astaro replies through it's primary IP address of 10.0.1.254/24
There is just no other way.

One final test to see if this guessing can be confirmed...
Astaro;
Internal interface; Primary address 192.168.1.254/24 and additional address; 192.168.1.253/24
Ok, from my laptop (192.168.1.9/24) I'm able to ping 192.168.1.254 and also 192.168.1.253...
I started ping -t 192.168.1.254 (primary address) on my laptop.

Now, let's change the subnet masks...
Primary 192.168.1.254/32 and additional; 192.168.1.253/24 and see what happens...
As I expected, the ping flow does not stop, Astaro now replies through the additional address, I'm absolutely sure about that...

To get an extra confirmation on this I disable the additional interface and indeed, the ping flow stops... After enabling the additional interface the ping flow starts again... So Astaro is really using the ip address with the /24 subnet mask to reply.

That's why I love Astaro, it's an intelligent product! [;)]

I hope that this makes it all clear to everybody. It's actually just basic TCP/IP...

One question remains... Why would you create a second/additional address on the internal interface? What's the purpose of this configuration?

Regards,
Erwin.

In fact, you don't need to configure the WAN interface with the default gateway to have a subnet that includes the default gateway's IP.

I have had dozens of /32 Additional Addresses configured on customer machines since V6, at least.  That's been a habit for so long, I don't remember what problem I had with /24 that caused me to abandon it.

You even can configure 10.10.1.0/24 as Additional Address range on an Interface defined as 10.10.0.0/24, but I think you need to create a static interface route to get traffic through the UTM to devices with those IPs in the Ethernet segment on the interface.

If you define 10.10.1.1/32 on the Internal interface 10.10.0.0/24, the IP will be reachable by the internal clients if the clients in 10.10.0.0/24 have a /23 subnet.

Here's an example of using an AA on the Internal interface.

Cheers - Bob