Thread Info
  • State Not Answered
  • Replies 7 replies
  • Subscribers 0 subscribers
  • Views 4500 views
  • Users 0 members are here
Options
Suggested

Using RED with bridging

tom_01
Here's a collection on "RED with bridging", kept up2date as this thread moves along:

1) When bridging a "redsX" interface with another LAN/WAN port on the ASG, keep in mind that packet filter rules still apply for traffic passing the bridge.

2) We discovered a bug that removes ipsec interface and standard routes from the system when a bridge is added or removed. This is a one-shot problem only, so you can fix it by restarting MDW ("/etc/init.d/mdw restart") or rebooting after adding or removing a bridge.

3) Special case for DHCP:
If devices behind the bridge must pull IP addresses via DHCP from a server in the LAN, you must explicitly allow DHCP traffic to pass the bridge. The easiest way is to create a rule "Any->DHCP->Any->Allow", where "DHCP" is a service definition using protocol "UDP", source port range "67:68" and destination port range "67:68".

4) If RED and LAN are bridged, and you want to allow stuff between these "segments" (which are actually the same segment), without allowing stuff for WAN traffic, you can create a new "Any" (Network 0.0.0.0/0) definition which is bound to the bridge interface. Call it "Any_Br_Internal" for example. Then use this with "allow" rules like:

Any_Br_Internal->HTTP->Any_Br_Internal

Or if you just want to allow everything internally (REDLAN):

Any_Br_Internal->Any->Any_Br_Internal

This will restrict allowed traffic to packets traversing the bridge.

/tom
  • 0
    Hi,
    I installed a bridge between WAN and RED, VPN Tunnels not working any more, WAN not pingable, no internet on PC behind RED.
    The ASG is slow, nearly not respondig to Webadmin from LAN
    Then I added the packet filter Rule any-any-any allow and nothing went better.
    Finally I rebootet it and now the vpn tunnels again are working and the client behind the RED with its routalbe WAN IP works fine too.
    It seems to me any changes in bridging requires a reboot.
    The question is now, is it a security problem to enable the packet filter Rule any-any-any allow ??? In my understanding of firewalls it is not the function of a firewall to have this rule active.
    Is there a less insecure option to make my bridging of WAN to RED working ?
    Ralf
  • 0
    I have tried bridging the RED with the Internal Interface of ASG. Works so far.
    But then I can not connect from RED through a VPN-tunnel of the asg to another network...
  • 0 in reply to rbender

    The question is now, is it a security problem to enable the packet filter Rule any-any-any allow ??? In my understanding of firewalls it is not the function of a firewall to have this rule active.
    Is there a less insecure option to make my bridging of WAN to RED working ?


    If RED and LAN are bridged, and you want to allow stuff between these "segments" (which are actually the same segment), without allowing stuff for WAN traffic, you can create a new "Any"  (Network 0.0.0.0/0) definition which is bound to the bridge interface. Call it "Any_Br_Internal" for example. Then use this with "allow" rules like:

    Any_Br_Internal->HTTP->Any_Br_Internal

    Or if you just want to allow everything internally (REDLAN):

    Any_Br_Internal->Any->Any_Br_Internal

    This will restrict allowed traffic to packets traversing the bridge.

    /tom
  • 0 in reply to mas0384
    I have tried bridging the RED with the Internal Interface of ASG. Works so far.
    But then I can not connect from RED through a VPN-tunnel of the asg to another network...


    We discovered a bug that removes ipsec interface and standard routes from the system when a bridge is added or removed. This is a one-shot problem only, so you can fix it by restarting MDW ("/etc/init.d/mdw restart") or rebooting after adding or removing a bridge.

    /tom
  • 0 in reply to tom_01
    reboot don't help. 

    After rebbot, state off bridge and external shown as down on dashboard. No RED connection possible, no VPN is down (red), too.

    Only disableing the bridge and restart entire System helps.

    Sven

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

  • 0
    Found another Problem with bridging RED to WAN: The WAN interface is not responding to pings from external since the bridge is active, but firewall is working.
    All ICMP is till on und Packet Filter
  • 0
    i have the same problem with LAN an RED.

    Short config info:
    LAN and RED = Internal LAN
    WAN
    DMZ 

    Rule:
    Any_Br_Internal->Any->Any_Br_Internal is addet.
    LAN -> Any -> Any

    Client behind the RED:
    Windows 7, DHCP from LAN Server1 works fine. 
    Ping to ASG also fine.
    Ping to Server1 on LAN no success.
    Ping to Server2 on DMZ works fine.

    a reboot did no successfuly.

    Thanks Thomas

    PS: excuse my english ;-))

    MfG     regards

    Thomas Fischer

    fischer professional consulting
    FP-Consulting e.U.
    Prof. Dr. Stephan Koren Str. 10
    A-2700 Wiener Neustadt

Unfiltered HTML