Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 1757 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

NAT across a site-to-site VPN

tomjedrz
We are setting up a site-to-site VPN with a service provider.  Additionally, the service provider requires that the traffic coming through the tunnel show as from our PUBLIC IP address, in order to avoid address duplication on their network. They have many customers with VPN's.

So, we need to NAT the traffic BEFORE (or INSIDE) the tunnel.

Currently, we have the tunnel working, but the traffic at the other end is seen as from our private (192.168.x.x) address. We have tried to setup a DNAT rule, but it is not successful (so far).

Any suggestions would be appreciated.

** RESOLVED -- see comment below.


This thread was automatically locked due to age.
Parents
  • 0
    I guess I'd have two observations.

    1. Are you sure that a VPN is the answer?  What is the question?

    2. The only solution I know of is on their end.

    There are more-knowledgeable folks than I here, so good luck. - Bob
  • 0 in reply to BAlfson
    This was resolved with the help of Astaro support ...

    1- we created TWO IPSec VPNs, both to the SAME remote site gateway.  One connects the INTERNAL interface, the other connects the EXTERNAL interface.  Note .. they use the same pre-shared key, and no change was required at the other end.  I suspect they only have one VPN defined at the other end.

    2- we created an SNAT rule which translates the internal address to the external address.

    It seems like a kludge, but it works.
Reply
  • 0 in reply to BAlfson
    This was resolved with the help of Astaro support ...

    1- we created TWO IPSec VPNs, both to the SAME remote site gateway.  One connects the INTERNAL interface, the other connects the EXTERNAL interface.  Note .. they use the same pre-shared key, and no change was required at the other end.  I suspect they only have one VPN defined at the other end.

    2- we created an SNAT rule which translates the internal address to the external address.

    It seems like a kludge, but it works.
Children
  • 0 in reply to tomjedrz
    I considered the SNAT trick, but I guessed that the return traffic wouldn't get to the right spot inside your network.  I suppose the second tunnel resolves that.

    A neat result that it doesn't send outbound traffic on an intermediate round-trip!

    Thanks for posting the solution - Bob