Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 2 subscribers
  • Views 2134 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Astaro Noob with NAT issues

MiamiTJ
I know this question has been asked before, in fact I've read through probably all of them but I am still having issues with this since I am new to Astaro ...

I have a client I've created a IPSEC Site-Site VPN tunnel for.  It connects and works just fine with one of my networks.  Unfortunately, the network I need this VPN to work through overlaps (IP addresses) with mine.  As I understand it, SNAT/DNAT is the way to resolve this but what I have done so far is not working.  I need to be able to use RDP from my site to connect to the clients site.

My info:

ASG 8.305

My LAN
10.11.0.0

Client LAN addresses I need to access
10.10.102.211---213 & 10.10.100.244

Any help is appreciated ...


This thread was automatically locked due to age.
  • 0
    Hi, MiamiTJ, and welcome to the User BB!

    If you are using 10.11.0.0/16 and the other side is 10.10.0.0/16, you have a different problem.  If you're both using 10.0.0.0/8, this is at least part of your problem.  Unless you're an IBM employee with an Astaro in your office working on a PC at AT&T, I'd suggest you change your subnet to something in 172.16.0.0/12 if this is an office outside your home, or in 192.168.0.0/16 if this is a home office.

    If you have an IP conflict that you can't avoid by changing your subnet, then you need D/SNATs on both sides.  Do you have control over the other side's router in order to be able to do that?

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi, MiamiTJ, and welcome to the User BB!

    If you are using 10.11.0.0/16 and the other side is 10.10.0.0/16, you have a different problem.  If you're both using 10.0.0.0/8, this is at least part of your problem.  Unless you're an IBM employee with an Astaro in your office working on a PC at AT&T, I'd suggest you change your subnet to something in 172.16.0.0/12 if this is an office outside your home, or in 192.168.0.0/16 if this is a home office.

    If you have an IP conflict that you can't avoid by changing your subnet, then you need D/SNATs on both sides.  Do you have control over the other side's router in order to be able to do that?

    Cheers - Bob



    Thank you for your response. Both sites are large networks with multiple sites where changing the ip addresses is not a possibility. Also, Unfortunatly, the client network is a .gov site and will probably not be willing to make many changed on their side. 

    Any other ideas?
  • 0
    There's a possible easy solution if we know the subnets are not 10.0.0.0/8 on both sides.  If they are, then you need an SNAT on your side and a DNAT on the other side for each server you need to reach.  Plus, you need a "phantom" subnet on each side to establish the VPN.  See How to tunnel between two ASGs having the same LAN network range .

    Give it a try and come back with pictures of what seems to not work.

    Cheers - Bob
  • 0 in reply to BAlfson
    There's a possible easy solution if we know the subnets are not 10.0.0.0/8 on both sides.  If they are, then you need an SNAT on your side and a DNAT on the other side for each server you need to reach.  Plus, you need a "phantom" subnet on each side to establish the VPN.  See How to tunnel between two ASGs having the same LAN network range .

    Give it a try and come back with pictures of what seems to not work.

    Cheers - Bob


    Whats the possible "easy" solution?
  • 0 in reply to MiamiTJ
    BAlfson, 

    Im looking at the example you linked but I am having trouble applying it to my needs.

    In my case, I need multiple PC's on my network to be able to RDP into a  single, individual terminal services server on the clients network.  The client will not be accessing anything on my network.

    How can I make this example fit?
  • 0
    We still don't know the subnets, so there might be an easier way.  If not, then the linked solution is the "classic" one to the exact problem you have.  One SNAT on your side for the three PCs (three SNATs if you need to be able to track different IPs on the other end) and one DNAT on the other side.

    What are the netmasks on each side?

    Cheers - Bob
  • 0 in reply to BAlfson
    We still don't know the subnets, so there might be an easier way.  If not, then the linked solution is the "classic" one to the exact problem you have.  One SNAT on your side for the three PCs (three SNATs if you need to be able to track different IPs on the other end) and one DNAT on the other side.

    What are the netmasks on each side?

    Cheers - Bob


    My network is 255.255.0.0 .  I am not sure what the clients network is.
  • 0 in reply to MiamiTJ
    Update:  apparently the only address I need to access on the clients network is: 10.10.100.244
  • 0
    Customer local network is 255.255.255.0 ...

    Is the "easier" solution possible?  I don't think the client is willing to NAT ...
  • 0
    Client LAN addresses I need to access
     10.10.102.211---213 & 10.10.100.244

    Customer local network is 255.255.255.0

    OK, I assume the underline should have been 100 also.
    My network is 255.255.0.0

    So, the subnets are disjoint; 10.11.0.0/16 doesn't overlap at all with 10.10.100.0/24.  This means that you have a different problem than the one being discussed above.

    First, confirm that the device at 10.10.100.244 uses the VPN device at its end as default gateway.  If that wasn't the issue, please [Go Advanced] below and attach a picture of your 'Site-to-site VPN tunnel status'.

    Cheers - Bob