Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 2 subscribers
  • Views 11206 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

How-to RED/ASG setup for the novice?

ButtonPuncher
I'll be brutally honest...  I know enough to be dangerous when it comes to my ASG 220.  I purchased a RED.  After reading the literature I thought that it would automatically create an extension of my internal network to my remote office.  It does automatically install itself on my ASG but that's about it.

What exactly do I need to do to connect my internal network to the users on my RED?  My ASG 220 is running firmware 7.506.

I have a Windows server running a DHCP server to provide the address range of 10.0.0.x for my internal network.  If possible, I'd like to have the RED users on the 10.0.10.x range.  Through the basic RED setup, I see that it did create a DHCP server with that range.  I'd like to keep it that way if possible.

I tried the instructions here...

https://support.astaro.com/support/index.php/Same_network_on_RED_and_LAN

...but I ran into a couple of problems.  I can't bridge my internal network (eth0) and the red interface.  I'm guessing that's because eth0 is already in use.  I did try bridging an unused interface, et7, and the RED.  I then ran a  network cable to the same switch that et0 was connected to.  That kind of worked but not very well.  The transfer rate meters on the Astaro dashboard didn't work while doing a file transfer test.  Also the file transfer was pretty slow.  I also wasn't able to access the internet through the RED.  Plus, that seems like a hacked way of doing things.  I'd rather not waste an interface if I don't have to.

So how do I properly set up the RED to seamlessly connect to my internal network and the internet?

Thanks for your help and your time.

BP


This thread was automatically locked due to age.
  • 0
    OK, I've got internet working.  I cloned my internal rules in the packet filter and made the RED network the source.  I also added the RED network to the NAT masquerading.

    So how do I get the RED network talking to my internal network?

    I tried a static route, interface route between the RED network and the internal network.  Yeah, that didn't work.

    Thanks again in advance for any help.
  • 0
    In general, a firewall blocks everything that isn't given explicit permission to pass by a proxy or a packet filter rule.  Since the Astaro is a stateful firewall, it also allows packets that are responses invited by traffic it has allowed.  So, just like traffic with a DMZ, packet filter rules must allow the communication you want.

    Another general rule is that the Astaro knows how to route between the subnets defined on its interfaces.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I've found a problem too.  The test firewall that I'm using at work (an old maxgate), is causing the RED to constantly re-connect.  From the live log...

    2010:08:04-14:25:17 *** red_server[29325]: SELF: New connection from xx.xx.***.*** with ID A30000*********xx
    2010:08:04-14:25:17 *** red_server[29472]: A30000*********xx: connected OK, pushing config
    2010:08:04-14:25:24 *** red_server[29472]: A30000*********xx: command 'PING 1'
    2010:08:04-14:25:24 *** red_server[29472]: A30000*********xx: PING remote_tx=1 local_rx=1 diff=0
    2010:08:04-14:25:24 *** red_server[29472]: A30000*********xx: PONG local_tx=0
    2010:08:04-14:25:41 *** red_server[29472]: A30000*********xx: command 'PING 2'
    2010:08:04-14:25:41 *** red_server[29472]: A30000*********xx: PING remote_tx=2 local_rx=2 diff=0
    2010:08:04-14:25:41 *** red_server[29472]: A30000*********xx: PONG local_tx=1
    2010:08:04-14:25:57 *** red_server[29472]: A30000*********xx: command 'PING 3'
    2010:08:04-14:25:57 *** red_server[29472]: A30000*********xx: PING remote_tx=3 local_rx=3 diff=0
    2010:08:04-14:25:57 *** red_server[29472]: A30000*********xx: PONG local_tx=2
    2010:08:04-14:26:24 *** red_server[29325]: SELF: New connection from xx.xx.***.*** with ID A30000*********xx
    2010:08:04-14:26:24 *** red_server[29325]: A30000*********xx: already connected, releasing old connection
    2010:08:04-14:26:24 *** red_server[29325]: A30000*********xx: disconnecting
    2010:08:04-14:26:24 *** red_server[29497]: A30000*********xx: connected OK, pushing config
    2010:08:04-14:26:31 *** red_server[29497]: A30000*********xx: command 'PING 0'
    2010:08:04-14:26:31 *** red_server[29497]: A30000*********xx: PING remote_tx=0 local_rx=0 diff=0
    2010:08:04-14:26:31 *** red_server[29497]: A30000*********xx: PONG local_tx=0
    2010:08:04-14:26:47 *** red_server[29497]: A30000*********xx: command 'PING 1'
    2010:08:04-14:26:47 *** red_server[29497]: A30000*********xx: PING remote_tx=1 local_rx=1 diff=0
    2010:08:04-14:26:47 *** red_server[29497]: A30000*********xx: PONG local_tx=1
    2010:08:04-14:27:03 *** red_server[29497]: A30000*********xx: command 'PING 2'
    2010:08:04-14:27:03 *** red_server[29497]: A30000*********xx: PING remote_tx=2 local_rx=2 diff=0
    2010:08:04-14:27:03 *** red_server[29497]: A30000*********xx: PONG local_tx=2 

    It just keeps looping over and over and over.  On the RED the system LED starts blinking then the tunnel LED goes out.  They all go solid for about 40 seconds then it starts over.  Just like the log says.

