Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 2101 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Q's regarding Interface routing (transitioning from Sonicwall)

jtv
I'm moving from a Sonicwall setup and trying to duplicate the config in Astaro. Running into a couple of odd entries that appear to be interface routing related.

Mail server is on a private internal address with the following NAT specified (for SMTP/POP3 traffic):

Source[:$]ther firewalled subnets
Translated: Public Mail Server IP
Destination: Public Mail Server IP
Translated: Private Mail Server IP
(ie Loopback NAT)

DNAT External networks port forward to the private IP

SNAT on outgoing services to show public IP

Now, the Sonicwall has an additional entry:

Source: Mail Server Private IP
Translated: Mail Server Public IP
Inbound Interface: Any
Outbound Interface: WAN primary IP

Questions:

1.  Do you even need this entry for the Astaro config?
2.  If so, how would you configure it?   Interface route?  If so, what would you specify as the source and destination networks?

Thanks in advance.


This thread was automatically locked due to age.
Parents
  • 0
    We do have a Mail Security subscription, BUT right now we aren't going to be implementing it on these new subnets - the plan is to duplicate the existing setup, then work on implementing Astaro features later.

    This is so easy that you might want to just skip the temporary solution.  I just responded to that in another thread: SMTP Gateway

    If you really do want to reproduce the settings on the SonicWall, you'll want two NAT rules:

    Traffic Source: Any
    Traffic Service: SMTP
    Traffic Destination: External (Address)

    NAT mode: DNAT (Destination) 

    Destination: {Host definition of mail server IP}
    Destination Service: {leave blank}

    Automatic packet filter rule: {checked}


    and

    Traffic Source: {Host definition of mail server IP}
    Traffic Service: SMTP
    Traffic Destination: Internet

    NAT mode: SNAT (Source) 

    Source: External (Address)
    Source Service: {leave blank}

    Automatic packet filter rule: {checked}



    You also will need packet filter rules to allow traffic between segments on different interfaces.  If you have a public FQDN that identifies your mailserver, you may want to create an internal, static record that points at the internal IP.

    All of the above assumes that you have a single WAN connection or that your public MX-record points to the primary External interface with the default gateway.

    Cheers - Bob
Reply
  • 0
    We do have a Mail Security subscription, BUT right now we aren't going to be implementing it on these new subnets - the plan is to duplicate the existing setup, then work on implementing Astaro features later.

    This is so easy that you might want to just skip the temporary solution.  I just responded to that in another thread: SMTP Gateway

    If you really do want to reproduce the settings on the SonicWall, you'll want two NAT rules:

    Traffic Source: Any
    Traffic Service: SMTP
    Traffic Destination: External (Address)

    NAT mode: DNAT (Destination) 

    Destination: {Host definition of mail server IP}
    Destination Service: {leave blank}

    Automatic packet filter rule: {checked}


    and

    Traffic Source: {Host definition of mail server IP}
    Traffic Service: SMTP
    Traffic Destination: Internet

    NAT mode: SNAT (Source) 

    Source: External (Address)
    Source Service: {leave blank}

    Automatic packet filter rule: {checked}



    You also will need packet filter rules to allow traffic between segments on different interfaces.  If you have a public FQDN that identifies your mailserver, you may want to create an internal, static record that points at the internal IP.

    All of the above assumes that you have a single WAN connection or that your public MX-record points to the primary External interface with the default gateway.

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    This is so easy that you might want to just skip the temporary solution.  I just responded to that in another thread: SMTP Gateway

    If you really do want to reproduce the settings on the SonicWall, you'll want two NAT rules:

    Traffic Source: Any
    Traffic Service: SMTP
    Traffic Destination: External (Address)

    NAT mode: DNAT (Destination) 

    Destination: {Host definition of mail server IP}
    Destination Service: {leave blank}

    Automatic packet filter rule: {checked}


    and

    Traffic Source: {Host definition of mail server IP}
    Traffic Service: SMTP
    Traffic Destination: Internet

    NAT mode: SNAT (Source) 

    Source: External (Address)
    Source Service: {leave blank}

    Automatic packet filter rule: {checked}



    You also will need packet filter rules to allow traffic between segments on different interfaces.  If you have a public FQDN that identifies your mailserver, you may want to create an internal, static record that points at the internal IP.

    All of the above assumes that you have a single WAN connection or that your public MX-record points to the primary External interface with the default gateway.

    Cheers - Bob


    Thanks for the response.   Couple more questions:

    1.  This config will completely duplicate the functionality of the loopback NAT?   We're basically transplanting servers from one location to another and there's no institutional knowledge left as to why it's configured as it is.  I have a very small window of time to do the transition so I didn't want to find out the hard way that the above method didn't work.

    2.  Will the loopback config work if transplanted to the Astaro?

    3.  There is just one WAN interface, but I'm using additional IPs to route to the various devices in the DMZ and our current LAN (ie 66.X.X.1 to webserver, .2 to mailserver, .3 to our existing mailserver.  This doesn't present any issues with your suggested config as long as I specify the correct external address?