Proxy - additional ip address possible?!

Hi Bob,

His primary IP is on 192.168.0.0/24.
His secondary IP is on the same network.

When I've added secondary IPs on the same network, I've always used the same subnet mask, and never had any problems (using DNATs and SNATs and Masq).

If it was on a different subnet, I wouldn't think /32 would work anyways.

Barry

His primary IP is on 192.168.0.0/24.
His secondary IP is on the same network.

When I've added secondary IPs on the same network, I've always used the same subnet mask, and never had any problems (using DNATs and SNATs and Masq).

If it was on a different subnet, I wouldn't think /32 would work anyways.

I agree with Barry on this, and I would even go further here, Barry says "If it was on a different subnet, I wouldn't think /32 would work anyways."

I'd say, I'm absolutely sure /32 will not work on different subnets. /32 should not even work within the same subnet, because with /32 you're subnetting to a network with only one host possible... So why does it work with Astaro...? [:S] Let's find out...

A small test to see if, what I say, is correct; my laptop (10.0.1.9/24) and my pc (10.0.1.150/24)
From my pc I opened a command prompt and entered "ping -t 10.0.1.9" and the ping is running just fine. Now I change the subnet mask on my laptop to /32 and see what happens... The ping stops, as expected...
I set the subnet mask back to /24 and the ping starts again, as expected...

I say here "as expected" because another outcome in this test isn't possible.
If this outcome was any different, my Cisco CCNA course would have been useless... So I'm glad that this works as designed... [:P]

The only thing I don't understand yet is how Astaro can reply on the additional address with a /32 subnet mask, because that should NOT be possible. As we said (and proved) just a minute ago; the additional address is within a subnet with only one host possible... 
Somehow Astaro manages to reply... Let's see...

Maybe I can do another test...
I have the Astaro 9.1 BETA version running within Vmware Workstation.
Internal interface: 192.168.1.254/24 and no additional address.
External interface: 10.0.1.253/24 (get's on the internet through the "production" astaro at 10.0.1.254)
I changed the IP address of my laptop to 192.168.1.9/24
My PC still has 10.0.1.150/24
So I can use my pc to enter the Astaro webadmin through the external interface.

OK, ping is running from my laptop to the internal interface of my astaro machine (from 192.168.1.9/24 to 192.168.1.254/24)

Now for the test... Let's change the subnet mask of the internal interface to /32, with no additional address configured... What will happen...?
Right!!! As I expected, the ping flow stops, Astaro cannot be reached through the internal interface anymore, because I subnetted Astaro's internal network down to a network with only one host possible...
When I set the subnet mask back to /24 it's all working again. 

This is what happens; the ping does arrive from my laptop at Astaro (because of the /24 on my laptop, my laptop can access 256-2=254 hosts, 256 - network address and - broadcast address) so my laptop can access the Astaro machine, but... because of the /32 mask at the Astaro side, (Astaro's internal network is subnetted to a network with only one host possible and therefor) Astaro cannot talk back to my laptop.

(Note; when you try this, make sure you can access the Astaro webadmin through the external interface, else you need to change the subnet back through the console...)

So, what I guess... In the situation of;
Internal interface: 10.0.1.254/24 and additional address of 10.0.1.253/32,
Astaro manages to reply on a ping to 10.0.1.253/32 and this can only happen if Astaro replies through it's primary IP address of 10.0.1.254/24
There is just no other way.

One final test to see if this guessing can be confirmed...
Astaro;
Internal interface; Primary address 192.168.1.254/24 and additional address; 192.168.1.253/24
Ok, from my laptop (192.168.1.9/24) I'm able to ping 192.168.1.254 and also 192.168.1.253...
I started ping -t 192.168.1.254 (primary address) on my laptop.

Now, let's change the subnet masks...
Primary 192.168.1.254/32 and additional; 192.168.1.253/24 and see what happens...
As I expected, the ping flow does not stop, Astaro now replies through the additional address, I'm absolutely sure about that...

To get an extra confirmation on this I disable the additional interface and indeed, the ping flow stops... After enabling the additional interface the ping flow starts again... So Astaro is really using the ip address with the /24 subnet mask to reply.

That's why I love Astaro, it's an intelligent product! [;)]

I hope that this makes it all clear to everybody. It's actually just basic TCP/IP...

