Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 9010 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

RED DHCP issues - remote network

Scott_Klassen
I'm trying to setup the Split Tunnel configuration, using the RED Initial Setup Guide from the kb (https://support.astaro.com/support/index.php/RED_Initial_Setup).
 
As part of this setup, a static route must be set to forward all traffic to the connected LAN port of the RED device. This is where the problem seems to arise. None of the 4 LAN ports on the RED device make a DHCP request, so they don't get a LAN IP that I can use to setup a standard static gateway route. The WAN port does make a request and gets a local LAN ip just fine.
 
So, what's the trick here? I need something to forward the traffic to on the remote network router.
 
There may also be NAT issues at work here, as there are three separate subnets involved. The ASG the RED device is registered to is at work and the work LAN is 192.168.2.0, the RED virtual interface network (RVIN) on the ASG is 192.168.100.0, and the home network the RED device is physically at is 192.168.1.0 (using Astaro at home as well). I need to be able to access network resources at work from home through the RED. If I connect a PC at home directly to a RED LAN port, it is given an IP from the DHCP server setup on the ASG at work that's assigned to the RVIN interface and everything works.
 
If somebody has gotten the split tunnel setup described in the guide to work, please post the steps you had to take to finagle it. [:)]


This thread was automatically locked due to age.
  • 0
    I'll check this out... I should have a unit here to play with before too long.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Sophos Platinum Partner

    --------------------------------------

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BrucekConvergent
    OK, think I've got it.  You'll have to have your PC plugged into the switch, not the RED itself.  The lan port and the wan port of the RED would need to be plugged into the LAN switch (in your case, on the internal side of your home astaro).  You will need to add a route on your home astaro to route traffic to your work network via the static .100.x IP on the inside of the RED device. This will require some packet filter work on the work ASG side.  Really, really convoluted setup, and probably not typical of how this will normally be deployed to branch offices (a lot of my customers would use this to force all users through the head-end for filtering, IPS protection, etc.), but I do understand the requirement for split tunneling with this product in certain situations.

    It really looks like, as is stated in the doc, that the RED really doesn't support split tunneling in the current release ... so we may be trying to fit a square peg in a round hole in this case.

    When I get one in my hands I'll be able to play more with it, but I think I understand how I can force it to work in a split tunneling scenario.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Sophos Platinum Partner

    --------------------------------------

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0
    Thanks for the response. 
     
    I knew about the RED Lan port, RED WAN port, and PC all plugged into the switch. I only tried direct connecting a PC to the RED LAN port to rule out any issue with the RED device.
     
    Interesting idea about routing by the 192.168.100.1, but I don't quite see how that would work, since it's not being broadcast into the home LAN, so no arp table entries for the switch and still no way to define the RED LAN port being used on the router (astaro) for building a route table entry. I think that this weekend, I might hook a passive tap between the LAN port of the RED and the switch and run the output through wireshark to see exactly what's passing through.
     
    I think that there's something missing in the steps documented.  Maybe a skipped step, a wrong step, or even the doc was put together using a beta version that had more robust functionality.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    I hooked up an in-line passive tap to a RED LAN port, plugged into a switch port and ...nothing of consequence was passed out of the RED LAN port into my local LAN.  No broadcasts or anything.
     
    Given what I've already seen and without further information from someone "in the know", I don't think that the information on a split-tunnel setup in the initial setup guide is current or correct and should be removed from that document as misleading.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0 in reply to Scott_Klassen
    Hi Scott- can I work with you on this sometime Monday?  I'd like to help you get it sorted out and then get the docs updated.  (My RED and TAP are sitting on my desk in the office or I'd play this weekend).

    Just email me if that works for you.
  • 0
    No problem Jack.  I'll shoot you an email Monday morning.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    I just skimmed this thread, so apologies if i missed something already said, but what I think you might be missing, is that it is the RED interface in the Astaro at the other end of the RED tunnel must be configured with an address in your LAN. That address becomes the gateway you point to when adding routes. You could use DHCP, but since you are creating routes to it, I would strongly suggest configuring it with a static address instead.
  • 0
    Ok Alan, let me see if I understand this correctly.  Given the layout as explained in the first post, the RED virtual interface network (RVIN) needs to be given an address in the 192.168.1.0 subnet.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0 in reply to Scott_Klassen
    That's right, Scott.  The RED interface IP needs to be in the LAN subnet where it is located for the split tunneling to work in the scenario described by the KB article.
  • 0
    Sounds good.  I'll forgo sending you an email this morning Jack and will give this a shot tonight when I get home and post back.  This little bit of information is missing from the KB article and should be added, because it won't work otherwise.  [:)]
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
Unfiltered HTML