Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 6 replies
  • Subscribers 0 subscribers
  • Views 1662 views
  • Users 0 members are here
Options
Suggested

Deployment via DNAT

christianlouis
Hi,

as the APs seem to connect to the ASG via the 1.2.3.4 pseudo IP address: is it possible to DNAT this IP to the v7 ASG from a different network, in order to use the ASG as e.g. a WiFi controller in a DMZ?

Christian
  • 0
    I can't see any reason why this shouldn't work, although I also can't see any reason why anyone would want to do this (except for reluctance to downgrade the "main" firewall to version 7 to test wireless). Just try it and tell us the results [:)]

    Since this is not really a supported setup you would need to manually adjust this ruleset to keep it working if we ever change this magic IP.
    Cheers,
     Andreas
  • 0
    Hi Andreas,

    yaay. NAT deployment worked. I decided to go for Full NAT (just in case) and created a Source Any - Service Any - Destination 1.2.3.4 
    Destination NAT to  - Source NAT to  rule.

    However I had to define 1.2.3.4 as additional IP on the internal AP facing interface.

    Easier and also working: I've also created a static route for 1.2.3.4/32 pointing to the ASG v7.

    A good reason for this would be if you already have a well-established non-ASG infrastructure, but want to use our Wireless product. Another good reason would be if you happen to have a 425 as your main ASG but only want to deploy a few (say 1-3) APs without wanting to pay $$$ for the 425 Wifi subscription. Then you could easily deploy a 120 as a standalone wireless controller.

    Of course you can always deploy using VLANs and a dedicated ASG in the upstream, but it's good to know that redirecting the IP works as well.

    Just my 2 cents,
    Christian
  • 0
    Hi, i ve the problem you ve described - a non asg infrastructure. 
    I already tried adding a route 1.2.3.4 to the ASG IP and added the 1.2.3.4 as a interal interface (webadmin is working with the ip 1.2.3.4) - but the AP dont connect! Any idea?

    thx 

    (it worked as i change the default gateway of my DHCP lease to the Astaro)
  • 0
    Hi it00x32,

    I've achieved this without binding the pseudo IP to the ASG. It's internally used, so binding it to any of the ASGs interfaces will probably mess up the setup.
    Have you tried a simple host route for 1.2.3.4 pointing to the ASG? This should work.
    However you'll have to keep in mind that your ASG probably needs a default route back to your main GW to reach the APs for the TCP connection to work.

    If this doesn't help, try establishing a Full-NAT to the ASG for 1.2.3.4

    If you need further advise, just drop me a quick line here (and attach a network diagram please).

    C.
  • 0
    hi - thanks for your reply.
    strange - i ve a static route from the Juniper Firewall to the Astaro (1.2.3.4/32 -> LAN IP Astaro) - The Astaro has as the default Gateway the Juniper Lan IP (which is working as i could ping or use the webadmin with 1.2.3.4). I removed the LAN Interface 1.2.3.4 from my Astaro and rebooted - but still no wlan ap connection.

    Wireshark shows that they (5 Astaro AP) are trying to connect to 1.2.3.4
  • 0
    Maybe a tcpdump on the ASG 7.506 helps you find out what happens...
Unfiltered HTML