Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 2 subscribers
  • Views 16738 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

::: LAN PROBLEMS ::: urgent please help !

foo-ninja0411
Hello!

I´m having some serious problems with astaro linux, I have searched for documentation, i have got some i have read it all, but still i couldnt solve my problem, and has a final solution i have decided to come here and post a "mega" *NOT* question since i have run out of papers and documentation, and also my friends that have putted up some astaros up cannot solve my problem...

I have read much about astaro and till now it seems the best firewall solution, at my network i have set up the latest version  of astaro the installation went fine, i will leave here all the details i can so you can help me , has i wish you do 

I have set up a astaro linux latest version in a :

CPU : amd duron 900mhz
RAM : 192 dimm 133mhz
HD : 6 Gb Seagate

Setted up the following details :

1º ethernet card ( intern )
ip : 192.168.0.1

2º ethernet card ( extern )
ip : 192.168.1.1

Nameservers : 194.65.3.20 / 194.65.3.21  ( pub dns )

Gateway : 192.168.1.1

...

After setting the default config , i have installed chroot-pppoe.tgz and configured right, i setted up my 768 kbps ADSL connecting and tested at my firewall and the firewall had access to the internet, so the connection was working...KOOL! 

After setting up my internet connection and after testing it and checking that everything was allright , i thought of configuring now my firewall to "SHARE" the internet connection to 2 other boxes ( 192.168.0.2 & 192.168.0.3 ) so i tried 

ACCESSED IT USING THE WEBBROWSER TO https://192.168.0.1

  [:S]  

I configured everything defined my EXTERN AND INTERN IP´s to :

INTERN : 192.168.0.0
EXTERN : 192.168.1.0

Defined the other 3 "machines"   [:S]   :

192.168.0.1   |   192.168.0.2   | 192.168.0.3

Setted up MASQUERADING : 

INTERN -> EXTERN 

Added the FIREWALL RULE : 

FROM: INTERN | ANY | TO: EXTERN | ALLOW

So everything from the inside network that goes "outside" is alllowed...

::::        ::::

Problem i can ping everything inside IP´s , i can ping from the intern BOXES ( 192.168.0.2 / 192.168.03 ) i can ping  the outside and inside firewall network card i can EVEN ping the MODEM ip ( given by the isp ) 213.13.* , but from the intern network i cant access the internet it simply doenst share the internet so from more then 1 month that i have my network down  , and from the FIREWALL ASTARO computer ( 192.168.0.1 / 192.168.1.1 ) i can access the internet !

My configuration of the other 2 boxes :


Host : www.blah.org
ip : 192.168.0.2
nameserves : 194.65.3.20 / 194.65.3.21
gateway : 192.168.0.1

Host : foo.blah.org
ip : 192.168.0.3
nameservs : 194.65.3.20 / 194.65.3.21
gateway : 192.168.0.1

...

I dont know what to do , i have been trying hard and messing with all the configs but nothing for more then 1 month that i dont have internet  [:(]Y NETWORK ! 

:::   [:(]  

PLEASE HELP !  mail me at ! jynx@owned.it !
Or reply here ! 
HAS FAST HAS YOU CAN !

THANKS !

Jynx


This thread was automatically locked due to age.
Parents
  • 0
    Forgot to say that at my firewall ( 192.168.0.1 ) i have changed the GATEWAY to an external ( isp gateway for adsl )...

    So i have the problem but one of the config i wrote was wrong ...

    The GATEWAY ( on the firewall is not 192.168.1.1 ) but a isp one 213.13.16.1   [:)]  

    ...

    PLEASE HELP FAST !

    THANKS !

    Jynx

    [ 02 April 2002: Message edited by: foo-ninja0411 ]

  • 0 in reply to foo-ninja0411
    I'm no expert, but if it's a quick reply you want, I think your firewall's gateway setting and/or its Internet address are wrong.  The gateway should be the address of your ADSL router or modem, since that is where you want packets for the Internet to be passed, and it should be in the same subnet as your firewall, so that your firewall can see it.  The firewall's address should be either a genuine Internet address as issued by your service provider, or an address in the same network as your side of your ADSL router, if your router performs some sort of address translation.

    I hope this helps you.

    Justin.
    xxxxxx

    [ 02 April 2002: Message edited by: Justin Wheatley ]

  • 0 in reply to Justin Wheatley
    I have allready setted my EXTERN to 10.0.0.0 precisly to 10.0.0.130 , since my ADSL MODEM has ip ADRESS 10.0.0.138 ( default ) and i have set it up and also works, but works for internet to the firewall , like its working now , but same problem the INTERN computer cannot access the internet   [:(]  

    Thanks !

