This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Routing 4 internal subnet

Hi ALL

How to implement on one network interface
(1.) 192.168.3.0-192.168.6.0 subnets to allow routing in DMZ on certain ports for each subnet.
(2.) allow subnets 192.168.3.0 (IT network) access to a subnet 192.168.4.0-192.168.6.0 (Office network) on all ports
(3.) denay subnets 192.168.4.0-192.168.6.0 (Office network) access to a subnet 192.168.3.0 (IT network) on all ports

Has visited to organize VLAN on eth1 eth2 ping further the Gateway doesn't leave.


This thread was automatically locked due to age.
  • I'm not sure I understand your plan.  It seems that, if you already have these subnets, the easiest would be to make 192.168.4.1 the primary IP on eth1 with a subnet of /24.  Then, in 'Additional Addresses', create an additional address of 192.168.5.0 with subnet /23.  And another address 192.168.3.0/24.

    If that works, and you still can determine the subnets, I would recommend different subnets for your location:

     - eth0: 172.16.9.0/22 Internal (includes IT and Office, and would require fixed IPs in IT if DHCP is used for Office; this can be enforced with GPOs in Active Directory.)
    - eth1: (the custom in Astaro is to use eth1 for External, and eth0 for Internal)
    - eth2: DMZ 172.16.7.1/24

    Since so many internet cafes and home offices use subnets in 192.168.0.0/16, and large ISPs use subnets in 10.0.0.0/8, we prefer to have businesses use subnets in 172.16.0.0/12 to avoid conflicts and confusion.

    If you want to use VLANs instead of multiple subnets on one interface, then you will need to create packet filter (firewall) rules allowing traffic between the various internal subnets.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • If you use multiple subnets on the same interface, there will be virtually no security between them.  If someone with the IP Address 192.168.4.11 wanted access to the 192.168.3.0 network, it would be as simple as changing their IP address to 192.168.3.11, for example, and the traffic would never pass through the Astaro.  For security and control, you would be best to have each subnet on a separate interface.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • If you use multiple subnets on the same interface, there will be virtually no security between them.  If someone with the IP Address 192.168.4.11 wanted access to the 192.168.3.0 network, it would be as simple as changing their IP address to 192.168.3.11, for example, and the traffic would never pass through the Astaro.  For security and control, you would be best to have each subnet on a separate interface.


    It absolutely agree, on it the initial idea was to lift on interface VLAN, but similar our equipment at office doesn't support 802.1Q.
  • Completely all project of my network looks so
  • Get yourself a 4 port intel NIC to add to your box.  It'll make your life much simpler.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • It is possible to describe step by step as to make routing on for a sheaf for example two subnets, on one network interface (eth1) and one visit on the second interface (eth2). 

    Example
                                       
    To allow 192.168.6.0 (admin) to use (RDP) TCP 3389 on all subnets.
    To forbid 192.168.5.0-3.0 to use (RDP) TCP 3389 on all subnets.