Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 1308 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Accessing Mailserver on DMZ from VPN subnets

martindw
I have a three-site network with an ASL box (all ASL v. 6.311) at each location linking to the other two using IPSEC VPN connections.  Recently I have installed a mailserver on the DMZ at site 1, and I have it successfully sending & receiving mail from the outside world, and I can connect to it without issue from site 1's subnet.

However, I have not been able to figure out how to access it from sites 2 and 3.  For obvious reasons, I want the traffic from sites 2 & 3 to travel over the VPN and hit the private (DMZ) ip address, not the public one, but no combination of rules, DNAT/SNAT rules, etc. has yet worked.  I'm sure I must be overlooking something obvious, but I can't figure out what.

Suggestions anyone?


This thread was automatically locked due to age.
Parents
  • 0
    Perhaps a static route from Internal2 to MailserverDMZ1 using VPN2to1, and another from Internal3 to MailserverDMZ1 using VPN3to1?
  • 0 in reply to johnjobst
    johnjobst, I can't do as you suggest because the VPN tunnels are not available as a target in static routing. . .or if I can, how do I do it?  You're right, this would be the most logical thing. . .

    drees, I tried:

    1) simply opening ports (clearly not enough)

    2)  I created a second IP address on my internal ethernet port (at site 1), verified that I could ping that ip address across the VPN from site 2, and then created a DNAT/SNAT rule that translated the destination of that IP address to my DMZ mailserver address.  I also opened packet filter rules to allow internal addresses at site 2 to hit the DMZ on site 1, because the packets were being dropped by box 1.  However, it still couldn't access the mailserver.  Turn off the DNAT/SNAT and I can ping the address again.
Reply
  • 0 in reply to johnjobst
    johnjobst, I can't do as you suggest because the VPN tunnels are not available as a target in static routing. . .or if I can, how do I do it?  You're right, this would be the most logical thing. . .

    drees, I tried:

    1) simply opening ports (clearly not enough)

    2)  I created a second IP address on my internal ethernet port (at site 1), verified that I could ping that ip address across the VPN from site 2, and then created a DNAT/SNAT rule that translated the destination of that IP address to my DMZ mailserver address.  I also opened packet filter rules to allow internal addresses at site 2 to hit the DMZ on site 1, because the packets were being dropped by box 1.  However, it still couldn't access the mailserver.  Turn off the DNAT/SNAT and I can ping the address again.
Children
  • 0 in reply to martindw
    I'm still having problems visualizing your setup. Are you able to better illustrate by using actual (or made up if you're worried about disclosing that type of information) IPs/networks?

    It sounds like you are likely missing a DNAT/SNAT rule somewhere to me.
  • 0 in reply to drees
    But first a clarification of the problem:

    Three subnets--#1 192.168.0.0/24, #2 192.168.5.0/24, and #3 192.168.6.0/24, all connected via VPN tunnels to their respective WAN ips.  Traffic to the internet from all three sites, and traffic between the sites, works flawlessly.

    Now I have a DMZ1, 10.3.2.0/24 on site 1 (and DMZ2 10.3.0.0/24 at site 2).  My mailserver is on one IP of that DMZ1, and it's DMZ1 ip address is DNAT/SNATed to a second public IP address on the WAN ethernet card of box 1.  It can be accessed publicly from anywhere using the public IP address, and privately from subnet #1 but not from subnets 2 or 3.

    What I just did which worked, is I created a second VPN tunnel between the public IP addresses of boxes 1 and 2, with the local subnets defined as the DMZ networks at each box, and opened an "Any" filter in and out between the two DMZs.  Then, at subnet #2, I created a DNAT/SNAT rule that changes the source of LAN2 traffic destined for the mailserver on DMZ1, to source address DMZ2.  This permitted the traffic to pass.

    It seems a little odd to me that I need an extra VPN tunnel to make this work, but I'm not gonna argue with success.  If anyone wants to suggest an alternate solution I'm all ears!
  • 0 in reply to martindw
    Nope, that's exactly what you need to do.

    With v7 you can supposedly add multiple subnets to the same VPN connection, but that's not something I've tried myself as I'm not using v7 in any production scenarios where I need that type of setup, yet.