Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 2 subscribers
  • Views 11914 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Accessing internal website on external IP

mronald87
I think I'm missing a few steps here in creating a NAT to access a internally hosted website externally.

Here's what I have so far:

I've told our ISP to designate an external address for us (78.x.x.59). When a smartphone application connects to that address, I want them to access 10.62.149.115 internally. 

I've set up a DNAT Accordingly:

Traffic Source: Any
Traffic Service: Any
Traffic Destination: External (78.x.x.59) 
NAT Mode: DNAT
Destination 10.62.149.115
Destination Service: HTTP (1:65535 -> 80)
Log initial packets: yes
Automatic packet filter rule: yes

Whenever anyone externally tries to access the 78.x.x.59 address, nothing happens. I don't see it logged on the packet filter log. I can also ping 78.x.x.59 as well as its DNS, but when I traceroute it, it times out after about 15 hops on some unknown address. Our firewall external address is 78.x.x.60. Do I need to somehow include the firewall external address in this DNAT setup?


This thread was automatically locked due to age.
  • 0
    Do I need to somehow include the firewall external address in this DNAT setup?
    Yes, in the Traffic Destination field.  Reconfigure your DNAT as follows:

    Traffic Source: Any
    Traffic Service: HTTP
    Traffic Destination: External (WAN) (Address) built-in definition object (Icon looks like a NIC)
    NAT Mode: DNAT
    Destination 10.62.149.115 (internal natted LAN address of web server)
    Destination Service: Leave blank
    Log initial packets: yes
    Automatic packet filter rule: yes
  • 0 in reply to Scott_Klassen
    So here's the setup. I have the External card linked correctly. When I type my target external link in a browser it times out and I see no traffic getting in.
  • 0
    Two things come to mind:

    1)  Are you testing this from a WAN host?  You can't test hitting your WAN IP from within the LAN.

    2)  Check the network definition object for the web server.  The interface field should be set to the default of >.
  • 0 in reply to Scott_Klassen
    Yeah, I'm testing it from a home computer and also a smartphone on 3G. The network interface for the webserver is also bound to "any."
  • 0
    It's not clear from the pic you posted that you followed all of Scott's prescription: "Destination Service: Leave blank"

    Depending on the configuration, if there's a VPN set up, your devices might not be able to "see" the External IP.

    Cheers - Bob
  • 0
    Is 78.x.x.59 bound to the external interface? Do you have more than 1 official external ip address (=additional address)? What kind of internet connection do you have (ethernet, pppoe,....)?

    Regards
    Manfred
  • 0 in reply to Hallowach2
    Thanks for your help so far, here's a few more screenshots:

    78.x.x.59 is bound to the external firewall interface ip, 78.x.x.60. 59 is set up as an "additional" address. Do these seem right to everybody?

    And yes, it's an ethernet setup.
  • 0
    Hi, you say you're using .59, but your pics show .57

    Also, is the Traffic Destination the ADDRESS for the .57 'nic'?
    (I can't tell from the pic)

    Barry
  • 0 in reply to BarryG
    Yes it's the ADDRESS, and don't worry about the IP, I actually typo'ed in here. the 57 is correct. Sorry for the confusion.

    I'm new to Astaro configuration, but the way I understand it is that the External Network Interface (our astaro public IP, which ends in .60) is set up. Then we create an "additional address" external interface (the .57, or the one I want to work) and the .57 should be what I use in the NAT rule and it should accessible by typing in 78.x.x.57 address in a browser, correct?
  • 0
    Another bit of information: I can ping the 78.x.x.57 address from an external workstation, but when I do a traceroute, if fails on about 15 hops at some unknown address. I don't know if that helps anybody.