Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 2 subscribers
  • Views 9976 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Masquerading with multiple external IPs/Dynamic NAT Pool?

BOBH
Basically, is it possible to NAT my private internal network to a dynamic pool of external (but also private) addresses?

In more detail, here is my situation. My private network currently sits behind the private network of a larger entity. We have a 192.168.X.X network range and internal traffic is on eth0 and external traffic runs over eth1.

Because of a connection change between us and the entity we sit behind, we have to move to a 10 address network. It is going to take a lot of time and work to change the addresses on everything, so in the meantime we want to NAT our internal private 192 network to a pool of "external" private 10 addresses.

I can see how to masquerade everything to a single address, but how can I setup a dynamic address pool so that each local device making an external connection gets it's own 10 address from the pool?


This thread was automatically locked due to age.
  • 0
    Hi, you can Masq as you said, or you can SNAT individual hosts or host groups.

    I don't know of a way to dynamically choose an IP though.
    Cisco can do a 1-to-1 NAT or something like that where if you have, say, a 'private' class-C internally and a public class-C externally, each internal host gets it own external IP, but you must have enough addresses for that.

    Barry
  • 0
    Since it would be a private network externally I have more than enough addresses, but I don't have any Cisco equipment, hence my desire to use the ASG!
  • 0
    If you have enough external IPs, you just need an SNAT for each internal host.

    I was just pointing out Cisco as an example.

    Barry
  • 0
    But to use SNAT I would have to add a definition for each host on each address and then add an SNAT rule for each host right? While not impossible, it would be a huge pain as I would have to manually 800+ hosts. I tried using a defined network as the new SNAT source, but it will only take a host.
  • 0
    Hey Barry, could he just get an old Cisco and plug it in between his Astaro and the entity he sits behind?  Just open the Cisco up completely, and set up a temporary 1-to-1 NAT translating between the IPs on the Astaro's external interface and the new 10. network he needs to match to?

    BOBH, what are the IPs on the External interface now?

    Cheers - Bob
  • 0 in reply to BAlfson


    BOBH, what are the IPs on the External interface now?

    Cheers - Bob


    It currently is assigned to a 192.168.23.X network (not the same network as our current internal 192.168.X.X network).
  • 0 in reply to BOBH
    But to use SNAT I would have to add a definition for each host on each address and then add an SNAT rule for each host right? While not impossible, it would be a huge pain as I would have to manually 800+ hosts. I tried using a defined network as the new SNAT source, but it will only take a host.


    Yes, it's a huge pain, even for 20 hosts.

    Take a look at Astaro Gateway Feature Requests and see if there's a 1-to-1 NAT or equivalent feature request there, and vote for it, or create a new request if it's not there.

    Barry
  • 0 in reply to BAlfson
    Hey Barry, could he just get an old Cisco and plug it in between his Astaro and the entity he sits behind?  Just open the Cisco up completely, and set up a temporary 1-to-1 NAT translating between the IPs on the Astaro's external interface and the new 10. network he needs to match to?


    Should work.
    I guess any PIX or Cisco router can do it.
    Apparently Cisco calls it "NAT" (as opposed to PAT).

    Barry
  • 0
    You know, it may be possible to do bulk replaces of "192.168.23." with "10.x.23." in a backup file.  Have you submitted this issue to Astaro?

    Cheers - Bob
  • 0
    Yes, I just opened one this morning an am waiting to hear back.