Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 2 subscribers
  • Views 3814 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Understanding question to SNAT/DNAT

StefanS_01
Hi all,
I have here a ASL 5 with the following constellation.
3 NIC Inernal / DMZ / External (2xx.xxx.xxx/128)
In the DMZ works a Apache with some virtual servers (IP)

In the first attempt I generated corresponding virtual NIC at the external NIC (25 pcs.).
In addition I activated the following SNAT.

Any -> Virtual-Nic (Adress) -> httpd -> internal Webserver(DMZ)

The interesting is this SNAT functioned only with some (same parameter!)

With the second attempt I generate host with the external IP addresses in network definition.

With this constellation SNAT works correctly. Which wrong I make in the first attempt ?

What would here the correct way ?

thx

Stefan


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to StefanS_01
    I'm having trouble following you, but /128 is not a valid netmask.

    Please post your complete external network configuration.
    Please do not xxx out the last octet.

    e.g.
    Addresses of each virtual NIC
    217.xxx.xxx.???
    217.xxx.xxx.???
    217.xxx.xxx.???
    ...

    NETMASK
    DO NOT XXX out this

    GATEWAY
    217.xxx.xxx.???


    Barry
  • 0 in reply to StefanS_01
    When you say "SNAT functioned only with some (same parameter!)", please state that another way.

    Are you saying that it worked when you didn't use the virtual address (real NIC IP instead), but it failed when you used the virtual?

    Are you sure the virtual address is nothing like the real NIC address??

    Barry, I think he just wanted some anonymity; but please do post more address info: the first and last octet (second and third can be masked for anonymity), server's network info, other masquerade rules, etc.
  • 0 in reply to SecApp
    Here is the more exact information. I hope it can thereby the problem solve. Sorry for the little misunderstandings.

    Network configuration:

    217.xxx.xxx.0/25
    255.255.255.128

    Gateway: 217.xxx.xxx.1
    ASL: 217.xxx.xxx.2

    On the external NIC exist 19 additional virtual IP addresses.

    217.xxx.xxx.3,4,5 and xxx.10 to xxx.25 with Netmask
    255.255.255.128 and Gateway = none.

    Attempt with virtual NIC IP addresses:

    Nat rules

    Any / Virt.IP.NIC / http / no change / internal Webserver IP / no change

    With this rule already do not come I upto max. external virtual IP 217.xxx.xxx.15, starting from 16 the ASL blocks.

    Attempt with host (external IP addresses):

    Host with same external IP addresses as for the virtual NIC work correctly.

    NAT rules

    Any / ext.HostIP / http / no change / internal Webserver IP / no change

    Possibly an idea?

    thx

    Stefan
  • 0 in reply to StefanS_01
    I've read on other posts where SNATtin virtual addresses didn't work. I myself had a problem this weekend on 5 where I swapped interfaces around, and masquerade rules seemed to reflect the change, but didn't work until I went and reenetered the rule. So if you were doing something weird, you can try reentering the SNAT rules for those IPs giving you trouble.

    What are your internal addresses? (You should not have to conceal them in this post since they are bogus private numbers) And what are your packetfilter rules? Are you using a masquerade rule too? At the time you try to access those IPs, does the log say something interesting?
  • 0 in reply to SecApp
    Thanks for your assistance. Here still a few information in addition.

    There are here still 3 Mascquerading rules.

    DMZ (Network) -> All / All
    Internal (Network) -> All / All
    Netzwerk-Serrig-ISDN -> All / All

    Internal Networks:

    DMZ = 192.168.100.0 / 24
    Internal = 192.168.1.0 / 24
    ISDN (remote User) = 192.168.5.0 / 24

    Packet Filter Rules (external-DMZ):
    Any /  http,ftp,smtp,pop3 /  DMZ (Network)

    I try reentering the SNAT rules for those IPs giving the trouble. 

    Over the result i will write.

    Stefan
  • 0 in reply to StefanS_01
    This looks right; what about the log entries at the time it is accessed?
  • 0 in reply to SecApp
    A new SNAT Rules with that problem IP, did not bring a success.  
    In the log files there is also nothing suspicious.

    Packet filter live log say:

    red / drop

    17:44:03 217.247.244.7 10060 -> 217.xxx.xxx.16 80 TCP 48  124 DF WINDOW=16384 RES=0x00 SYN URGP=0

    Which can be, me go out so slowly the ideas.  [:(]

    Hi Astaro support, idea in addition ?!?

    Stefan
  • 0 in reply to StefanS_01
    Do a traceroute from the IP you are trying to access that; relate the results here (sanitize public IPs).

    What are the network settings on the server you are trying to access? Is its gateway set to Astaro??
  • 0 in reply to SecApp
    The access was made by one big ISP "German Telekom".


    Routenverfolgung zu www.dxxxxr-xxxd.de [217.xxx.xxx.16]  über maximal 30 Abschnit
    te:

      1    75 ms    77 ms    77 ms  193.158.141.221
      2    78 ms    77 ms    77 ms  62.225.251.238
      3    78 ms    77 ms    77 ms  tr-ag1.TR.net.DTAG.DE [62.154.84.50]
      4    77 ms    77 ms    77 ms  017656-1-2-gw.TR.net.DTAG.DE [62.154.84.233]
      5    77 ms    77 ms    77 ms  www.dxxxxr-xxxxx.de.[21
    7.xxx.xxx.16]

    here standard gateway (my PC) of the Telekom is valid.
  • 0 in reply to StefanS_01
    And that server's gateway is set to Astaro??
    Have you tried pinging an Internet address from it??
Unfiltered HTML