Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 2 subscribers
  • Views 124755 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Configure NAT to reach an internal IP from external IP

last
Hi to all,
I'm not a Astaro user but, we have a customer that has it. The model is the 320.
We installed a machine at customer's company and we need to reach an appliance (router) that is on that machine. The router has configure on the LAN of the customer, below all the details:

Our public IP 217.***.***.138

Customer's public IP 46.***.***.2 (Astaro IP wan interface)

router WAN on the machine:
IP: 192.168.154.21 (LAN customer IP class)
Subnet: 255.255.255.0
Gateway: 192.168.154.5 (Astaro IP lan interface)
Dns: 192.168.151.81

router LAN on the machine:

IP 192.168.1.254
subnet: 255.255.255.0

all ports should be open

Can you tell me which configurations the customer should do to permit the access?

From a suggestion that I found in other thread, I did the below configuration. It's right?:

Traffic Source: 217.26.90.138/32
Traffic Service: Any
Traffic Destination: External (WAN) (Address) built-in definition object (Icon looks like a NIC) 
NAT Mode: DNAT
Destination 192.168.154.21 (internal natted LAN address of web server)
Destination Service: Leave blank
Log initial packets: yes
Automatic packet filter rule: yes

By only this rule, I'll be able to reach the router  and establish an ipsec VPN between the router a our PC. We need this for reach the appliances on the IP class of the machine (192.168.1.x).

Unfortunately the customer is not very skilled and I'm trying to help him.

Thank you for your answer.

Stefano.


This thread was automatically locked due to age.
  • 0
    A DNAT can handle a service definition with a Range of ports, or the ANY service definition can be used.

    A 1:1 NAT is specifically for multiple IP addresses on BOTH sides.

    Barry
  • 0 in reply to BarryG
    A DNAT can handle a service definition with a Range of ports, or the ANY service definition can be used.

    A 1:1 NAT is specifically for multiple IP addresses on BOTH sides.


    Thanks to all,
    so the right configuration is a DNAT as I posted (see below)?

    raffic Source: 217.26.90.138/32
    Traffic Service: Any
    Traffic Destination: External (WAN) (Address) built-in definition object (Icon looks like a NIC) 
    NAT Mode: DNAT
    Destination 192.168.154.21 (internal natted LAN address of web server)
    Destination Service: Leave blank
    Log initial packets: yes
    Automatic packet filter rule: yes
  • 0 in reply to BarryG
    A DNAT can handle a service definition with a Range of ports, or the ANY service definition can be used.

    A 1:1 NAT is specifically for multiple IP addresses on BOTH sides.

    Barry


    What will have to do Last if wants to create a VPN in Astaro for other purposes but leave on the traffic coming from 217.26.90.138 and going to 192.168.154.21, DNAT source ANY will include 217.26.90.138 too
    or NAT rules are in oredered list. I'm interested on this Barry
  • 0 in reply to Ol Deda
    I don't want create a VPN on the Astaro . The VPN will be set trough our PC clients and the fritz!box that is installed in the private network.
    I need that the Astaro let pass all the traffic that will come from my public IP 217.***.***.138 to the internal IP of the fritz!box 192.168.154.21.

    So I need that Astaro transfer all of the traffic from my public IP on the internal one of the fritz!box without changing any ports.

    Thanks
  • 0
    Last is a question in general
  • 0
    Hi, Stefano, and welcome to the User BB!

    In fact, your first DNAT could work, but the NAT from the ASG to the Fritzbox will break IPsec - unless the client has a way to adjust for the IP of the Fritzbox being different from the IP to which it sends IPsec packets.

    If you just need to connect to a single device behind the Fritzbox, I would suggest using a second DNAT there.

    If you need general access to their network, I would suggest using a VPN with the ASG instead of the DNAT.  Then, you can put an Additional Address on the Internal interface, like 192.168.156.3, and SNAT your network's traffic from there.  If there aren't already routes for 192.168.1.0/24 and 192.168.151.0/24 in the Astaro, those will need to be added, too.

    Cheers - Bob
    PS @Olsi - I think I understand your question.  Above the "Any" DNAT put another NAT rule: '{217.26.90.138} -> IPSEC -> External (Address) : DNAT to External (Address)'.  I'd be interested to know if that works, or if the packet gets re-inserted at the beginning of the INPUT chain and caught in an endless loop.  If that doesn't work, then you'd need four DNAT rules - one for each Service in the IPSEC group - each would DNAT to the same service but leave the 'Destination translation' empty.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Absolutely with you Bob, but I like to test 1:1 NAT. UTM (i love call to call Astaro) has great options for everything
Unfiltered HTML