Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 2 subscribers
  • Views 4049 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Need to route an external IP

nosil
Hi there,

I try to explain my need I have.

First of all, I have an ASG220 with the Firmware 7.405.

What I need to do is, to grant access from an external IP to an internal specific IP address.

Exemple:

AAA.AAA.AAA.AAA is the external IP
BBB.BBB.BBB.BBB is our public (visible) IP address
CCC.CCC.CCC.CCC is the target internal IP address to reach.

How can I configure this, that the person from the A IP address can open a remote session on the C IP address?

I hope that I was clear enough and sorry if this thread already exist.


Thanks in advance

NoSiL


This thread was automatically locked due to age.
  • 0
    Simply create a new DNAT Rule ("Network Security->NAT->DNAT/SNAT").

    Traffic Source: external host
    Traffic Service:  the service which has to be accessible
    Traffic Destination: External IP of ASG

    NAT mode: DNAT(Destination)
    Destination: internal host
    Destination Service: the service which has to be accessible

    Automatic packet filter rule:  there are as many opinions as Astaro-users....
    yes:  it works, but you do not see the rules in "Network Security-> Packet Filter"
    no: you have to create the PF-rules manually.

    Regards,
    Thomas
  • 0 in reply to tbrandl
    Hi Thomas,

    Thank you for your fast react.

    That is exactly what I did. But it didn't worked.

    The problem is, that the software that need access to the internal server, only attacks the external IP of ASG.

    How can he connect to the server (with internal IP) mentionning the external IP of ASG?

    Do you understand what I mean?


    Many thanks for your help.

    NoSiL
  • 0 in reply to nosil
    Which Port(s) are used for the access?
    Check the packet filter log!

    Did you use auto packet filter?
  • 0 in reply to tbrandl
    I need the following ports to be open:

    3388
    5540:5550
    5611

    I have for test issues opened the port from 3388:5611.

    Yes, the option auto Packet filter rule is activated.
  • 0 in reply to nosil
    tcp or udp? whatever....
    Try/Check:
    Definitions->Services->New service definition.....

    Name:  Servicename
    Type of Definition:  TCP/UDP  (whatever is suitable for you here)
    Destination port: 3388:5611
    Source port: 1:65535

    Then build the DNAT rule with the service assigned above.

    After that: Is it running?  If not, again, what says your packet filter log?

    Regards,
    Thomas
  • 0
    nosil, don't let the small number of posts fool you - Thomas has much experience and a very clear understanding of how the Astaro works; if what he says doesn't work for you, re-read his words and ask yourself what part you missed the first time.

    Thanks, Thomas, for your participation here.

    Cheers - Bob
    PS Some people have reported problems when repeating the same service in the DNAT, so Astaro Support recommends leaving 'Service Destination' blank when the service isn't changed.
  • 0
    Hi folks...

    I really appreciate your help, Thomas and Bob. It is absolutely not my will to contradict Thomas, really not.

    Maybe, the log file asked from Thomas will help you to find out where the problem is.


    Here an extract of the log files:

    2009:09:24-00:00:15  ulogd[4767]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" seq="0" initf="eth0" outitf="eth0" dstmac="Dest MAC Address" srcmac="Source MAC Address" srcip="CCC.CCC.CCC.CCC" dstip="AAA.AAA.AAA.AAA" proto="6" length="48" tos="0x00" prec="0x00" ttl="123" srcport="3222" dstport="5547" tcpflags="SYN" 

    Thank you really for your help. I'm sure that we're going to find out the problem together...

    NoSiL
  • 0
    Please show pictures of the service definition and the DNAT rule.
  • 0 in reply to BAlfson
    Here some printscreens:

    Main config

    Detail config

    I have to blur the names, sorry for that.
  • 0
    Please show the definition of CAM_Survey.

    In the DNAT pictures, you blacked out the names.  I can understand concealing the 'Destination', but I would have expected the 'Traffic Source' to be "Any" instead of something specific.

    When you don't change the Service, you should leave 'Destination Service' empty.