Port forwading in split tunnel mode

Can be done, but only with Full-NAT, so that the redirected packets seem to come from one of your asg internal networks. If you would use plain DNAT and you are in an split tunnel environment, the red would send the "answer-packets" direct to the internet instead of sending them back to asg as it should be. 

Kind regards, 
Matthias

Can you explain full nat vs dnat in split tunnel RED terms? 

If someone would be kind enough to show me what gets filled in where under the Full Nat setup, I would appreciate it.  I can't seem to figure out exactly where the port and IP numbers get defined in there.

Thanks.

The Full NAT will look just like the NAT, but with "Internal (Address)" as the 'Source translation'.

Like Matthias said, the problem isn't getting the packet to the server behind the RED, it's getting the RED to send the packet back through the Astaro.  Otherswise, the requestor's system will drop the packet as "uninvited" because it would not be coming from the IP to which it sent the request.  Make sense?

Cheers - Bob

Yes, makes sense.  So would I create a Full NAT for outgoing traffic as well? 

What I was thinking was setting up a static IP with the ASG's internal gateway as the gateway/router on the source computers IP config setup.

Is this correct, or how would I do the RED network computer?  The example here is I have a computer program that communicates on say port 7000.  The external computer goes to the IP ***.***.***.*** and then "full nat" puts it to the RED network and computer I want to receive port 7000.  Now that computer needs to talk back to the device that just contacted it.  Any help here appreciated, see my note above about the ASG router address on that particular computer.

What I was thinking was setting up a static IP with the ASG's internal gateway as the gateway/router on the source computers IP config setup.

I'm not sure I understand what would be gained.

Astaro is a stateful firewall.  It achieves that with conntrac, a connection tracking module.  For example, with the requester at 66.77.88.99, an Additional Address on our Astaro of 24.25.26.27, internal IP of the server of 172.22.12.2 and "Internal (Address)" of 172.22.1.1:

Requester to Astaro: 66.77.88.99 -> (34567->7000) -> 24.25.26.27
Astaro to Server: 172.22.1.1 -> (34567->7000) -> 172.22.12.2
Server to Astaro: 172.22.12.2 -> (7000->34567) -> 172.22.1.1
Astaro to Requester: 24.25.26.27 -> (7000->34567) -> 66.77.88.99

So, if I understand your situation correctly, the Full NAT is needed only for inbound traffic.

Cheers - Bob

Yes that is what the flow would look like, I just want to make sure that in split tunnel mode this will work for outbound (e.g. the server on the RED network needing to get back out to the 66.77.88.99 in your example

Server responses get back correctly because the incoming traffic is handled with a Full NAT instead of a DNAT.  It's the Full NAT's source translation that "fools" the RED into sending the response back through the tunnel.

Not surprisingly, the solution is identical when Site A and Site B are connected by a site-to-site, and you want to offer an internal server at Site B via a public IP on Site A; a Full NAT at Site A.

Cheers - Bob

perfect, thank you.