Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 1549 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

1 to 1 NAT - WAN ip

Dylan123
Hi,

I wanted some extra security for a backup server.

So i setup an Astaro Security Gateway as follow:

I have a public ip range 1.2.3.4/26

So i added the ip 1.2.3.10 as an aditional ip
(Interfaces & Routing > Interfaces > Additional Addresses)

I created a DNAT and  SNAT rule.
The lan ip of the backup server is: 192.168.0.10

I can log in into the backup server (http, SSH, FT) from home.

However, i can not log in into the backup server from any machine that is
on the public ip range 1.2.3.4/26

If i ping the backup server from home i see this:

PING bu.***.com (1.2.3.10): 56 data bytes
64 bytes from 1.2.3.10: icmp_seq=0 ttl=55 time=15.643 ms
64 bytes from 1.2.3.10: icmp_seq=1 ttl=55 time=13.860 ms
64 bytes from 1.2.3.10: icmp_seq=2 ttl=55 time=15.604 ms
64 bytes from 1.2.3.10: icmp_seq=3 ttl=55 time=15.581 ms

So that is ok.

If i do a ping from on of the machines that is using an ip in the range 1.2.3.4/26 i see this:

PING bu.***.com (1.2.3.10): 56(84) bytes of data.
64 bytes from 192.168.0.10: icmp_seq=1 ttl=64 time=1.32 ms
64 bytes from 192.168.0.10: icmp_seq=2 ttl=64 time=0.212 ms
64 bytes from 192.168.0.10: icmp_seq=3 ttl=64 time=0.207 ms
64 bytes from 192.168.0.10: icmp_seq=4 ttl=64 time=0.242 ms
64 bytes from 192.168.0.10: icmp_seq=5 ttl=64 time=0.169 ms

So i think the reason that i can not connect to the backup server is that the lan ip (192.168.0.10) is shown here.

If you connect with SSH the machine is connecting to bu.***.com (1.2.3.10) and get a reply from 192.168.0.10.

Any help would be appreciated.


Thanks in advance,

Dylan


This thread was automatically locked due to age.
  • 0
    Hi, please post details or a screenshot of the SNAT.

    Barry
  • 0 in reply to BarryG
    Hi Barry,

    Thanks for your reply.

    SNAT details:

    Group: nasa
    Position: 3
    Trafic Source: nasa (192.168.0.10/32)
    Traffic Service: Any
    Traffic Destination: Internet IPv4
    NAT mode: SNAT (Source)
    Source: External External (WAN) [Nas-1] (Address)
    Address of alias "nb1" on interface "External (WAN)" 1.2.3.10

    Kind regards,

    Dylan
  • 0
    Nas-1 and nb1 are the same thing?

    The only thing I can think of is that maybe the Internet IPv4 definition isn't effective for the External "LAN"; maybe try ANY instead for the Destination.

    Barry
  • 0
    Hi, Dylan, and welcome to the User BB!

    However, i can not log in into the backup server from any machine that is on the public ip range 1.2.3.4/26

    I wonder if you might not need a Full NAT...  See: Accessing Internal or DMZ Webserver from Internal network: Astaro Security gateway.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi,

    Thanks for your replies.

    I tried your suggestions, but i still have the same issues.

    So i can log in into the backup server from any location, but i can not log in whit a server that is using the an ip that is on the same range that is assigned as aditional address to the wan.

    The reason for that is that the internal ip (192.168.0.10) is than not translated to the external ip (1.2.3.10).

    So if i do a ping from an ip that is on the same range as the added wan ip i get:

    PING bu.***.com (1.2.3.10): 56(84) bytes of data.
    64 bytes from 192.168.0.10: icmp_seq=1 ttl=64 time=1.32 ms
    64 bytes from 192.168.0.10: icmp_seq=2 ttl=64 time=0.212 ms

    From my home lcation i get:

    PING bu.***.com (1.2.3.10): 56 data bytes
    64 bytes from 1.2.3.10: icmp_seq=0 ttl=55 time=15.643 ms
    64 bytes from 1.2.3.10: icmp_seq=1 ttl=55 time=13.860 ms

    Any ideas to solve this?

    Kind regards,

    Dyland
  • 0
    It's not clear to me what problem you are having or what you're trying to accomplish with the SNAT - or that the SNAT is even related to this issue.

    If you have an external network actually populated with machines that have IPs inside of "External (Network)" then that would seem to me to be a security hole.  But, if you have a NAT rule like 'Any -> Any -> External (WAN) [NAS-1] (Address) : DNAT to nasa', then you should be able to access the server just as you did from home.

    If you're still having issues, check the Firewall and Intrusion Prevention logs - anything interesting there?

    Cheers - Bob
  • 0 in reply to BAlfson
    I would not use 1.2.3.4  - it's used for the authentication client and my have some strange side effects
  • 0 in reply to papa__01
    Hi,

    Thanks for your replies.

    I will explain the setup again, to be shure to make it clear.
    The ip addresses are only examples.

    I have a public ip range 1.2.3.4/26 .
    Some servers are connected to these public ip's.

    I want some extra protection for a backup server.

    I connected the Astaro firewall and it is on ip 1.2.3.9

    I added the ip 1.2.3.10 as an aditional ip
    (Interfaces & Routing > Interfaces > Additional Addresses)

    Added the ip 192.168.0.10 to the backup server.

    I created a DNAT and SNAT rule, so 1.2.3.10 will go to 192.168.0.10.

    I can log in into the backup server for any ip outside the range 1.2.3.4/26
    with FTP and SSH.

    I can not log in into the backup server with FTP or SSH from a server with the ip 1.2.3.6 .

    I can ping the backup server from outside the 1.2.3.4/26 range.
    Result:
    PING bu.***.com (1.2.3.10): 56 data bytes
    64 bytes from 1.2.3.10: icmp_seq=0 ttl=55 time=15.643 ms

    I can ping the backup server from a server using the ip 1.2.3.6 .
    Result:

    PING bu.***.com (1.2.3.10): 56(84) bytes of data.
    64 bytes from 192.168.0.10: icmp_seq=1 ttl=64 time=1.32 ms

    The only reason i can imagine why i could not log in with FTP or SSH from inside the 1.2.3.4/26 range is that the LAN ip of the backup server is than not translated to the WAN ip 1.2.3.10.

    In this case you do a SSH request to 1.2.3.10 and the reply comes from 192.168.0.10.

    Any ideas would be appreciated.

    Kind regards,

    Dylan
  • 0
    Dylan, your DNAT is the only thing implicated here. Please [Go Advanced] and attach a picture of that. Also, please confirm that the Host definition for "NASA" has 'Interface: >' and is not bound to a specific Interface.  

    Did you check those two logs?

    Cheers - Bob

    Sorry for any short responses!  Posted from my iPhone.
  • 0 in reply to BAlfson
    Hi,

    Thanks for your reply.

    I solved this meanwhile.
    There was an ip of the public ip range configured on eth1.
    After removing that the issue was solved.

    Thanks for your support.

    Kind regards,

    Dylan