Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 6646 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Dnat over IPSec Site-to-Site VPN

Waterboy550_01
I have two firewalls connected with an IPSec Site-to-Site VPN tunnel. This has been setup for years. I can communicate back and forth great. 

On network 1 I have a web server. This uses port 80 and 445. I want to setup another web server to switch out with the one currently there. So I want to test functionality before just throwing the new one in. So I have the two web servers on the same network (network 1). The old server gets all the port forwarding from the firewall on network 1, it is accessible via the public IP address of network 1.

I would like to use network 2's public IP address to test my new server. I setup port forwarding on the firewall of network 2. The rule forwards 80 and 445 to my servers ip address on network 1. In the packet filter I can see the forward happen from firewall on network 2 to firewall on network 1. However the firewall on network 1's packet filter never seems to get the traffic.

The setup seems a little too easy to think that is all, what am I missing here?

Thanks!


This thread was automatically locked due to age.
  • 0
    I think I worded my question in a confusing way, here is an example.

    Network #1
    Internal Ips: 192.168.1.x/24
    External Ip: 1.1.1.1

    Network #2
    Internal Ips: 192.168.2.x/24
    External Ip: 2.2.2.2

    Network #2 has a DNAT rule with the following settings
      Traffic Source: ANY
      Traffic Service: Http + Https
      Traffic Destination: External (Address)
      Nat Mode: DNAT
      Destination: Server2 (192.168.1.21)

    I see the traffic get forwarded to 192.168.1.21 when I try and access 2.2.2.2 in my packet filter on the firewall in Network #2. However when I look at my packet filter on the firewall in Network #1 I don't see the traffic that was forwarded. 

    Any thoughts? Is this possible?
  • 0
    Figured it out. Needed full NAT mode. Configuration looks like below.

    Traffic Source: ANY
    Traffic Service: Http + Https
    Traffic Destination: External (Address)
    Nat Mode: FULL
    Destination: Server2 (192.168.1.21)
    Source: Internal (Address) ex: 192.168.2.1
  • 0
    Exactly right.  With a DNAT, the request traffic reaches the server, but its local firewall sends the response back directly instead of through the tunnel.  The requester's firewall sees a packet it doesn't expect, so it gets dropped.

    With a Full NAT, the server sends its response to your IP, so the firewall knows to route it back through the tunnel.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML