Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 22 replies
  • Subscribers 2 subscribers
  • Views 74350 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Destination or SOurce NAT setup for Mgmnt of 2WIRE modem

skydiver
Here is my setup:

2 internet connections on ETH1 & ETH3 of an ASG120
a 2WIRE DSL Modem on ETH3
Cable Modem on ETH1
I can access the Astaro right now only vie the cable connection on eth1

The 2WIRE DSL modem is doing the PPPoE connection and is setup to do a Public Proxy NAT translation to one of 5 static public IP's to eth3 on the Astaro.

The eth3 interface is connected to the 2WIRE modem and is set to Cable (DHCP) mode MTU1492 and being statically assigned a public IP address from our IP pool through the 2WIRE modem .  The modem is doing Public Proxy in NAT mode to the between the Astaro and the public IP address through a reservation matched to the MAC address of eth3 in the Public Proxy NAT setup.  The Astaro eth3 is being assigned ONLY the public IP address and not a 192.168.1.x address.

I am having problems with the setup so I would like to access the 2WIRE management interface but can't unless I am connected directly to the DSL modem internally using a 192.168.1.0 address talking to the modem at 192.168.1.254.

The Astaro eth3 address is assigned a public IP address due to the MAC reservation in the DSL modem.  I would like to change the MAC address on eth3 so I can then have eth3 pull a 192.168 address from the DSL modem then do a Destination or Source NAT rule to access the interface on the DSL modem.

How would I do a DNAT/SNAT setup to access the interface of the DSL modem?  I would be coming in on eth1:8888 and want to map the traffic to http port 80 out eth3 to 192.168.1.254 but appearing to come from a 192.168.1.x address.

I am not sure if this is even possible because the DSL modem may not honor any traffic appearing to come from the mac address assigned the Public IP Nat as a 192.168.1.x source.  If this is the case I thought that if I could change the MAC address on the Astaro eth3, I could pull a 192.168.1.x IP address then use the DNAT/SNAT rule to access the interface. How do I modify the MAC address on an interface on the Astaro?

I really don't want to have to go back on-site because it is a long trip.


This thread was automatically locked due to age.
  • 0
    Hi, if you're not using 192.168.1.x addresses internally, it might _just work_ without any NATs (other than normal Masquerading).
    I know it works with cable modems, but not sure about pppoe.

    Barry
  • 0
    I have a customer with a home-based office 4 hours drive from me (their main office is in the same city we are); they have AT&T DSL with a small Astaro system in a closet... I opted to set their 2Wire DSL Modem/Router to bridged mode, and have the Astaro do the PPPOE login and perform any NAT that is required; this is a cleaner setup than having to manage 2 routers... the 2Wire is never touched after it's set to bridged mode.  I'd recommend setting up any DSL connection in this manner.

    Granted, though, at the time, the Bridge mode settings were well hidden on this particular 2Wire modem; I found the direct URLs needed to change it to bridged mode at DSLReports.com.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Sophos Platinum Partner

    --------------------------------------

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0
    I ended up using the 2WIRE Public Proxy over NAT setup (never offered by AT&T support BTW).  I am assigning a 192.168.1.10 address to the Astaro eth3 interface.  The 2WIRE does the PPPoE connection, has a public IP address so I can ping it and the public proxy setup allows me to use the other 4 of my public IP addresses while still allowing me to access the 2WIRE management interface from any computer in the local LAN connected to the Astaro.

    Now I need to be able to get to the DSL modem interface from across the VPN to eliminate having to logmein to a local computer at the restaurant.  Any help with this?

    eth3 assigned 192.168.1.10
    DSL modem assigned 192.168.1.254 running web interface on port 80
    Astaro LAN address setup on eth0 as 10.10.10.1/24
    Central network LAN setup (site to Site IPSEC) is 10.10.0.0/16

    I can access any device on the 10.10.10.0 network at the remote location so I know that is working.

    I would like to be able to access the DSL modem management interface running at http://192.168.1.254:80 on remote Astaro's eth3 interface via internal network access only like this: http://10.10.10.1:8888 (on eth0) which is SNAT'd to 192.168.1.254 via the eth3 interface.

    I have a SNAT Rule setup but it is not working:
    Traffic Source - ANY
    Traffic Service - Custom setup as Source 1-65535/Destination 8888
    Traffic Destination - eth0 Internal Network Address (10.10.10.1)
    NATMode - SNAT
    Source - 192.168.1.254 (DSL Modem address connected to eth3/192.168.1.10)
    Source Service - HTTP
    Log Initial packets - Checked
    Auto pack Filter Rule - Checked

    I am having trouble figuring out how to set this up. Any suggestions?
  • 0 in reply to skydiver
    Bump...
    Any help with this would be great.  The more I look at it the more it looks like I need to proxy the access.  It there a simple way to do this?
  • 0
    I bet others are just as confused as I am.  I spent 5 minutes trying to understand all of that, and I'm still lost.  How about a network diagram or something that lets us see the same big picture that you know?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Here is a diagram. I simplified it a bit but I think you will see the layout and what challenges I am trying to overcome.

  • 0
    Hi, I don't think your diagram made it. Try converting it to a PNG or high-quality (95+) JPEG.

    Barry
  • 0
    OK, your link is there now, but when I click it, I get 
    "Forbidden

    You don't have permission to access /gallery/main.php on this server.
    Apache/2.0.51 (Fedora) Server at ScottRobertMorgan.com - Personal Photo Gallery Port 80"

    Note that you can upload JPEG's as ATTACHMENTS to your posts here; you don't need to link to another site.

    Barry
Unfiltered HTML