    PLEASE HELP   [:)]  

    Jynx

    [ 02 April 2002: Message edited by: foo-ninja0411 ]

  • 0 in reply to foo-ninja0411
    You haven't mentioned that you've enabled any proxy service, or set the proxy server settings on the client computer.  The rule you've set up for INTERN -> EXTERN if I understand correctly will only allow packets with a source of you Internal network card out to a destination of your External network card, while what you really want is all internal addresses to be able to send packets to all external addresses.  Better (both easier and safer) than using these rules would be to use the http proxy facility, which you can allow your whole internal network to use.  You need also to be sure that the subnet masks and network definitions of your internal network are correct and do not exclude the computers you want to have access to the Internet.

    I don't think I'm quite understanding your problem, but maybe this helps you a bit.

    Justin.
    xxxxxx
  • 0 in reply to Justin Wheatley
    Internet it´s not just having www services , and your solution seems like your telling me to do a HTTP proxy , and then i can go WWW ... My problem is that I CANT SHARE THE INTERNET WITH THE MACHINES behind the FIREWALL , and i dont want JUST WEB ACCESS , i want to have full access to the internet on the clients behind the firewall !
    Problem after masquerading and setting the right rules and having everything supposly 100% correct it should WORKED ! but it simply doesnt   [:(] 

    INTERN -> EXTERN  -> this is not a FIREWALL RULE this is the MASQUERADING I configed !

    The Firewall RULE I HAD was : 

    from : Intern service : any to : extern ALLOW !  ( almost the same     )   


    Justinz WROTE :

       
    quote:
    Originally posted by Justin Wheatley:
    You haven't mentioned that you've enabled any proxy service, or set the proxy server settings on the client computer.  The rule you've set up for INTERN -> EXTERN if I understand correctly will only allow packets with a source of you Internal network card out to a destination of your External network card, while what you really want is all internal addresses to be able to send packets to all external addresses.  Better (both easier and safer) than using these rules would be to use the http proxy facility, which you can allow your whole internal network to use.  You need also to be sure that the subnet masks and network definitions of your internal network are correct and do not exclude the computers you want to have access to the Internet.

    I don't think I'm quite understanding your problem, but maybe this helps you a bit.

    Justin.
    xxxxxx


    [ 03 April 2002: Message edited by: foo-ninja0411 ]

    [ 03 April 2002: Message edited by: foo-ninja0411 ]

  • 0 in reply to foo-ninja0411
    Hello,

    I´m not sure to really help you. But may be I can give you some hints (hopefully ...):

    You wrote (as I understood), that you are able to ping from internal boxes to any ip-adress external and got a reply. Did you ever tried to ping a site (e.g. www.astaro.org, the answer should come from 128.242.218)? If pinging an IP works, but pinging a site-name fails, you have a DNS-problem (in this case an ip-resolution-problem). If both works for your astaro-box, but it fails for your internal boxes, maybe your DNS-proxy is malconfigured. 

    Another point could be, that you mixed up your NIC-configuration. That means, the card you suppose to be the internal one is the external and vice versa (I once made this mistake and had the same problems like you). Test it with 'arp -a' and 'ifconfig -a', the internal boxes should know the MAC-adress of the interface you configured as the internal one on the astaro-box.

    Hope it helps, if you had already checked this, forget my ideas   [;)]ards

    Arne
  • 0 in reply to Arne Fischer
    Did you check all the IP addresses for default gateway on computers behind ASL-box ?
    ciao
Reply Children
  • 0 in reply to micio
    Hello foo-ninja0411 

    You wrote:

     
    quote:
     
    Added the FIREWALL RULE : 

    FROM: INTERN | ANY | TO: EXTERN | ALLOW



    that's wrong, you must set following rule to gain acces to every host in the Inet:

    FROM: LAN_Intern | ANY | TO: ANY | ALLOW

    hope this helps

    eldorado

    PS: greetings to Italy
  • 0 in reply to eldorado
    * -  i have tried to ping www.astaro.com , NOTHING ...

    - I cant ping not even ip or hosts ! i dont think is a DNS problem... thanks anyway !

    * - RULE : INTERN any any ALLOW 

    - I have tested nothing  [:(] 

    * - Checking the NIC of my ethernets boards, have checked allready  [:(] 


    ....

