Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 5611 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Source Natting to the same IP address through different WAN Connections

mnasser@irc.gov.jo
The Case:-

We have a configuration similar to the following:-

WAN Link – 199.188.81.18 /29 – connected to the Leased Line
LAN link – 192.168.0.15 /24 – connected to the LAN core switch

Now, as our MX record, which is the only published service record on our ISP DNS, is 199.188.81.19, we added an “additional IP address” to the leased line interface with the IP 199.188.81.19, in order to guarantee there are no problems sending and receiving emails, especially when other mail server performs reverse MX lookup.

Than we added the following SNAT rule:-

Traffic selector: internal mail server address → SMTP→ Any
Source translation: Leased Line [MX-Record-WAN-IP] (Address) (199.188.81.19)

So, now our SMTP traffic will go out to the internet through the leased line interface with a source IP address of 199.188.81.19.

Now, as we are willing to add full redundancy to our internet connection we added a new ADSL line that is connected to the Astaro box with a configuration similar to the following:-
ADSL line – 144.23.99.6 /24 – DHCP but fixed and guaranteed by our ISP.
Failover Configuration

Now, by default traffic leaving this interface will have a source IP address of 144.23.99.6, which is fine for http traffic, however, for the same reason explained above we want also the SMTP packets leaving the ADSL line to a have source IP address of 199.188.81.19 which the IP of our MX record. We tried doing so but it did not work, as it seems to use an IP address in NAT the address must be bound to the interface through which the traffic will be forwarded, is this the case? Can’t we define a virtual address that is not bound to any interface and change the source of any packet leaving to the internet – whether through the ADSL or leased line – to that virtual address?

In addition, I do not really understand how NAT works on Astaro. I mean, I tried disabling all masquerading rules and all DNAT/SNAT rules and still able to reach the internet with the IP address of my WAN connection; how does this happen?

I highly appreciate your help guys.

Thnaks a lot


This thread was automatically locked due to age.
Parents
  • 0
    You can not change the source IP from packages leaving over you ADSL interface to the IP of your LL. OK, you theoretically can change it, but does not helps you much. Because, the other side will send the answer to your source IP, which then would be the one from the LL. And because it only uses the ADSL as a failover, the IP on the LL is not reachable. Even if it is reachable it would drop the package because the interface receives an answer to a request it never made (it was sent through the other (ADSL) line).

    No real idea how to do than in a clean way at the moment.

    When masq and NAT is disabled, you should not be able to connect the Internet.

    (Oh, my 200'st post [:D] )
  • 0 in reply to UrsWeiss
    Thank you for your reply, I appreciate it.

    Actually, this is no problem as both Internet connection are from the same ISP and our ISP will handle the process of routing traffic to the live connection whether it is the ADSL or Leased Line, so even when replaying to the IP address of the leased line, the ISP will route traffic to the ADSL connection in case the leased line is down. Now, in cisco I believe this is can be done, so is this limitation in Astaro or what? Besides, I turned off all natting and still can go to the internet, but this is not a problem for me now. thank you a lot.
  • 0 in reply to mnasser@irc.gov.jo
    Hmmmm...., from the Manual i have this:

    Uplink Balancing

    A new virtual network interface named Uplink Interfaces is automatically created and now available for use by other functions of the Astaro Security Gateway, e.g. IPSec rules. The virtual network interface Uplink Interfaces comprises all uplink interfaces added to the interface list.
    Additionally, a new network group named Uplink Primary Addresses is automatically created and now available for use by other functions of the Astaro Security Gateway, e.g. packet filter rules. It refers to the primary addresses of all Uplink Interfaces.


    Never used uplink balancing myself, but sounds like you then will have a new "virtual interface" where you can add the IP address from the LL. When it also swaps all additional IP adresses to the failover interface that may could be what you want.
Reply
  • 0 in reply to mnasser@irc.gov.jo
    Hmmmm...., from the Manual i have this:

    Uplink Balancing

    A new virtual network interface named Uplink Interfaces is automatically created and now available for use by other functions of the Astaro Security Gateway, e.g. IPSec rules. The virtual network interface Uplink Interfaces comprises all uplink interfaces added to the interface list.
    Additionally, a new network group named Uplink Primary Addresses is automatically created and now available for use by other functions of the Astaro Security Gateway, e.g. packet filter rules. It refers to the primary addresses of all Uplink Interfaces.


    Never used uplink balancing myself, but sounds like you then will have a new "virtual interface" where you can add the IP address from the LL. When it also swaps all additional IP adresses to the failover interface that may could be what you want.
Children
  • 0 in reply to UrsWeiss
    Thanks again.

    I actually tried it, if I managed to add an additional IP address (MX IP) to this virtual network interface named Uplink and use it for Natting would be great, however, this is not possible. I believe it is doable easily in Cisco as in Cisco you can chose any pool of addresses to NAT to without requiring these addresses to be bound to a specific interface; you can dictate through which interface to send packets using static routing for both Internet connections. Unfortunately, it seems not doable with Astaro, maybe I'll have to my Internet connections to Cisco routers and then do it there.

    thanks a lot.