This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DMZ built of combination of MASQUERADE and/or FullNAT and/or DNAT???

I spent many many hours during the last few weeks , trying about everything I found in here in order to have a FULL DMZ using 1 free interface,

I works, kinda,  but not completely, there's always something that goes wrong.

I also tried this:
UTM: Accessing Internal or DMZ servers from Internal Networks using DNAT

in any way I could understand it...
doesn't work

I can say that it's not completely DMZed because , when I remove the UTM from the connection and put the cable directly into the PC, or use USB tethering from my phone I can properly achieve what I'm trying to do...
also 
when having a look at the live-log I can see that there are white lines, 
concerning the PC, who is alone on the interface, wich is on a different subnet, so I can't be mistaken , in theory there should be red and green lines right?


Please , please , please,  HOW can I DMZ  1 interface, there has to be someone who knows the recipe ?


This thread was automatically locked due to age.
  • Hi,  for a single dmz server,  you just need a dnat, masq, and firewall rules. 

    Iirc, white entries are nat'd  packets. 

    What's not working? 

    Please post screenshots of your configuration; hit 'Go Advanced' when posting to upload image attachments.

    Barry
  • the DMZ interface
    the DNS applied to it
    the 4 firewall rules concerned by it
    the masquerading of it
    the DNAT about it

    what is not working is that, 
    a device, connected on that interface, CAN'T browse the internet when connected to a remote OpenVpn server , 
    but removing the UTM from the equation 
    the same device CAN browse the internet when connected to a remote OpenVpn server ,
    so the OpenVPN client is configured properly ,...
  • What is the objective for the DNAT rule, are you hosting a server that needs to be accessed from the Internet? If so change the destination from the DMZ Address to the IP address of the server that is located in the DMZ network. Otherwise, delete/disable the DNAT and Firewall rule #4. 

    If you wanted to simplify your firewall rules you could use the Internet object in place of the ANY IPv4 object and then you would not need to implement Firewall rule #1. What you have is perfectly fine it is just a matter of preference.

    With that being said I don't see anything that would relate to the issue you describe of problems browsing the Internet when connected with the OpenVpn server. Are you using webfiltering and IPS? What is in the logs (Firewall, Web filtering, IPS etc) when you are having the problem? What is the specific error in the browser timeout, dns ....?
  • Hi, it could be that the VPN is getting confused by the NAT/Masq...

    I'm not familar with OpenVPN having that problem, but you can check the OpenVPN settings and see if you need to specify a public IP or that it's NAT'd.

    Barry
  • @dilandau  the objective, I don't know I read at a couple of places here, that a DMZed interface needed firewall+masquerading+DNAT or Firewall+fullNAT, 

    I didn't manage to get any results with FullNAT, 
    I also read that Masquerading is SNAT, so I figured that was the reason , I read that what was neeeded is firewall+masquerading+DNAT
    I'm not hosting any server, all I want is a full DMZed interface, I want devices connected to that interface to have a FULL unfiltered unbiased unfirewalled un-nothing access to the internet, like if it was directly connected.

    so if I understand what your saying, is that the DNAT + firewall#4 is needed ONLY if I'm hosting, and I would need unsollicited packets coming in ...
    in my case connections are always initiated from inside, no need for that...

    so for the other item, I think I get this, internet does not equal anyIPv4....
    so by designating internet, instead, I would NOT have to drop packets in rule#1...since the firewall would drop them anyway...
    good point !
    finally 
    firewall live log shows white lines concerning the DMZed interface, webfiltering is OFF, IPS is applied only to interface-MAIN and interface-GUEST, so DMZ is not concerned
    the problems with web-browsing :
    well the wheel spins to oblivion, 
    but If I :
    ping www.google.com
    or
    traceroute www.google.com
    I get "unknown host" 
    but if I do it with an address
    ping 8.8.8.8
    or
    traceroute 8.8.8.8
    it's successful

    so that must be DNS...
  • @ BarryG

    that's a good point , I will inquire on this,
  • I'm not hosting any server, all I want is a full DMZed interface, I want devices connected to that interface to have a FULL unfiltered unbiased unfirewalled un-nothing access to the internet, like if it was directly connected.


    For this all that are necessary is Firewall rules to allow traffic and a NAT Masq rule.

    so if I understand what your saying, is that the DNAT + firewall#4 is needed ONLY if I'm hosting, and I would need unsollicited packets coming in ...
    in my case connections are always initiated from inside, no need for that...


    Yes. that is correct.

    so for the other item, I think I get this, internet does not equal anyIPv4....
    so by designating internet, instead, I would NOT have to drop packets in rule#1...since the firewall would drop them anyway...
    good point !


    Yes, the Internet object is the same as ANY but is bound to the Interface with the Default gateway. So it only always traffic that traverses the External Interface.

     IPS is applied only to interface-MAIN and interface-GUEST, so DMZ is not concerned


    You can't turn the IPS on for specific interfaces, so add the DMZ to the local networks or if you want it unfiltered create an exception for the DMZ network. Check the IPS log, it may be blocking the DNS traffic or it may be an Issue with OpenVpn as Barry mentioned.
  • I got progress....
    1-
    I did put the OpenVPN server's DNS serverIPs into my OpenVPN client config, 
    so now
    I can ping + traceroute + nslookup names!

    but 
    I can't browse with an internet browser, so, I think this is the timeout thing, the wheel still spins endlessly
  • Bump, 
    anyone?

    how can Ping, Traceroute, and NSlookup work properly, but not web-browsing.

    Thanks
  • Hi,  have you checked all the logs? 

    Firewall
    Web protection aka HTTP proxy
    Ips
    Application control

    Barry