Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 2 subscribers
  • Views 15768 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Full NAT or 1 to 1 NAT

fintech
I can't find any documentation on Full NAT or 1 to 1 NAT. I'm coming from the Cisco Router/ASA/Pix world so I don't know all the Astaro terms. I want to use Astaro as an ASA replacement at my office.

I have and Exchange server on my local network and I want to do a 1 to 1 NAT. I want to statically map an internal private IP with a Extra Public IP in my Range. I want the translation to go both ways. 

Astaro WAN IP = 24.***.***.162

Public IP = 24.***.***.163
Exchange IP = 192.168.1.2

I want all traffic going inbound 24.***.***.163 to be mapped to 192.168.1.2

I also want all exchange (192.168.1.2) traffic outbound to show 24.***.***.163

In the Cisco world and most firewall manufacturers this is called 1 to 1 NAT  

I've tried DNAT and SNAT. I can get inbound working but I cannot get outbound to show the correct IP address (24.***.***.163)


Any help would be greatly appreciated.

Justin


This thread was automatically locked due to age.
  • 0
    Hey, Justin, welcome to the User BB!

    You need both a DNAT and an SNAT.  Normally, we configure our clients' Astaros with their primary MX record set to the FQDN that resolves to the primary IP on their External interface.  More importantly, we assign mail.domain.com as the hostname of the Astaro.

    Cheers - Bob
  • 0 in reply to BAlfson
    I tried a SNAT but it would not show the correct address. It still shows the firewall WAN IP. 

    I followed the directions from this site.

    Astaro Security Gateway – SNAT, DNAT, 1-to-1 NAT and Full NAT – HowTo » The time I've wasted on technology...
  • 0 in reply to fintech
    Here is a picture of what I have below. The example I have below is my domain controller that I need to have 1 to 1 NAT. The VPN feature is very nice with this Astaro. I was able get the site to site VPN with my home ASA 5505 up in a few minutes.

  • 0
    Well, several things.

    Just to be sure, NAT rules are evaluated in the order listed.  If a packet satisfies a traffic selector, the rule is applied and no further rules are considered.

    You started this thread only talking about Exchange, but you didn't show rules related to that.  If the SMTP traffic from your Exchange server is going through the Astaro Proxy, when the packet leaves it, the source is the IP of "External (Address)", so your traffic selector in the SNAT must be 'External (Address) -> SMTP -> Internet'.  If you are using the Proxy, then you don't need a DNAT.  If you are using a DNAT instead of the Proxy, you also probably want to use "SMTP instead of "Any" in its traffic selector.

    Normally, I would limit the packets selected by not using "Any" service in the traffic selectors, and then I would select auto packet filter rules.

    If your PBX is VoIP, and since you have a Network Security subscription (you said you set up a site-to-site VPN), then you might want to use the VoIP proxy instead of NAT rules.

    What is the reason for opening your Domain Controller to the public?

    Cheers - Bob
  • 0 in reply to BAlfson
    The server is a DC/Exchange 2010. In the Cisco world I would create a 1 to 1 nat rule for my DC/Exchange box and then only open the ports I want in the firewall rules. The purpose of this is to have my mail server go out on the right external public IP address that already has reverse DNS setup. It seems like every firewall on the planet has 1 to 1 NAT except for Astaro.

    This a great product. 1 to 1 NAT is essential.

    Once I start getting more familiar with the device I will start using the proxies. I could not get the VOIP one to work when I tried.
  • 0
    The purpose of this is to have my mail server go out on the right external public IP address that already has reverse DNS setup
    Currently the way to set this up in Astaro is to use additional addresses in combination with an SNAT rule.

    1 to 1 NAT is essential
    1-to-1 NAT is currently planned to be added early next year in version 9.0.  Network Security: 1-to-1 NAT

    I could not get the VOIP one to work when I tried
    A couple of things could be going on here.  The Astaro VOIP proxy only works with SIP and H323, but every VOIP system that I know of also uses other ports/protocols, that will need to be opened to function properly.  If your PBX vendor recommends not to use SIP-fixup for Cisco with their product, then you won't want to use the Astaro VOIP proxy either.
  • 0
    Hey, fintech, I think there's more here than you're asking for...

    You already can do what you're asking for with an SNAT + a DNAT.

    Astaro has a plan to do, for example, 1.2.3.4-1.2.3.9 mapped to 10.2.3.4-10.2.3.9.

    Cheers - Bob
  • 0 in reply to BAlfson
    I kept on reading a way to use DNAT / SNAT to do 1:1 Nat as discussed in this thread. In particular, outbound packet should show the extra IP address that I have added to the external interface. I never can get it to work (Always main IP address show up in the outgoing packet and not the one that I added). Can someone point me to any work around if you know how to do this.
  • 0
    Hi, boruguru, and welcome to the User BB!

    Please [Go Advanced] below and attach a picture of your SNAT rule.  Also mention if this traffic is via an Astaro proxy.

    Cheers - Bob
  • 0 in reply to BAlfson
    Bob, 

    Thank you for the reply. Look like I may be doing something wrong here. 

    Here is what I want to do. 

    extip = nat24  (This is not the wan-ext-ip which is different, I can ping nat24)
    internalip = vm24 (192.168.1.24)

    I want all my traffic from and to vm24 to use the nat24 ip. (There are other internal IPs which should go through the normal NAT using the regular WAN IP as it is today,unchanged)
    extip-> asg -> internalip
    internalip -> asg -> externalip


    My puzzle is that I have not defined in my DNAT,SNAT rules about my internal IP address info, so I believe my rules are flawed. 

    I check marked automatic firewall rule on/off with no luck. I am sure I am missing something here. Do I need an extra 2 more rules defining internal IP. 

    I followed the following to get going. However what I found is the outgoing packets do not show the IP of the new interface that I defined. [:S]

    Astaro Security Gateway – SNAT, DNAT, 1-to-1 NAT and Full NAT – HowTo

     


    Appreciate help..