Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 5430 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Multi-WAN NATting

ddreier
I have always been a fan of Astaro since I first hear an ad for them on the Security Now podcast. So I was really excited to have the opportunity to finally get to use one! But now, 12 hrs in the excitement has subsided considerably.

We have two 'net connections, a T1 from AT&T with a /9 of addresses. We use it only for public access to a web server. Then we also have a cable internet connection with only 1 IP, and it's used for all other internet access from the office.

What I'm having trouble with is replicating this behavior with our brand new UTM 110 running v8.

Here's how I have it set up:
eth0: Cable internet, External (TWC), default gateway
eth1: Internal
eth2: DMZ, hooked directly to a WAP, not really important for this discussion
eth3: T1, External (ATT), plus an "additional address" for the public IP of the web server.

There's a masquerade set up for Internal to TWC, and a firewall rule for Internal -> Any allowed.
Following the "port forwarding" tutorial on the Sophos site, I set up a DNAT:
Traffic Source: Any 
Traffic Service: Any
Traffic Destination: External (Public WWW address)
NAT Mode: DNAT (destination)
Destination: Web server
Destination Service: left blank

I then created firewall rules to allow HTTP and HTTPS to the Web Server (not the public IP).

After that didn't work I tried adding something from another tutorial I found online (Astaro Security Gateway – SNAT, DNAT, 1-to-1 NAT and Full NAT – HowTo » The time I've wasted on technology... | The time I've wasted on technology...) and added an SNAT:
Traffic Source: Web Server 
Traffic Service: Any
Traffic Destination: Internet IPv4
NAT Mode: SNAT (Source)
Source: External (Public WWW IP)
Source Service: left blank

So, am I doing something wrong? The problem is that even though I can see the NATs triggering ing the fw log, the web server can't get traffic out, and traffic from the 'net doesn't make it in. 
Would it just be easier to make the External (ATT) interface have the Public WWW Address instead of the one it does? I'm completely at a loss, and 12+ hrs of downtime trying to get this working doesn't look too great.

Thanks in advance for any help!


This thread was automatically locked due to age.
Parents
  • 0
    Hello, and welcome to the User BB!

    Great description of what you've done, and everything you did looks correct, but you didn't tell us your problem. [:O]

    I'll guess that it's related to your description of the SNAT.  You might be missing a route; check out Policy Route - a second WAN Connection.  That uses another masquerading rule, but your SNAT is just as good in this case, and just adding the policy route should get you going.

    The above is the "classic" solution for a second connection.  The newer alternative is 'Uplink Balancing' with 'Multipath Rules'.

    Cheers - Bob
  • 0 in reply to BAlfson
    Great description of what you've done, and everything you did looks correct, but you didn't tell us your problem. [:O]


    Doh! I was so busy trying to make sure that I was describing correctly that I forgot about that! I've added it to the OP, and here it is: The problem is that even though I can see the NATs triggering ing the fw log, the web server can't get traffic out, and traffic from the 'net doesn't make it in.

    I'll guess that it's related to your description of the SNAT. You might be missing a route; check out http://www.sophos.com/en-us/support/knowledgebase/115135.aspx. That uses another masquerading rule, but your SNAT is just as good in this case, and just adding the policy route should get you going.


    That article is about routing from another LAN, but my web server is on the same (Internal) interface. Can I create a policy route like:
    Route Type: Gateway Route 
    Source Interface: Internal
    Source Network: Web Server 
    Service: Any 
    Destination: Any 
    Gateway: External (ATT)

    with a masq like:
    Network: Web Server
    Interface: External (ATT)

    Would that work? I know that the "Web Server" isn't a network, but will the ASG recognize what I really want to happen? Which is that all traffic to/from the Web Server (on the Internal network) goes out External (ATT) not External (TWC).
Reply
  • 0 in reply to BAlfson
    Great description of what you've done, and everything you did looks correct, but you didn't tell us your problem. [:O]


    Doh! I was so busy trying to make sure that I was describing correctly that I forgot about that! I've added it to the OP, and here it is: The problem is that even though I can see the NATs triggering ing the fw log, the web server can't get traffic out, and traffic from the 'net doesn't make it in.

    I'll guess that it's related to your description of the SNAT. You might be missing a route; check out http://www.sophos.com/en-us/support/knowledgebase/115135.aspx. That uses another masquerading rule, but your SNAT is just as good in this case, and just adding the policy route should get you going.


    That article is about routing from another LAN, but my web server is on the same (Internal) interface. Can I create a policy route like:
    Route Type: Gateway Route 
    Source Interface: Internal
    Source Network: Web Server 
    Service: Any 
    Destination: Any 
    Gateway: External (ATT)

    with a masq like:
    Network: Web Server
    Interface: External (ATT)

    Would that work? I know that the "Web Server" isn't a network, but will the ASG recognize what I really want to happen? Which is that all traffic to/from the Web Server (on the Internal network) goes out External (ATT) not External (TWC).
Children
No Data