Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 2297 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

(S)NAT from DMZ to WAN + Masquerading priority

MartinB
As i get a bit confused with the (S)NAT setting ons the ASG, what would be the correct way to build a rule for SNAT from a DMZ Mail Server (DMZ1) to IP WAN2, so that only SMTP traffic to WAN will be (S)NATed. Traffic to LAN and other interfaces should be untouched.

Will this rule do:
Traffic source: DMZ1
Traffic Service: SMTP
Traffic Dest: ANY ( WAN 
use primary address

Martin


This thread was automatically locked due to age.
  • 0
    Hi, Martin, and welcome to the User BB!

    In fact, you also would need a Policy Route, and the issues change if you're using the SMTP Proxy.  There's information in the Astaro KnowledgeBase about using Policy Routing to force traffic out a second WAN connection.

    First, I suggest you read a recent thread: Multipath Rules vs Static Routing (Policy Routes) ?

    If you do want to use muktipathing instead of routing, then you'll want to implement cney's suggestion: Uplink Balancing and SMTP.

    Cheers - Bob
    PS SNAT is the last thing that happens before a packet leaves an interface, so, if you're using the SMTP Proxy and you choose the SNAT+Routing approach, your NAT rule will look like 'WAN1 (Address) -> SMTP -> Internet : SNAT from WAN2 (Address)'.
  • 0 in reply to BAlfson
    Thanks for your answer BAlfson.

    Maybe my question wasn't clear so i will try again. 
    I do not want to route through a second WAN interface. I just want to SNAT our 2 SMTP Servers (and a few other Servers too) in the DMZ through different IPs on the WAN interface. 
    What i want to have is:
    DMZ Server 1 uses WAN IP2
    DMZ Server 2 uses WAN IP3
    and so on ...
    but all other traffic, regardless if it is from LAN, DMZ or our 2nd DMZ should use the primary WAN address for outgoing traffic.
    So what i thought was configuring a masquerading rule covering all networks and then doing 1 SNAT/DNAT for every Server/Service that should use a different WAN IP.

    And to match "ANY" on WAN only, will "Internet IPv4" be the network object to use? 

    I have to configure the ASG "standalone", without networks connected, so i cannot test it until we replace our old firewall in production environment. And the NAT rule configuration on our old one is a bit different and the ASG manual doesn't give a hint which rules are matched first, there is only mentioned that DNAT is done before packet filter.

    Edit: The ASG is not the SMTP proxy. Those are different servers.
  • 0
    You should use the Internet Ipv4 Object. Thus means only Traffic via extern IS natted.