Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 2 subscribers
  • Views 14449 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Private DMZ and NAT Issue

Jason.Earl
Please point me to another post if it has the answer.

We have a customer that has two internet sources that connect to the Astaro as follows.  The Astaro is an ASG220 running 7.503.

Internet -> Astaro -> LAN
Internet -> 3rd Party Firewall -> DMZ -> Astaro -> LAN

The 3rd Party firewall only purpose is to provide access to two specific destinations via tunnels and not any general internet traffic.  It also does not have any routing capability built into it.  The problem this presents is that I have to setup the Astaro to NAT all LAN traffic bound for this 3rd Party Firewall from the LAN to the DMZ IP (and back again).  Needless to say, I am having trouble with this as I keep getting Invalid Parameter errors.

I cannot change the devices and I cannot move the tunnels.

Any assistance would be helpful.  I would discuss what I've tried, but I feel like I've tried every iteration except the one that would work.  

Attached is an image of the setup in case my description is confusing.

Thank you,

Jason


This thread was automatically locked due to age.
Parents
  • 0
    The 3rd Party firewall [...] does not have any routing capability built into it.

    Hmm...  It sounds like the 3rd-party firewall is the default gateway for all of the devices in the DMZ.

    If that's the case, and the customer won't let you get rid of the 3rd-party firewall using their new Astaro, then the only solution is to add a route in every device in the DMZ that needs to be reached from the LAN.  For example if the LAN is 10.10.10.0/24 and in the DMZ, the Astaro has an IP of 10.10.20.2, then each device needs a route of '10.10.10.0/24 -> 10.10.20.2'.

    Does that solve your problem?

    Cheers - Bob
Reply
  • 0
    The 3rd Party firewall [...] does not have any routing capability built into it.

    Hmm...  It sounds like the 3rd-party firewall is the default gateway for all of the devices in the DMZ.

    If that's the case, and the customer won't let you get rid of the 3rd-party firewall using their new Astaro, then the only solution is to add a route in every device in the DMZ that needs to be reached from the LAN.  For example if the LAN is 10.10.10.0/24 and in the DMZ, the Astaro has an IP of 10.10.20.2, then each device needs a route of '10.10.10.0/24 -> 10.10.20.2'.

    Does that solve your problem?

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    There are no actual devices on the DMZ.  This is setup in this manner since we have 8 subnets on the LAN side connected via MPLS.  This prevents us from having to NAT in the MPLS routers and can run a single NAT in the firewall instead.

    The only purpose of this DMZ is to forward all traffic to the specific destinations to the 3rd Party firewall instead.

    It is a DMZ by definition, not function.

    Thanks,