    When I have the RED connected at my apartment it works fine.  PING PONGs all day long.

    Time to find another firewall for testing...
  • 0
    OK, my trusty old Linksys fixed that problem.

    I am now soo close that I can taste it.  I've got internet and I can ping my server's IP.  I don't have DNS working though.  Also, I don't know why but my download speed on the RED is painfully slow.  About 50Kbps.  Upload speed is dead on at 3Mbps.  (Dual T1.)

    I'm using the standard RED quick setup.  If you Astaro gurus could point me in the right direction to get DNS working, and fix the upload speed problem, it would be greatly appreciated.

    Thanks,
              Ben
  • 0
    Still making progress...

    I can now access my server with a PC on the domain through the RED.

    I completely missed entering in my Windows domain name in in the Astaro's RED DCHP settings.  I also changed the DNS so that DNS 1 is my server IP and DNS 2 is the RED's IP.

    I still must not have WINS or DNS working properly though.  I can access my server by it's name but not any of the other PCs on my network.  \server01 works but not \time01 (timeclock computer).  I can ping the timeclock at 10.0.0.25 so at least that much is working.

    File transfers are lightning fast.  It must do compression because I was able to transfer a 41.3MB file in 59 seconds.  That works out to 5.9Mbps and I only have a dual T1.

    Internet downloads still seem a bit slow but I need to do more testing.  Right now the speed tests are saying 1900Kbps down and 2800KBps up.  That could just be heavy network traffic.  I'll have to check it again tonight.

    Again, I'm new so If I'm doing anything dumb, please speak up. [;)]

    Thanks.
  • 0
    I just have to say...

    [SIZE="5"]Thanks Jack Daniel!!![/SIZE]

    With a ton of his help, I now have my RED bridged to my Internal Interface.  It works sooo well.

    I'll have to write up exactly what he had me do for others who are also stuck.  But it's time to go home, so tomorrow...
  • 0 in reply to ButtonPuncher
    OK, here's how my RED was setup to work in bridged mode...

    1.)Add your RED to the Astaro but DO NOT use Quick Setup (uncheck it).

    2.)Bridge the RED interface and the internal interface.  To do this, check the red interface and select Internal from the Convert drop down.

    Once you apply the bridge, give your Astaro a few minutes to think.  My ASG220 had the processor pegged for a good 90 seconds while it applied all of the changes.

    3.)Create a new service for DHCP.  Go to Definions -> Services and click on New Service Definition.  Name it DHCP, set the Type to UDP, and set the Destination port to 67:68.

    4.)Create two new Packet filter rules.  For the first rule, set the Source to Any, set the service to DCHP, and set the Destination to Any.  For the second rule, set the Source to Internal (Network), set the service to Any, and set the Destination to Internal (Network).

    The second rule, while bizarre, is required for the bridge to work properly with the RED.

    5.)To get DNS working properly with my Windows network, we needed to do the following...  Go to Network Services -> DNS -> Request Routing.  Create a new route and enter in your Active Directory domain name and point it to your internal server's IP.

    I also needed to create a Static Entry so that I could get to my timeclock computer, time01.  I just went to Static Entries, created a New static DNS Mapping and entered in time01 and 10.0.0.25 as the destination.  Without it, I would get an Astaro error page saying that the host could not be found.  There's probably a better way of doing this but it's the only way that I knew how.


    Thanks again to Jack Daniel for all of his help.  Without it, I would have been lost.

    BTW, because I'm a glutton for punishment, I still want to see if I can get my RED working properly in non-bridged mode.  I'll document that too if/when I actually get it working.

    Thanks,
              Ben
  • 0
    I'm having one problem while trying to get the RED to work in Quick Setup mode.  I can't access the PCs on the RED network from my internal network.  I can't even ping them by IP.

    The other direction, from the RED to the internal network, everything is working perfectly.  Internet works, access to my file server works, DNS works, Remote Desktop works.

    I have packet filter rules set up to allow all traffic both to and from the RED and internal network.  I have NAT Masquerading set up from the RED to the external network, and both to and from the internal network.  I'm not seeing anything getting blocked in the packet filter live log.  What am I missing?

    Thanks,
              Ben
  • 0 in reply to ButtonPuncher
    Masquerading from and to the internal network? Maybe this is the reason...
  • 0
    I definitely need NAT masquerading from the RED to the internal network.  When I disable it, all of my traffic stops flowing.

    I was guessing and added NAT masquerading from the internal to the RED.  With it either enabled or disabled, I can't access the RED PCs from the internal network.  I thought I also needed it because my internal and RED networks use a different IP range and subnet mask.

    Thanks,
              Ben
Unfiltered HTML