Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 8606 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Full-NAT / 1:1 NAT

koslofski
Hello

I've a problem with a NAT-Configuration.
At the moment it exists followed situation:
WAN: 123.123.123.0/29
LAN: 172.20.1.0/24
DMZ: 10.20.1.0/24

There were some DNAT rules for the IP 123.123.123.2 & 123.123.123.3 to server that placed in the LAN.
Now i want to test the Direct-Access from Microsoft. This software needs two public IP's on a server - Internal IP's doesn't work. No my question... 
How can i NAT / Route two public IP's of the /29 subnet to a server? 

Thank you very much! 
I've also posted this question in the German Forum (click-me). 

Best Regards
Andy


This thread was automatically locked due to age.
  • 0 in reply to Scott_Klassen
    Hi Scott
    Thanks for your response.

    So, at the moment it's not possible to do that?
  • 0
    Not 1:1, but Astaro does have a Full NAT option.  Create a new NAT rule and select Full NAT for NAT mode.  

    As far as being able to setup DirectAccess, in its current implementation, it is very picky with the requirement that the packets can't be altered.  MS and most 3rd party documentation to this point are all about setup using UAG, which was purpose built to work with DA. 

    I'm quite interested in using DirectAccess with Astaro as well.  If you can get it working, it would be great if you could post back instructions.  In the meantime, I know an Astaro employee who also happens to be an MS MVP.  I'll ask if he'd be willing to take this on as a pet project to see if he can get this working.
  • 0
    I think you guys all know more about DirectAccess than I do since this is the first time I've heard of it! [;)]

    If you need two public IPs on an internal server, then, wouldn't this be a situation for a transfer network and a DMZ with public IPs?  Using your IPs above, your ISP would list 123.123.123.0 as the gateway for 123.123.123.1, .2 and .3.  Put 123.123.123.1 as the IP of the Astaro DMZ interface and 123.123.123.2 and .3 on the server.

    Does that resolve the issue?

    Cheers - Bob
  • 0
    Sorry, I misspoke, I thought we were talking about a 1:1 NAT for a whole subnet... you can create a DNAT + SNAT for each server. (perhaps a Full NAT does the same thing)

    Barry
  • 0
    Would need to be tested, of course, but I think that would get it Bob.
  • 0
    Hi Guys,

    I doubt that NAT would help here. 
    It might well be that the MS Server needs to hold the public IP addresses in question, hence NAT wouldn't do any good here. I don't know this with a 100% certainty, but the documentation seems to point that way. So I am not sure whether you could enable the DirectConnect on a server only having private IP addresses.

    To answer your initial question: It may be that you'll have to place the gateway in parallel to the ASG in your public IPs network. The alternative would only be to have a larger public IP network and use subnetting to route it to an internal DMZ / internal server.

    Just my 2 cents
    Christian
  • 0
    You're correct Christian that the modification of packets inherent in NAT breaks DirectAccess.  Like I said, it's picky.  Very cool once working though.  A persistent, autoconnecting, IPSEC (DirectAccess leverages the fact that IPSEC is built into IPv6) VPN that initializes with windows.  If the system is on and has internet connectivity, then it is connected to the business network/domain.  Vastly increases the manageability of remote systems.

    If it wasn't for the fact that my ISP rate would almost double between switching to business class service (at the same bandwidth rate) for static IP and the cost of additional IPs, II'd play with it for my home network.
  • 0 in reply to Scott_Klassen
    Hi all

    Thanks for your inputs!
    I'll test some functions this week.

    Bye Andy