Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 1551 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

1 to 1 NAT - WAN ip

Dylan123
Hi,

I wanted some extra security for a backup server.

So i setup an Astaro Security Gateway as follow:

I have a public ip range 1.2.3.4/26

So i added the ip 1.2.3.10 as an aditional ip
(Interfaces & Routing > Interfaces > Additional Addresses)

I created a DNAT and  SNAT rule.
The lan ip of the backup server is: 192.168.0.10

I can log in into the backup server (http, SSH, FT) from home.

However, i can not log in into the backup server from any machine that is
on the public ip range 1.2.3.4/26

If i ping the backup server from home i see this:

PING bu.***.com (1.2.3.10): 56 data bytes
64 bytes from 1.2.3.10: icmp_seq=0 ttl=55 time=15.643 ms
64 bytes from 1.2.3.10: icmp_seq=1 ttl=55 time=13.860 ms
64 bytes from 1.2.3.10: icmp_seq=2 ttl=55 time=15.604 ms
64 bytes from 1.2.3.10: icmp_seq=3 ttl=55 time=15.581 ms

So that is ok.

If i do a ping from on of the machines that is using an ip in the range 1.2.3.4/26 i see this:

PING bu.***.com (1.2.3.10): 56(84) bytes of data.
64 bytes from 192.168.0.10: icmp_seq=1 ttl=64 time=1.32 ms
64 bytes from 192.168.0.10: icmp_seq=2 ttl=64 time=0.212 ms
64 bytes from 192.168.0.10: icmp_seq=3 ttl=64 time=0.207 ms
64 bytes from 192.168.0.10: icmp_seq=4 ttl=64 time=0.242 ms
64 bytes from 192.168.0.10: icmp_seq=5 ttl=64 time=0.169 ms

So i think the reason that i can not connect to the backup server is that the lan ip (192.168.0.10) is shown here.

If you connect with SSH the machine is connecting to bu.***.com (1.2.3.10) and get a reply from 192.168.0.10.

Any help would be appreciated.


Thanks in advance,

Dylan


This thread was automatically locked due to age.
Parents
  • 0
    It's not clear to me what problem you are having or what you're trying to accomplish with the SNAT - or that the SNAT is even related to this issue.

    If you have an external network actually populated with machines that have IPs inside of "External (Network)" then that would seem to me to be a security hole.  But, if you have a NAT rule like 'Any -> Any -> External (WAN) [NAS-1] (Address) : DNAT to nasa', then you should be able to access the server just as you did from home.

    If you're still having issues, check the Firewall and Intrusion Prevention logs - anything interesting there?

    Cheers - Bob
  • 0 in reply to BAlfson
    I would not use 1.2.3.4  - it's used for the authentication client and my have some strange side effects
Reply Children
  • 0 in reply to papa__01
    Hi,

    Thanks for your replies.

    I will explain the setup again, to be shure to make it clear.
    The ip addresses are only examples.

    I have a public ip range 1.2.3.4/26 .
    Some servers are connected to these public ip's.

    I want some extra protection for a backup server.

    I connected the Astaro firewall and it is on ip 1.2.3.9

    I added the ip 1.2.3.10 as an aditional ip
    (Interfaces & Routing > Interfaces > Additional Addresses)

    Added the ip 192.168.0.10 to the backup server.

    I created a DNAT and SNAT rule, so 1.2.3.10 will go to 192.168.0.10.

    I can log in into the backup server for any ip outside the range 1.2.3.4/26
    with FTP and SSH.

    I can not log in into the backup server with FTP or SSH from a server with the ip 1.2.3.6 .

    I can ping the backup server from outside the 1.2.3.4/26 range.
    Result:
    PING bu.***.com (1.2.3.10): 56 data bytes
    64 bytes from 1.2.3.10: icmp_seq=0 ttl=55 time=15.643 ms

    I can ping the backup server from a server using the ip 1.2.3.6 .
    Result:

    PING bu.***.com (1.2.3.10): 56(84) bytes of data.
    64 bytes from 192.168.0.10: icmp_seq=1 ttl=64 time=1.32 ms

    The only reason i can imagine why i could not log in with FTP or SSH from inside the 1.2.3.4/26 range is that the LAN ip of the backup server is than not translated to the WAN ip 1.2.3.10.

    In this case you do a SSH request to 1.2.3.10 and the reply comes from 192.168.0.10.

    Any ideas would be appreciated.

    Kind regards,

    Dylan