Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 2 subscribers
  • Views 14464 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Private DMZ and NAT Issue

Jason.Earl
Please point me to another post if it has the answer.

We have a customer that has two internet sources that connect to the Astaro as follows.  The Astaro is an ASG220 running 7.503.

Internet -> Astaro -> LAN
Internet -> 3rd Party Firewall -> DMZ -> Astaro -> LAN

The 3rd Party firewall only purpose is to provide access to two specific destinations via tunnels and not any general internet traffic.  It also does not have any routing capability built into it.  The problem this presents is that I have to setup the Astaro to NAT all LAN traffic bound for this 3rd Party Firewall from the LAN to the DMZ IP (and back again).  Needless to say, I am having trouble with this as I keep getting Invalid Parameter errors.

I cannot change the devices and I cannot move the tunnels.

Any assistance would be helpful.  I would discuss what I've tried, but I feel like I've tried every iteration except the one that would work.  

Attached is an image of the setup in case my description is confusing.

Thank you,

Jason


This thread was automatically locked due to age.
  • 0
    The 3rd Party firewall [...] does not have any routing capability built into it.

    Hmm...  It sounds like the 3rd-party firewall is the default gateway for all of the devices in the DMZ.

    If that's the case, and the customer won't let you get rid of the 3rd-party firewall using their new Astaro, then the only solution is to add a route in every device in the DMZ that needs to be reached from the LAN.  For example if the LAN is 10.10.10.0/24 and in the DMZ, the Astaro has an IP of 10.10.20.2, then each device needs a route of '10.10.10.0/24 -> 10.10.20.2'.

    Does that solve your problem?

    Cheers - Bob
  • 0 in reply to BAlfson
    There are no actual devices on the DMZ.  This is setup in this manner since we have 8 subnets on the LAN side connected via MPLS.  This prevents us from having to NAT in the MPLS routers and can run a single NAT in the firewall instead.

    The only purpose of this DMZ is to forward all traffic to the specific destinations to the 3rd Party firewall instead.

    It is a DMZ by definition, not function.

    Thanks,
  • 0
    You have an interesting situation.  I thought a bit more about it and have another idea: what if you put the 3rd-party firewall and its DMZ behind the Astaro instead of having separate connections into the DMZ?

    Internet  Astaro LAN
    Internet  Astaro  3rd-party firewall  DMZ

    You didn't say, but I assume that the 3rd-party firewall is doing NAT.  In that case, you'd want to put one of their unused public IPs on the Astaro's DMZ interface, and have their ISP route the public IP on the 3rd-party firewall through the primary IP on the Astaro's External interface.

    Cheers - Bob
    PS Just saw your second post.
  • 0 in reply to BAlfson
    Moving the 3rd Party Firewall to behind the firewall poses a larger issue.  Since the 3rd party doesn't perform routing, I would need to NAT the 8 LAN subnets.  It would only work for 1 of the 8 otherwise.  This way, all LAN subnets can talk to the Astaro, and only the Astaro would need to perform NAT.

    Also, the 3rd Party firewall has to have a Public IP on it's WAN side.  Requirement of the device.  Unfortunately, this is for a healthcare provider and HIPAA compliance restricts our options.

    I need to NAT either way, this just reduces the headaches.
  • 0
    Moving the 3rd Party Firewall to behind the firewall poses a larger issue. Since the 3rd party doesn't perform routing, I would need to NAT the 8 LAN subnets. It would only work for 1 of the 8 otherwise. This way, all LAN subnets can talk to the Astaro, and only the Astaro would need to perform NAT.

    That's a bit confusing.  Is the 3rd-party firewall doing NAT?  If so, then the solution I suggested (got it from BarryG) would seem to be ideal.

    Cheers - Bob
  • 0 in reply to BAlfson
    Yes, the 3rd Party Device performs NAT, but it will not (and cannot for that matter) be used for general internet access.  The Astaro will provide access to the cloud.  

    The 3rd Party device is basically a VPN endpoint.  It will only handle traffic destined for two locations.  All other traffic will go out the WAN side of the Astaro.
  • 0
    Understood.  Are you saying that the "LAN" you show behind the Astaro is in fact the eight MPLS LANs?

    If not, then I still think BarryG's approach is the one for you.

    Cheers - Bob
  • 0 in reply to BAlfson
    Yes, our internal network consists of 8 LANs interconnected via an MPLS WAN.  This Astaro provides internet access for the entire internal network.  Each site does not have it's own internet access - all is routed out via the corporate site (Astaro)

    Sorry, I should have pointed that out to avoid some confusion.  Tunnel vision...

    We have routes built into the Astaro that points all traffic for the other 7 subnets to the local MPLS router.  All eight LANs require the ability to talk to this 3rd Party device (and the endpoints within it).  Ideally I would set this up in parallel to the Astaro and it would be a minor routing update, but the lack of ability to route traffic in the 3rd party device forces us to internally NAT traffic so it can get back to the remote offices.  The choice comes down to NAT within the routers or NAT within the firewall.  As we manage the firewall and not the routers, that is why I prefer the setup this way.

    I know this can be accomplished and have done it on other devices, but my knowledge level in the Astaro is causing a problem.
  • 0
    OK, so why not put the Astaro in between the LAN and the 3rd-party firewall?

    Bridge eth0 (LAN) and eth2 (LAN side of 3rd-party firewall)
    eth1: WAN

    Is it that simple?

    Cheers - Bob
  • 0 in reply to BAlfson
    Unfortunately no.  The 3rd Party firewall cannot provide internet access for the entire organization.  We also have no way to access the NAT policies in the 3rd party device.  It would make it an easy fix, but not an option.  

    It is a very specific purpose device.  The only control we have is the public/private IP on the device.  Everything else is pre-configured to establish connectivity for very specific purposes and cannot be altered.