Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 942 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

NAT Masquarade failing

wberry
I have a weird problem.

I have one NAT Masquerade setup [any] --> [external]. In practice, "any" is 10.0.0.0/8 and "external" is the Astaro public ip address.

Wiresharking the external side of the Astaro, I see 10.0.0.0/8 IPs going out into the world instead of being natted into the public ip.

1) They are always RST packets
2) They only occur in one internal network to one specific server (Only because that network only talks to this one external server)
3) Everything else - 10-20 mb/s - are natted fine.
4) Looking at the full transaction, the RSTs always follow a FIN/ACK from the remote side, and an ACK from our side, and usually work fine.

So, sometimes natted, sometime not. ASG 7.509 on a 220


See wireshark screenshots :
1 - bunch of bad nat / rsts, 
2 - one full transaction (two pcaps merged - inside/outside), note the pink x

Anyone have any ideas?


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to TheDrew
    Have you tried setting the masqueraded network to the internal network instead of any?


    I added the 10.245.0.0/16 masquerade above the existing [any]. Didn't change anything.

    Will try eliminating the "any" next. (Multiple masquerades)
  • 0 in reply to wberry
    Generally speaking NAT is done between interfaces. Try specifying your internal interface(network) as the network to be MASQ'd and see what happens.

    Also, NAT/Masquerades are not like packet filter rules, there isn't an order they follow.
  • 0 in reply to TheDrew
    Generally speaking NAT is done between interfaces. Try specifying your internal interface(network) as the network to be MASQ'd and see what happens.


    Quick net diagram:

    Internet  Astaro  Router  Device

    So, setting MASQ on Internal (Network) won't catch 10.245.*

    Is a dedicated interface required for each network that requires MASQ?

    Or do I need to add a SNAT rule that changes 10.245.* to External (Address)?

    The only time the NAT fails is 60 seconds after the end of a conversation:

    Remote:  Local:

    FIN,ACK  ---->