Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 2099 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Q's regarding Interface routing (transitioning from Sonicwall)

jtv
I'm moving from a Sonicwall setup and trying to duplicate the config in Astaro. Running into a couple of odd entries that appear to be interface routing related.

Mail server is on a private internal address with the following NAT specified (for SMTP/POP3 traffic):

Source[:$]ther firewalled subnets
Translated: Public Mail Server IP
Destination: Public Mail Server IP
Translated: Private Mail Server IP
(ie Loopback NAT)

DNAT External networks port forward to the private IP

SNAT on outgoing services to show public IP

Now, the Sonicwall has an additional entry:

Source: Mail Server Private IP
Translated: Mail Server Public IP
Inbound Interface: Any
Outbound Interface: WAN primary IP

Questions:

1.  Do you even need this entry for the Astaro config?
2.  If so, how would you configure it?   Interface route?  If so, what would you specify as the source and destination networks?

Thanks in advance.


This thread was automatically locked due to age.
  • 0
    Hey, JTV, welcome to the Astaro BB!

    I don't know SonicWall, so may I ask a few questions?  Can we assume that you want to make an internal mailserver available to both internal and external accountholders?  Can we assume that you don't have a Mail Security subscription?

    Cheers - Bob
  • 0 in reply to BAlfson
    Hey, JTV, welcome to the Astaro BB!

    I don't know SonicWall, so may I ask a few questions?  Can we assume that you want to make an internal mailserver available to both internal and external accountholders?  Can we assume that you don't have a Mail Security subscription?

    Cheers - Bob


    Thanks!  No problem with more questions, I just didn't want to do a giant info dump at once.

    We do have a Mail Security subscription, BUT right now we aren't going to be implementing it on these new subnets - the plan is to duplicate the existing setup, then work on implementing Astaro features later.  The config is as such:

    External: 66.117.X.X
    Internal 1: 10.10.X.X (Current environment, using mail security)
    Internal 2:  172.30.X.X (New environment DMZ, web and mail server)
    Internal 3:  192.168.X.X (New environment, SQL server subnet)

    The mail server on the 172 subnet needs to be accessible both internally (for server accounts, no local users), and externally (all users are remote stations).
  • 0
    We do have a Mail Security subscription, BUT right now we aren't going to be implementing it on these new subnets - the plan is to duplicate the existing setup, then work on implementing Astaro features later.

    This is so easy that you might want to just skip the temporary solution.  I just responded to that in another thread: SMTP Gateway

    If you really do want to reproduce the settings on the SonicWall, you'll want two NAT rules:

    Traffic Source: Any
    Traffic Service: SMTP
    Traffic Destination: External (Address)

    NAT mode: DNAT (Destination) 

    Destination: {Host definition of mail server IP}
    Destination Service: {leave blank}

    Automatic packet filter rule: {checked}


    and

    Traffic Source: {Host definition of mail server IP}
    Traffic Service: SMTP
    Traffic Destination: Internet

    NAT mode: SNAT (Source) 

    Source: External (Address)
    Source Service: {leave blank}

    Automatic packet filter rule: {checked}



    You also will need packet filter rules to allow traffic between segments on different interfaces.  If you have a public FQDN that identifies your mailserver, you may want to create an internal, static record that points at the internal IP.

    All of the above assumes that you have a single WAN connection or that your public MX-record points to the primary External interface with the default gateway.

    Cheers - Bob
  • 0 in reply to BAlfson
    This is so easy that you might want to just skip the temporary solution.  I just responded to that in another thread: SMTP Gateway

    If you really do want to reproduce the settings on the SonicWall, you'll want two NAT rules:

    Traffic Source: Any
    Traffic Service: SMTP
    Traffic Destination: External (Address)

    NAT mode: DNAT (Destination) 

    Destination: {Host definition of mail server IP}
    Destination Service: {leave blank}

    Automatic packet filter rule: {checked}


    and

    Traffic Source: {Host definition of mail server IP}
    Traffic Service: SMTP
    Traffic Destination: Internet

    NAT mode: SNAT (Source) 

    Source: External (Address)
    Source Service: {leave blank}

    Automatic packet filter rule: {checked}



    You also will need packet filter rules to allow traffic between segments on different interfaces.  If you have a public FQDN that identifies your mailserver, you may want to create an internal, static record that points at the internal IP.

    All of the above assumes that you have a single WAN connection or that your public MX-record points to the primary External interface with the default gateway.

    Cheers - Bob


    Thanks for the response.   Couple more questions:

    1.  This config will completely duplicate the functionality of the loopback NAT?   We're basically transplanting servers from one location to another and there's no institutional knowledge left as to why it's configured as it is.  I have a very small window of time to do the transition so I didn't want to find out the hard way that the above method didn't work.

    2.  Will the loopback config work if transplanted to the Astaro?

    3.  There is just one WAN interface, but I'm using additional IPs to route to the various devices in the DMZ and our current LAN (ie 66.X.X.1 to webserver, .2 to mailserver, .3 to our existing mailserver.  This doesn't present any issues with your suggested config as long as I specify the correct external address?
  • 0
    My suggested config is fine*, but the current version of the SMTP Proxy functions with the primary interface address, so a NAT rule like 'External (Address) -> SMTP -> Any : SNAT from {additional address}' would be required for it.

    * Check out Accessing Internal or DMZ Webserver from Internal network.  If there is an issue with internal access, here's another quick-fix: https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/p/39069/133006#133006

    Cheers - Bob
    PS I don't think I know what the following means:
    Now, the Sonicwall has an additional entry:

    Source: Mail Server Private IP
    Translated: Mail Server Public IP
    Inbound Interface: Any
    Outbound Interface: WAN primary IP