One question remains... Why would you create a second/additional address on the internal interface? What's the purpose of this configuration?

Regards,
Erwin.

His primary IP is on 192.168.0.0/24.
His secondary IP is on the same network.

When I've added secondary IPs on the same network, I've always used the same subnet mask, and never had any problems (using DNATs and SNATs and Masq).

If it was on a different subnet, I wouldn't think /32 would work anyways.

I agree with Barry on this, and I would even go further here, Barry says "If it was on a different subnet, I wouldn't think /32 would work anyways."

I'd say, I'm absolutely sure /32 will not work on different subnets. /32 should not even work within the same subnet, because with /32 you're subnetting to a network with only one host possible... So why does it work with Astaro...? [:S] Let's find out...

A small test to see if, what I say, is correct; my laptop (10.0.1.9/24) and my pc (10.0.1.150/24)
From my pc I opened a command prompt and entered "ping -t 10.0.1.9" and the ping is running just fine. Now I change the subnet mask on my laptop to /32 and see what happens... The ping stops, as expected...
I set the subnet mask back to /24 and the ping starts again, as expected...

I say here "as expected" because another outcome in this test isn't possible.
If this outcome was any different, my Cisco CCNA course would have been useless... So I'm glad that this works as designed... [:P]

The only thing I don't understand yet is how Astaro can reply on the additional address with a /32 subnet mask, because that should NOT be possible. As we said (and proved) just a minute ago; the additional address is within a subnet with only one host possible... 
Somehow Astaro manages to reply... Let's see...

Maybe I can do another test...
I have the Astaro 9.1 BETA version running within Vmware Workstation.
Internal interface: 192.168.1.254/24 and no additional address.
External interface: 10.0.1.253/24 (get's on the internet through the "production" astaro at 10.0.1.254)
I changed the IP address of my laptop to 192.168.1.9/24
My PC still has 10.0.1.150/24
So I can use my pc to enter the Astaro webadmin through the external interface.

OK, ping is running from my laptop to the internal interface of my astaro machine (from 192.168.1.9/24 to 192.168.1.254/24)

Now for the test... Let's change the subnet mask of the internal interface to /32, with no additional address configured... What will happen...?
Right!!! As I expected, the ping flow stops, Astaro cannot be reached through the internal interface anymore, because I subnetted Astaro's internal network down to a network with only one host possible...
When I set the subnet mask back to /24 it's all working again. 

This is what happens; the ping does arrive from my laptop at Astaro (because of the /24 on my laptop, my laptop can access 256-2=254 hosts, 256 - network address and - broadcast address) so my laptop can access the Astaro machine, but... because of the /32 mask at the Astaro side, (Astaro's internal network is subnetted to a network with only one host possible and therefor) Astaro cannot talk back to my laptop.

(Note; when you try this, make sure you can access the Astaro webadmin through the external interface, else you need to change the subnet back through the console...)

So, what I guess... In the situation of;
Internal interface: 10.0.1.254/24 and additional address of 10.0.1.253/32,
Astaro manages to reply on a ping to 10.0.1.253/32 and this can only happen if Astaro replies through it's primary IP address of 10.0.1.254/24
There is just no other way.

One final test to see if this guessing can be confirmed...
Astaro;
Internal interface; Primary address 192.168.1.254/24 and additional address; 192.168.1.253/24
Ok, from my laptop (192.168.1.9/24) I'm able to ping 192.168.1.254 and also 192.168.1.253...
I started ping -t 192.168.1.254 (primary address) on my laptop.

Now, let's change the subnet masks...
Primary 192.168.1.254/32 and additional; 192.168.1.253/24 and see what happens...
As I expected, the ping flow does not stop, Astaro now replies through the additional address, I'm absolutely sure about that...

To get an extra confirmation on this I disable the additional interface and indeed, the ping flow stops... After enabling the additional interface the ping flow starts again... So Astaro is really using the ip address with the /24 subnet mask to reply.

That's why I love Astaro, it's an intelligent product! [;)]

I hope that this makes it all clear to everybody. It's actually just basic TCP/IP...

One question remains... Why would you create a second/additional address on the internal interface? What's the purpose of this configuration?

Regards,
Erwin.