Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 2 subscribers
  • Views 15770 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Full NAT or 1 to 1 NAT

fintech
I can't find any documentation on Full NAT or 1 to 1 NAT. I'm coming from the Cisco Router/ASA/Pix world so I don't know all the Astaro terms. I want to use Astaro as an ASA replacement at my office.

I have and Exchange server on my local network and I want to do a 1 to 1 NAT. I want to statically map an internal private IP with a Extra Public IP in my Range. I want the translation to go both ways. 

Astaro WAN IP = 24.***.***.162

Public IP = 24.***.***.163
Exchange IP = 192.168.1.2

I want all traffic going inbound 24.***.***.163 to be mapped to 192.168.1.2

I also want all exchange (192.168.1.2) traffic outbound to show 24.***.***.163

In the Cisco world and most firewall manufacturers this is called 1 to 1 NAT  

I've tried DNAT and SNAT. I can get inbound working but I cannot get outbound to show the correct IP address (24.***.***.163)


Any help would be greatly appreciated.

Justin


This thread was automatically locked due to age.
Parents
  • 0
    Well, several things.

    Just to be sure, NAT rules are evaluated in the order listed.  If a packet satisfies a traffic selector, the rule is applied and no further rules are considered.

    You started this thread only talking about Exchange, but you didn't show rules related to that.  If the SMTP traffic from your Exchange server is going through the Astaro Proxy, when the packet leaves it, the source is the IP of "External (Address)", so your traffic selector in the SNAT must be 'External (Address) -> SMTP -> Internet'.  If you are using the Proxy, then you don't need a DNAT.  If you are using a DNAT instead of the Proxy, you also probably want to use "SMTP instead of "Any" in its traffic selector.

    Normally, I would limit the packets selected by not using "Any" service in the traffic selectors, and then I would select auto packet filter rules.

    If your PBX is VoIP, and since you have a Network Security subscription (you said you set up a site-to-site VPN), then you might want to use the VoIP proxy instead of NAT rules.

    What is the reason for opening your Domain Controller to the public?

    Cheers - Bob
  • 0 in reply to BAlfson
    The server is a DC/Exchange 2010. In the Cisco world I would create a 1 to 1 nat rule for my DC/Exchange box and then only open the ports I want in the firewall rules. The purpose of this is to have my mail server go out on the right external public IP address that already has reverse DNS setup. It seems like every firewall on the planet has 1 to 1 NAT except for Astaro.

    This a great product. 1 to 1 NAT is essential.

    Once I start getting more familiar with the device I will start using the proxies. I could not get the VOIP one to work when I tried.
Reply
  • 0 in reply to BAlfson
    The server is a DC/Exchange 2010. In the Cisco world I would create a 1 to 1 nat rule for my DC/Exchange box and then only open the ports I want in the firewall rules. The purpose of this is to have my mail server go out on the right external public IP address that already has reverse DNS setup. It seems like every firewall on the planet has 1 to 1 NAT except for Astaro.

    This a great product. 1 to 1 NAT is essential.

    Once I start getting more familiar with the device I will start using the proxies. I could not get the VOIP one to work when I tried.
Children
No Data