Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 1560 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Help. Total beginner and utterly lost

khunkao
I am confused about several things:

1) I used to be able to define a Static Public IP to an internal host, then go to something like WHATISMYIP.ORG and see that static IP.  Now it only gives me the External WAN of the firewall.  I checked and saw that HTTP/S Proxy was on and turned it off.  However upon doing that it disrupted a connection from the outside to that internal host.  I do not want that internal host to hide behind the WAN.  How can I get it to where I can see my static IP like before when I do a web check?  Do I need to define specific rules?

2) In relation to question 1, I need some internal hosts to be able to make their own Client VPN connections to other outside networks.  That means I cannot have them hiding behind the IP of the External WAN.  They need to have their own Static IP all the time.  How can I set this up?

3) What exactly is bridging for and would I need it?  I turned it on before and lost connection to the firewall user portal from the outside.  Now I have to go to the firewall physically to turn bridging off.

4) Am I not allowed group services and internal hosts together when defining NAT rules?  Or does everything have to be be defined separately?  I have an internal host that actually is mapped to two Static Public IPs.  Do I need to define separate NAT rules for each IP?


This thread was automatically locked due to age.
  • 0
    Hi, khunkao, and welcome to the User BB!

    1) It's not clear to me what your question is, so I'll just make some general comments.  If the clients on your internal subnet all have Public IPs, you can put the HTTP/S Proxy into 'Full Transparent' mode, then the packets sent by the Proxy will have the clients' IPs as the Source IP.  If all of your internal IPs are not Public IPs, you will not want to do this.

    2) I'd recommend having a subnet of public IPs on a separate Astaro interface, and having your ISP route that subnet through the IP of the Astaro's "External (Address)".  That makes this, in essence, a DMZ with public IPs.

    3) You can read about bridging in the Wikipedia.  From what you've said so far, it doesn't sound like you need it.

    4) Refer to my answer in 1).  Yes, you can create a network group and use that as the Destination in the traffic selector of a DNAT.  You also can create a services group and use it in the traffic selector.  So, for example, the following works:

    "Public Targets" group = "External [Public #1] (Address)" and "External [Public #2] (Address)"

    "Web Surfing" group = "HTTP", "HTTPS", etc.

    Name: Webserver
    Traffic Source: Any
    Traffic Service: Web Surfing
    Traffic Destination: Public Targets
    Type: DNAT (Destination)
    Destination: {host definition for webserver}
    Destination service: {must be left blank!}



    Cheers - Bob
  • 0 in reply to BAlfson
    Thanks for your reply.

    In regards to question 1, assume that internal host has an IP of 192.168.1.5 and that the External network card of the firewall or the WAN interface is 212.213.214.200. I've NAT'd 192.168.1.5 to 212.213.214.202.  

    I use to be able to visit a website like whatismyip.com to determine and confirm that my NAT IP works.  It should say 212.213.214.202 but it doesn't.  Instead it says 212.213.214.200.  Just wondering why that is and is there any way to have that internal host NAT'd to 212.213.214.202 all the time.
  • 0
    I use to be able to visit a website like whatismyip.com to determine and confirm that my NAT IP works. It should say 212.213.214.202 but it doesn't. Instead it says 212.213.214.200. Just wondering why that is and is there any way to have that internal host NAT'd to 212.213.214.202 all the time.

    Is it possible that you weren't going through theHTTP/S Proxy before?  If you aren't going through the Proxy, I think you could create a NAT rule:

    {192.168.1.5} -> Web Surfing -> Internet : SNAT from {212.213.214.202}


    Then again, I don't know if that would work if you're masquerading 192.168.1.0/24.  You might need to do the SNAT with an IP outside the subnet being masqueraded.  Please post the result of your tests here so we know what works.

    Cheers - Bob
  • 0 in reply to BAlfson
    Thank you so much.  Yep that worked!  When I check against whatismyip.com I see the Static IP that I assigned it, not the general External WAN IP.  The reason I use whatismyip is to confirm the Static NAT works.  

    Several internal hosts must initiate outbound VPN connections to other networks.  If they hid behind the External WAN IP, they would not get return traffic.  Only assigning a Static NAT IP works for them.  

    As you've said I do need both DNAT and SNAT rule for the same Internal host:

    For internal host: 192.168.1.5 to be Static NAT'd to 212.213.214.202

    DNAT Rule:
    Traffic Source: Any
    Traffic Service: Any
    Traffic Destination: 212.213.214.202 (either External WAN NAT address or host definition works)
    NAT Mode: DNAT (Destination)
    Destination: 192.168.1.5
    Destination Service: 


    SNAT Rule:
    Traffic Source: 192.168.1.5
    Traffic Service: Any
    Traffic Destination: Any
    NAT Mode: SNAT (Source)
    Source: 212.213.214.202 (either External WAN NAT address or host definition works)
    Source Service: 

    Automatic Packet Filter rule can be checked on.  If off, I have to manually create the Packet Filter rules.
  • 0
    Make sure you don't use the auto-packet filter on a DNAT unless you want ALL incoming traffic to be allowed in!

    On an SNAT should be OK, assuming you don't mind allowing any outgoing traffic.

    Barry
  • 0
    No I removed Auto packet filter for DNAT and SNAT actually.  I specify the rules manually.