Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 1461 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Policy Route DNAT Problem

support@computer-ss.com
Hi I have two WAN connections setup like this on my ASG 320


DSL ................. T1
  _|......................|__
| ............................|
|.............................|
|........................... |
  |.........................|
LAN ................DMZ


The DSL is the default GW, that way the proxy will pull HTTP/FTP from the DSL.  I have a policy route and masquerading setup so that the DMZ will use the T1 for internet traffic.  All of that works fine my problem is this.  I cannot get DNAT to work from any public address on the T1 to my DMZ, or LAN for that matter.  I have a feeling I missed something simple and already spent about an hour searching for a solution. 

Without a DNAT rule I see a DROP line in my logs as there should be.  As soon as I enable a dnat rule to go from one of my public T1 address to a DMZ machine, I dont get any event ACCEPT or DROP in my packet log.

Any input would be greatly appreciated!


This thread was automatically locked due to age.
Parents
  • 0
    Hi, 

    This might be ansyncronous routing problem, the packets come in via T1, hit DNAT, go to the server but go out to DSL. 

    The decision which interface to send packets out is based on a per packet level and not on a connection level. This means you have to make sure that your policy route explicitly matches returning DNAT packets and send them out the T1.

    But you can also try the new WAN Link Balancing feature in the current beta version, there we have added a lot logic to actually know which connection came in through which interface and we will use this interface to send the packet out again. 

    We do this even without a multipath rule or policy route.

    Just enable uplink balancing on both interfaces, and create two multipath rules
    1) send out HTTP/FTP via DSL 
    2) all traffic coming from the DMZ via T1

    You can than delete the policy routes and keep the DNAT and everything should work automatically. 

    hope that helps, 
    regards
    Gert
  • 0 in reply to Gert Hansen
    Thanks Gert!  I think you are correct.  But I'm a bit confused as to what PR needs to be created.  It's my understanding that a generic route between all interfaces/subnets  is automatically created.  I created a screen dump of my existing PRs if that helps.

    Thanks again,
    Sean


  • 0 in reply to support@computer-ss.com
    Yes you are correct, but the automatic created rules have a lower priority than user created policy routes. 

    does it now work?

    thanks
    Gert
  • 0 in reply to Gert Hansen
    No, I didn't add any more PRs.  I figured if I gave you a snap shot, you would be better able to tell me exactly what I need to add.

    Thanks in advance,
    Sean
  • 0 in reply to support@computer-ss.com
    How do your DNAT settings, your interface configuration and your static routes look like?

    you can also PM me these settings. 

    regards
    Gert
Reply Children