This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Pls advice on the type of NAT to be used

Hi Team,
 
I use ASG version 8.0 Home edition.  I am planning to create DMZ zone and host a webserver.
 
Pls advice on the type of NAT to be used? Should I create DNAT or SNAT or Full NAT?

Also, please elaborate the steps in detail.


This thread was automatically locked due to age.
  • I would use the new WAF Feature. Or is this not in the home license?

    If not just create a DNAT Rule.
    traffic source: any
    traffic service: 443 or 80
    traffic destination: external address of your asg

    nat mode: dnat

    Destination: your internal Server
    Destination Port: 443(https) or 80(http) leave blank if the port isn't changed.

    If you have external addresses in your dmz you don't need any nat.
  • Destination: your internal Server
    Destination Port: 443(https) or 80(http)

    This is just a reminder for everyone that 'Destination Port:' should be left empty unless you are changing the port.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Ok thanks. Didn't know that.

    Could you tell me why?

    Thanks
    Tobias
  • Hi 
    I have created DNAT as suggested and I can able to access the web server from external network without any issue for last two days.

    However from today, I am unable to access my web server from external network. If by assigning an (exclusive) additional one IP address to ASG external (WAN) Interface i.e XX.XX.XX.35 for “WEBSERVER” and more over I am unable to see any external IP address trace logs capture in ASG packet filter live log. 
    External (WAN) (Network) XX.XX.XX.32/29
    External (WAN) (Address) XX.XX.XX.34  of my ASG V8 Home edition  
    Example 
    If not just create a DNAT Rule.
    traffic source: any
    traffic service: 443 or 80
    traffic destination: XX.XX.XX.35

    nat mode: dnat

    Destination: your internal Server
    If I change the traffic destination address to XX.XX.XX.34 ASG External (WAN) Address, I can able to access my web server from external network.
    Please advice how to overcome this issue.
  • Hi,
    so you created a DNAT rule just like I told you?
    It worked for 2 days and all of a sudden it stopped working? Did you change any Packetfilter rules or something else?
    Are you able to access the Webconsole via the new external IP Address?
    Could you also please deactivate and enable the additional address again. I had this isue once after I restarted the ASG. After I deactivated and enabled the additional address it worked.

    Just to make sure no Packetfilter rule comes in the way, configure an any any rule and put it on top of all the rules. Don't forget to deactivate this rule after your done.

    You might deactivate all other DNAT rules except the one for your webserver.

    Since your using it at home I guess there won't be any important traffic.

    Make sure you haven't configured any WAF Features on the ASG. I don't know if it works well if you configured a virtual server and an additonal DNAT rule.

    Bye
    Tobias
  • Could you tell me why?

    It shouldn't make any difference when you have a service with a single port, although there was a bug in V5 at one point where it did cause a problem.  In general, it's just a good habit to NOT fill in the item not changing.

    For example, it doesn't work if you try:

    Traffic source: Any
    Traffic service: Web Surfing
    Traffic destination: External (Address)

    NAT mode: DNAT (Destination)

    Destination: {host definition for your internal Server}
    Destination service: Web Surfing


    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA