Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 6052 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

NATTING a routed network

tmbm50
We have an unusual public network setup.  We have a total of 3 interfaces.

Interface 1: has a public 209.44.60.253/30 network
Interface 2: has a public 209.44.70.XX/24 network.
Interface 3: is our private network.

Interface 1 is connected to our ISP routers.  Interface two is connected to a switch with public servers with a public IP...they are not natted.

Essentially, our "block" of pulbic ip's are routed to the second interface by the first public interface that is on a different routable public ip.  Thats the way the ISP gave us this block...i know..its weird.  This does work fine for servers on the switch connected to Interface 2.

Interface 1 and 2 act like a pure router and do not NAt between each other.

Now we have a server in the internal network we need to nat a 209.44.70.XX IP to the internal server.  But the normal NAT rule does work.  If we create a new secondary IP on interface 2, and then create a simply DNAT to send that to an internal IP it does not work.  We have no spare IP's on the primary Interface 1 as it's subnet is a single IP. 

Its like the astaro doesn't like to route the traffic to the second interface, and then NAT it to the third interface.

Anybody see a way around this?  With logging turned on for the rule, I do see the initial NAT rule get processed, but no traffic after that.

-Tim


This thread was automatically locked due to age.
  • 0
    So, you have a DMZ with public IPs that are routed by your ISP via the primary IP on your Interface 1.  It seems like that should work.

    What do you see in the packet filter log (the actual log, not the live log)?  What about the Intrusion Prevention log? Can you show a pic of your DNAT?

    Cheers - Bob
  • 0 in reply to BAlfson
    Correct, the "DMZ" is just a routed public network.

    All intrusion protection is disabled.  

    Here is the line from the packet filter log....not the "live log"

    2010:09:08-09:50:41 Astaro ulogd[3814]: id="2000" severity="info" sys="SecureNet" sub="packetfilter" name="Packet logged" action="log" fwrule="60021" seq="0" initf="eth4" dstmac="00:1a:8c:19:15:7e" srcmac="54:75[:D]0:a1:21:c1" srcip="XX.XX.XX.YY" dstip="YY.YY.YY.YY" proto="6" length="48" tos="0x00" prec="0x00" ttl="125" srcport="1191" dstport="443" tcpflags="SYN" 

    After that I do not see any traffic that relates to the failed attempt.  The response just kinda dies.

    Right now I'm thinking maybe its something in the return path?
  • 0
    Hi, do the secondary IP and DNAT on interface 1.
    I think.

    Barry
  • 0
    Hard to say. [;)] You never mentioned eth4, and you completely hid the IPs - you can hide the details without hiding the meaning.

    Also, please show pics of the DNAT and the packet filter if you didn't use auto packet filter.

    Then again, if this is a new server, maybe its default gateway is set incorrectly.

    Cheers - Bob
  • 0 in reply to BAlfson
    Yup, it was the default gateway.  We are currently dual homed with a sonicwall.

    It was still pointing to the sonicwall as the default gateway.  

    I guess I thought that the server would see the traffic as coming from the Private IP on the astaro and would send the traffic back to the astaro but I guess it does not....that would be a Full nat ;-)

    Eitherway, setting the gateway to the Astaro worked.  

    Thanks!