Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 2 subscribers
  • Views 1891 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

I want to add public IP address behind Astaro and pass it thru

UDPride
A customer of mine needs a VPN router installed and I want my Astaro protecting me against it. So I want to put it behind the firewall and just let whatever ports are needed to pass through.

I want to give the VPN router a public IP address in address space I already own. For instance the Astaro is 99.99.99.90 and I want to put the VPN behind it as 99.99.99.91, then let the Astaro allow connection to x.x.x.91 based on filters and NATs.

So far Ive hooked up a laptop just to test and when its a public IP behind the Astaro, even with a definition for it, a filter, and a NAT, I cannot talk to the public IP behind the firewall from the Astaro. The laptop cant talk to the Astaro either.

So Im not sure how the VPN router will either.

Confused.


This thread was automatically locked due to age.
  • 0
    There are a few ways to do it, but the most common would be to assign the .91 IP as an "additional IP" on the EXT interface of the Astaro box, and then SNAT the traffic to the VPN router.
    (the VPN router should be assigned an internal IP, IIRC)

    Barry
  • 0 in reply to BarryG
    Are the additional IPs in the same subnet as the main WAN IP?  If it is then easiest to assign it to the external NIC as an additional IP and SNAT and rules as needed.  Proxy ARP also works but isn't the most desirable.

    If the IP is not part of the external subnet then setup only the SNAT and associated firewall rules.  Some routers call this "One-to-One NAT".  The ISP would have setup routing that points to the external IP of the firewall.  This is how I like to handle extra IPs.  Normally the IPs are done in a DMZ but you can put them wherever since you control the last router (firewall).

    Of course none of this works if the routing beyond the firewall doesn't know how to get to the new IPs.