Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 4729 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SNAT/DNAT and ARP

gnujuba
hi aslers,

i have ad question concerning NAT and ARP queries:

i like to make DNAT and want to use a external, official ip address out of the network of my external interface. (213.61.xxx.0/27).
Router: 213.61.xxx.1
asl: 213.61.xxx.2
new nat address: 213.61.xxx.10

so traffic to 213.61.xxx.10 should be redirected to an internal client (10.10.10.xxx).

i saw the router arping for 213.61.xxx.10. but the firewall did not answer these queries. 
do i have to add a static arp entry to my firewalls arp table or should i enabel proxy arp on my external interface ?

thanxs,

GNJB  


This thread was automatically locked due to age.
  • 0
    gnujuba,

    if you want to hide your servers behind NAT you'd have to add the official IP adresses as additional adresses to the external interface (32 bit mask, no default gateway)

    WebAdmin:Network/Interfaces -> eth(x) type 'additional address on etherenet interface'.

    Greetings
    cyclops   
  • 0 in reply to cyclops
    is this the best solution ? 
    i would prefer a static arp entry or something like that rather than reconfiguring my external interface each time i setup an dnat/snat rule. 

    any ideas ?

    gnjb  
  • 0
    hi,
    how should your asl box answer for the 213.61.xxx.10 if you do not configure it as an additional address on your external interface ? and what did you mean with static-arp your asl is for everyone from the outside your server and your internal mac-address is never seen from the outside.

    firebear  
  • 0
    As said and as you figured out you have to tell the ASL box to answer any request for the 213.61.xxx.10 address.
    This can be done in a couple of ways.

    1. As said before by using IP Aliases on the external interface and use NAT. (this is probobly the easiest way for a limited numbers of addresses)

    2. By enableing ARP proxy on External and Internal interfaces and use NAT.

    3. Static routing (will disable the NAT and portforward usage)

    Remark: this is not a isolated ASL issue.

    For more information I believe there is more detailed information under the docs section.

    ... good luck!   
  • 0 in reply to firebear_01
    [ QUOTE ]
    hi,
    how should your asl box answer for the 213.61.xxx.10 if you do not configure it as an additional address on your external interface ? and what did you mean with static-arp your asl is for everyone from the outside your server and your internal mac-address is never seen from the outside.

    firebear   

    [/ QUOTE ]

    something like:

    arp -s 213.61.xxx.10 my:ext:intf:mac:addr pub

    will this work ?

    greets,

    gnjb   
  • 0 in reply to AJo
    [ QUOTE ]
    As said and as you figured out you have to tell the ASL box to answer any request for the 213.61.xxx.10 address.
    This can be done in a couple of ways.

    2. By enableing ARP proxy on External and Internal interfaces and use NAT.

    >>>with proxy arp asl will answer all arp queries, right ?


    3. Static routing (will disable the NAT and portforward usage)

    >>>routing the nat address to the external interface (with a host route)  is not an option, we dont have access to the >>>router. but what do you mean "(will disable the NAT and portforward usage)" 

    thanxs,

    gnjb
      

    Remark: this is not a isolated ASL issue.

    >>> sure, same problems on fw1 and others....

    For more information I believe there is more detailed information under the docs section.

    >>>not realy :-( 

    >>> gnjb

       
  • 0 in reply to gnujuba
    [ QUOTE ]

    2. By enableing ARP proxy on External and Internal interfaces and use NAT.

    >>>with proxy arp asl will answer all arp queries, right ?


    [/ QUOTE ]
    It should, havent used ARP proxy myself, since its quite an "ugly" sollution. Not sure though if you have to enable it on both interfaces, (trial & error) perhaps some guru will enligt us =)

    [ QUOTE ]

    3. Static routing (will disable the NAT and portforward usage)
    >>>routing the nat address to the external interface (with a host route)  is not an option, we dont have access to the >>>router. but what do you mean "(will disable the NAT and portforward usage)" 


    [/ QUOTE ]

    By this I mean, if you add a static route any incoming request (any port) will be routed, witch could be a problem if you for ex. only have one inet ip-address but would like to have mail and www on seperate internal servers.

    [ QUOTE ]

    For more information I believe there is more detailed information under the docs section.
    >>>not realy :-( 


    [/ QUOTE ]
    Sorry about that, seems like the document is gone, I believe it was a plain textfile and located under the v3 section before.

    Hope I havent lied too much, but hopefully someone will  correct me in that case =)

    ... good luck!