Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 2 subscribers
  • Views 14447 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Private DMZ and NAT Issue

Jason.Earl
Please point me to another post if it has the answer.

We have a customer that has two internet sources that connect to the Astaro as follows.  The Astaro is an ASG220 running 7.503.

Internet -> Astaro -> LAN
Internet -> 3rd Party Firewall -> DMZ -> Astaro -> LAN

The 3rd Party firewall only purpose is to provide access to two specific destinations via tunnels and not any general internet traffic.  It also does not have any routing capability built into it.  The problem this presents is that I have to setup the Astaro to NAT all LAN traffic bound for this 3rd Party Firewall from the LAN to the DMZ IP (and back again).  Needless to say, I am having trouble with this as I keep getting Invalid Parameter errors.

I cannot change the devices and I cannot move the tunnels.

Any assistance would be helpful.  I would discuss what I've tried, but I feel like I've tried every iteration except the one that would work.  

Attached is an image of the setup in case my description is confusing.

Thank you,

Jason


This thread was automatically locked due to age.
  • 0
    It wouldn't provide all access.  With the IP of br0 as their default gateway, the LANs all would go out the Astaro except for the accesses aimed at the 3rd-party firewall.

    If they don't know how to aim their accesses at the 3rd-party firewall (3pFW), then create a gateway route in the Astaro.  I guess you wouldn't even need a bridge for that.
  • 0
    If you can't set the Astaro as the default gateway for the LANs, and you can't put a route into the 3pFW, how can there be any solution with any device, Astaro or other?  The only thing remaining is manual routes in all devices on the LANs that need to get to the Internet but not one of the sites handled by the 3pFW.

    Cheers - Bob
  • 0 in reply to BAlfson
    The way you describe it is how it is setup now.

    eth0 = LAN
    eth1 = WAN
    eth2 = LAN of 3pFW

    I still run into the NAT issue with this though.

    The LAN of the 3pFW can only define and talk to a /24 network.  So it can only send traffic to the IP on eth2.  All other traffic will attempt to go out the WAN side of it (or tunnel if it exists).  Therefore to send traffic back to my LAN, I have to internally NAT my LAN to the eth2 address.
  • 0 in reply to Jason.Earl
    (We posted within seconds of eachother above.)

    If eth0 and eth2 were bridged, you would have no NAT issue.

    Cheers - Bob
  • 0 in reply to Jason.Earl
    The MPLS routers are the default gateways for the LANs, but it forwards all 0. traffic to the Astaro.  

    The solution is to internally NAT the traffic.  Traffic ends up in the Astaro since it is not defined elsewhere.  (Yes, it would be more clean to define it, but the 0. route catches and sends it to the Astaro).  The Astaro routes the proper traffic to the 3pFW and NATs it to the eth2 address.  Return traffic from the 3pFW NATs back to the LAN address and routing in the Astaro sends it back to the destination.

    I'll keep trying.
  • 0 in reply to BAlfson
    [QUOTE=BAlfson;154245](We posted within seconds of eachother above.)

    If eth0 and eth2 were bridged, you would have no NAT issue.

    3pFW LAN IP = 10.10.10.1
    Astaro eth0 = 192.168.1.1
    Astaro eth2 = 10.10.10.2

    If bridged, how would the 3pFW send traffic to 192.168.1.x?  It will attempt to send it out it's WAN since it is not defined on its LAN.  It would need a route since there is no definition of 192.168.1.anything.  This is the entire problem.  The 3pFW cannot route and cannot send to a gateway IP internally.  It will only know devices on its own subnet.  So it could only talk to 10.10.10.2.

    Sorry, the 3pFW is a pain of a device, but I have no choice on whether or not to use it.
  • 0
    The MPLS routers are the default gateways for the LANs, but it forwards all 0. traffic to the Astaro.

    J.E, this is an interesting problem, but, clearly, more detail is needed.  If you feel comfortable sharing the IP ranges and/or network diagram with me, you can email me.  I can tell you feel like you can't see the forest for the trees right now.

    Cheers - Bob