    PLEASE PEOPLE I REALLY NEED HELP !  [:(] 

    Continue to try please...

    ....

    Jynx
  • 0 in reply to foo-ninja0411
    hello foo-ninja0411 


    you wrote:
     
    quote:
     

    Setted up MASQUERADING : 

    INTERN -> EXTERN 



    what is EXTERN?
    EXTERN should be your IP-Address of your external Network Card, and NOT the EXTERNAL NET.

    If it's not working:
    what kind of Modem or connection do you use after the ASL-Box? is it a modem or a router? does the router or modem act as a Bridge? if yes try to set your external Network Card to DHCP and set the correct MASQ.

    Please provide a feedback and a sketch of your net with modems (router) and IP-Addresses.

    witch ASL version do you use?

    by
    eldorado
  • 0 in reply to eldorado
    First i would like to thanks everyone  that is trying to help....

    Im at work , i will try to remember my home Connections details let me think   [:)]  

    - I have a MODEM alcatel speed touch HOME

    - About the MASQUERADE i think your right im masquerading from 192.168.0.0 ---TO---> 192.168.1.0 , i will check it and i will had :

    INTERN ( 192.168.0.0 ) to  EXTERN-NETWORK-CARD ( 192.168.1.1 )  

    Is this right ?

    - I use the latest version i downloaded it from here like 1 month ago , im not sure of the version !

    - How can i set the dhcp for my network card ? to my "outside" network card ?


    AT THIS MOMENT MY NETWORK DETAILS ARE :

    ::::: NETWORK DETAILS

    MODEM alcatel speed touch home
    |
    |
    |
    fw.blah.org
    OS : astaro linux security
    ip 1 : 192.168.0.1 (intern)
    ip 2 : 192.168.1.1 (extern)
    |
    |
    |
    HUB
    |
    |
    |
    www.blah.org
    OS : Windows 2000 advanced server
    ip : 192.168.0.2
    |
    |
    |
    foo.blah.org
    OS : Linux Slackware 8
    ip : 192.168.0.3

    :::::::: ASTARO FIREWALL CONFIGURATIONS

    Masquerade : 

    INTERN -> EXTERN

    FIREWALL RULES :

    INTERN | ANY | EXTERN | ALLOW


    --------------------#


    HELP NEEDED URGENT ...

    Thanks !

    Jynx


      
    quote:
    Originally posted by eldorado:
    hello foo-ninja0411 


    you wrote:
     

    what is EXTERN?
    EXTERN should be your IP-Address of your external Network Card, and NOT the EXTERNAL NET.

    If it's not working:
    what kind of Modem or connection do you use after the ASL-Box? is it a modem or a router? does the router or modem act as a Bridge? if yes try to set your external Network Card to DHCP and set the correct MASQ.

    Please provide a feedback and a sketch of your net with modems (router) and IP-Addresses.

    witch ASL version do you use?

    by
    eldorado


    [ 04 April 2002: Message edited by: foo-ninja0411 ]

  • 0 in reply to foo-ninja0411
    I'm not sure wether this will help but I've an ASL configuration which is just like yours and what i do is actually explicitly enable the services in Packet Filter rules for all the machine behind ASL as below and mine is working fine.

    1) 192.168.0.2 | ANY | ANY | ALLOW
    2) 192.168.0.3 | ANY | ANY | ALLOW
  • 0 in reply to acsb
    Short comment to acsb´s idea:

    This is in general a good idea (not to solve this problem explicitely, more in general terms). We use CheckPoint at work and the CP-support gives us this advice, too. For CP FW-1 V4.0 it is known that the INTERNAL-group (called BLUENET) had sometimes malfunctions (was fixed by a SP). Sometimes connections are dropped although they are allowed ...
    And with exlicit rules for any internal machine and an explicit rule ANY | ANY | ANY | DENY at the end the log files are much easier to interpret     . You are able to identify by which rule your machines will be blocked.
  • 0 in reply to Arne Fischer
    Hello foo-ninja0411

    If you want to use DHCP you must install the Beta 3.0xx version of ASL. But there are stil some little bugs or it's incomplete. It's important to know what kind of Internet connection you have, it's ADSL or Cable. If it's cable you mostly have a CableModem that acts as a bridge (here in switzerland it's so), and then your modem don't have any IP address, but provides the ASL external NIC with one, so you must set it to DHCP, If you don't have a static IP address.

