Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 1049 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

NAT most likely

Borec
Hello,
I have a problem which I am sure is quite common, I am just not sure how to solve it at the moment.
I have one server which will be hosting web and email, thus it needs static public IP.  Now I want it to be behind Astaro box.  Thus the Astaro WAN interface will have the public IP address of the server, and the server will be with private static IP given out by DHCP on the Astaro box.  Now I am pretty sure this is done by some kind of NAT, I have gone through the Administration guide several times, but I just do not get it.  Can somebody explain to me what I have to set up, so that external clients can connect to their web sites via domain name and via ip address through the Astaro box.
Let’s say that the public address is 11.11.11.11 and the private address is 192.168.0.100. How do I get the Astaro box point from its external WAN, which will be set up to 11.11.11.11 to the server on the LAN with IP of 192.168.0.100?

Thanks


This thread was automatically locked due to age.
Parents
  • 0
    If you haven't done so already, setup Masquerading for all your internal networks to masq on the External interface.

    Setup a network host definition for the internal server on 192.168.0.100.

    Then, setup a DNAT for each service you want to allow, e.g.
    source: ANY, dest: External Address, service HTTP, change destination to WebServer.
    and so on, for each service.

    You'll also need a packet filter rule for each service, e.g.
    Source ANY, dest WebServer (the internal definition), service HTTP, ALLOW

    Barry
Reply
  • 0
    If you haven't done so already, setup Masquerading for all your internal networks to masq on the External interface.

    Setup a network host definition for the internal server on 192.168.0.100.

    Then, setup a DNAT for each service you want to allow, e.g.
    source: ANY, dest: External Address, service HTTP, change destination to WebServer.
    and so on, for each service.

    You'll also need a packet filter rule for each service, e.g.
    Source ANY, dest WebServer (the internal definition), service HTTP, ALLOW

    Barry
Children
  • 0 in reply to BarryG
    Berry,
    Thanks for the quick reply. I will get going with this and see how it goes. I have tried something similar, but I have left out the masquerading bit, I will let you know how it went. Thanks again.
  • 0 in reply to Borec
    Barry, I have set it up along your guidelines, it seems to work. I have only one problem, if I try to log onto the server from the local network (from outsite it works fine), I cannot do so, yet pinging the domain, returns the ex. IP address, however the browser cannot find it. Some DNS issue I guess, any suggestions?
    Thanks
    Borec
  • 0 in reply to Borec
    Do you have a DMZ? If so, it should work internally and externally as is.

    If not, then I believe you'd need to setup your internal DNS differently than external.

    Barry
  • 0 in reply to BarryG
    No DMZ zone, I will look into DNS  then, thanks
  • 0 in reply to Borec
    If you are using an internal DNS server, you need to add an entry in Forward Lookup Zones pointing to the internal IP of the server.  If you don't have an internal DNS server, then you can add an entry on the Astaro on the 'Static Entry' tab of "Network >> DNS'.

    To the External interface, we assign the IP associated to their MX record, mail.yourdomain.com, and proceed as Barry describes.

    For those who also use Outlook Web Access (OWA), we put an Additional Address on the External interface, and have them add an entry named outlook.yourdomain.com to their authoritative name server, then proceed as Barry describes.  This allows the use of HTTPS with OWA, yet doesn't disturb the simple use of the User Portal (HTTPS on the primary IP of the External interface).

    This, along with adding the appropriate DNS entries in the internal DNS server, allows mobile users to reach OWA and the User Portal from inside or out with a unique URL for each.

    Cheers - Bob