Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 1550 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Help with DNAT and webserver...

jcab
I've installed the ASG v 7.401 in a beige box in order to serve as a filter for my company.

Right now I am running a 30 day license to test the product

The configuration is as follows:

External WAN 200.***.***.157
Internal 192.168.123.100 with DHCP.

The webserver have the static IP 129.168.123.20 with the Gateway and DNS set to 192.168.123.100. This is configured as an "Internal web server" object definition.

You can see this on the files: 02 Local server IP config and 02 Network interfaces config.

I can access the web from any computer that it is protected by astaro, but we have a webserver that needs to be reachable from internet.

I've configured the DNAT rule (03 DNAT/SNAT rules) as:

Traffic selector: Any -> HTTP -> External (WAN) (Address).
Destination: Internal web server (HTTP)

The masquerading is the default one:
Internal network -> External.

I've configured a packet filter rule to allow traffic for the service (04 Packet filter config) as follows:
Any -> Internal web server ->HTTP

On the ICMP config the following options are checked:
* Firewall is ping visible
* Ping from firewall
* Traceroute from firewall

On the advanced tag the following options are checked:
* FTP
* IRC
* PPTP

I tried to access through the local network (192.168.123.20) and the web server responded.

When I tried to access it through the web either via IP or address I get a "Network timeout, the server at ***.***.***.*** is taking too long to respond".

I've tried to ping to that IP address and I get the packets back (100% packets recieved).

I've noticed that the packet filter log (05 Packet filter rule log) displays the rule #1 (allow traffic to the web server) but it seems that the server is not talking back.

Please let me know if I am missing something in this.

Thanks !!!


This thread was automatically locked due to age.
  • 0
    This sounds like the webserver has no route back to the Astaro.  Are you sure you saved the IP of the Astaro as gateway for the webserver?  What do you see in the PF live log when you attempt to access the webserver from outside the Astaro?
  • 0 in reply to BAlfson
    BAlfson, the IP of the gateway of the webserver is set to the astaro internal IP (192.168.123.100), I believe it is correct, please let me know if I have to change it.

    When I try to access the server from the internet I got the following from the log of the packet filter:

    Time; Packet filter rule #1; TCP; 192.168.123.100:50370 -> 192.168.123.20:80; [SYN] len=64 ttl=63 tos=0x00 srcmac=00:15:17:a...

    Thanks...
  • 0 in reply to jcab
    It shouldn't make any difference, but your 1st DNAT is "more-correct" than the 2nd in that the destination service is not changed.  I know that the Astaro folks say it won't cause a problem, and even though I can't remember the details, I do remember it causing a problem once.

    I don't understand why the source is 192.168.123.100.  When I watch DNAT traffic in the systems I configure, I see the true public IP.  Whatever is causing that is the problem you need to fix.
  • 0 in reply to BAlfson
    BAlfson, 

    About the DNAT rules I was experimenting with both of them and with both I experience the same problem.

    Any pointer of how to pinpoint the issue of why I am not been able to reach my webserver from the internet ?

    Thanks
  • 0 in reply to jcab
    jcab, something is wrong, but I've never seen a situation where the source IP was the 'Internal (Address)' unless a SNAT was in use.  Plainly, you don't have a SNAT, so that leaves a possible error in masquerading.  Can you show that tab?

    Cheers - Bob