    In your last sketch you have an mistake: The Modem is connectet to your internal Networkcard, is this physicaly also like in your sketch? Do you connect your modem and external card to the same hub like your internal NET? This could cause also Problems, you must physicaly separate the 2 Networks. Connect your Modem directly to the external NIC of your ASL-Box, perhabs you need a crossover cable.

    And please, we need the ASL version of your ASTARO Firewall, do you have the latest BETA version or the latest STABLE version? you can see this if you look at the status line of you browser when you connect to your ASL-Box through https.

    trying to help....

    I have see now what kind of modem you have. Question:
    What is the IP address of your Modems LAN interface? This should be 192.168.1.x and is at the same time your default gateway for your ASL Box. The default gateway of your Clients behind ASL is then 192.168.0.1. Check your default gateways, there is something wrong.

    It then looks something like this:


    external IP provided by your ISP
    MODEM 
    internal IP: 192.168.1.2
    |
    |
    |
    fw.blah.org
    OS : astaro linux security;default gateway: 192.168.1.2
    ip 2 : 192.168.1.1 (extern)
    ip 1 : 192.168.0.1 (intern)
    |
    |
    |
    HUB
    |
    |
    |
    www.blah.org
    OS : Windows 2000 advanced server
    ip : 192.168.0.2
    default gateway: 192.168.0.1
    |
    |
    |
    foo.blah.org
    OS : Linux Slackware 8
    ip : 192.168.0.3
    default gateway: 192.168.0.1

    :::::::: ASTARO FIREWALL CONFIGURATIONS

    Masquerade : 

    INTERN-Net -> EXTERN-NIC

    FIREWALL RULES :

    INTERN | ANY | ANY | ALLOW (consider this rule it's important that it's set like wrote here)
    ANY    | ANY | ANY    | DROP (so you can interpret your FilterLiveLog better)


    that should work like this.


    greetings
    eldorado

    [ 05 April 2002: Message edited by: eldorado ]

  • 0 in reply to eldorado
    My MODEM , alcatel speed touch home has internal default ip » 10.0.0.138 , i have tried to set my external ip´s to 10.0.0.x , so the modem could be part of the EXTERN network ... With that config i could access the internet with the firewall like i still do with my actual configuration, but the problem was still there...no internet for intranet  [:(] 

    Im getting stressed  [:(]   i have my network down for 1 month now :/

    Jynx is sad  [:(] 

    ...

    Jynx
  • 0 in reply to foo-ninja0411
    O.K. Then your Config looks like this:

    external IP provided by your ISP
    MODEM 
    internal IP: 10.0.0.138/255.255.255.0
    |
    |
    |
    fw.blah.org
    OS : astaro linux security default gateway: 10.0.0.138
    ip 2 : 10.0.0.130/255.255.255.0 (extern)
    ip 1 : 192.168.0.1/255.255.255.0 (intern)
    |
    |
    |
    HUB
    |
    |
    |
    www.blah.org
    OS : Windows 2000 advanced server
    ip : 192.168.0.2/255.255.255.0 
    default gateway: 192.168.0.1
    |
    |
    |
    foo.blah.org
    OS : Linux Slackware 8
    ip : 192.168.0.3/255.255.255.0 
    default gateway: 192.168.0.1

    :::::::: ASTARO FIREWALL CONFIGURATIONS

    Masquerade : 

    INTERN-Net -> EXTERN-NIC(defined under Network/Interfaces as 10.0.0.130/255.255.255.255)

    FIREWALL RULES :

    INTERN-Net | ANY | ANY | ALLOW (consider this rule it's important that it's set like wrote here)
    ANY | ANY | ANY | DROP (so you can interpret your FilterLiveLog better)

    Again: that should work like this. My first ASL had the same config and it works like that.

    Check indeep your Config again, ASL is great Firewall and I also had to learn a lot about TCP/IP for getting it working!! One little error causes that nothing works! So check accuratly!

    Setup your Net like this sketch.

    greetings
    eldorado
  • 0 in reply to eldorado
    REally THANKS , i dont know how to thank you all for taking your time helping me...

    TRUE GREETS to everyone...

    Im gonna R0x This shit up to town  [:)] 

    Let me print all the forum at work , to take it home  [:)]  because no internet at home     lol  [:)] 

    WISH ME LUCK BUDDYZ  [:)] 


    ...

    Jynx
Unfiltered HTML