Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 2 subscribers
  • Views 7212 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Static and Dynamic NAT

dijar86
Hello to everyone. I have an issue here and I will appreciate if someone helps me in this. I have Astaro Firewall and I have configured 2 interfaces local interface and WAN interface. My question now is this, how can I make dynamic translation of IP addresses of my computers into my public IP addresses pool or make translation to my WAN IP address look the network diagram of my network. Secondly I would like to make static NAT for my servers so that they will have every time the same public IP address for outgoing and ingoing traffic.



Before this firewall I have used Cisco Router 1840 and my configuration for NAT-ing is the following code:


ip nat pool dynamic X.X.65.1 X.X.65.62 netmask 255.255.255.192
ip nat inside source list permit pool dynamic overload
ip nat inside source static 10.10.0.128 X.X.65.63
ip nat inside source static 10.10.0.129 X.X.65.64
ip nat inside source static 10.10.0.134 X.X.65.65
ip nat inside source static 10.10.0.130 X.X.65.66
ip nat inside source static 10.10.0.200 X.X.65.67
ip nat inside source static 10.10.0.210 X.X.65.110
ip nat inside source static 10.10.0.222 X.X.65.111
ip nat inside source static 10.10.0.223 X.X.65.112
ip nat inside source static 10.10.0.180 X.X.65.120
ip nat inside source static 10.10.0.131 X.X.65.121
ip nat inside source static 10.10.0.150 X.X.65.123
ip nat inside source static 10.10.0.133 X.X.65.125
!
ip access-list standard permit
 remark SDM_ACL Category=2
 permit 10.10.0.0 0.0.0.127


This thread was automatically locked due to age.
  • 0
    Hi,

    First, your 'computers' can be handled with Masquerading... Masquerade LAN to WAN.


    1. is your ISP already routing the public address space to your Astaro's EXT address?

    if so, you COULD add all of the public addresses as "Additional IP Addresses" to the EXT interface.
    However, I would not recommend doing so, as 64 Additional addresses would be difficult to manage.

    INSTEAD,
    I would recommend adding a DMZ NIC to the firewall (or use a VLAN switch), and putting all of the Servers into the DMZ, and give them the public addresses.
    Then, you will need no NAT nor Additional Addresses on the firewall for them.

    There may be another way to do this, but I don't see it.

    Barry
  • 0
    Hi, dijar, and welcome to the User BB!

    You didn't say what kinds of servers these are and whether you want to use Webserver Protection to prevent Cross Site Scripting and SQL Injection while providing Cookie signing, URL Hardening, Form Hardening, Antivirus scanning and blocking of clients with bad reputation.  To do this, you will need to put Additional Addresses on your External interface, and then use Real and Virtual Server definitions to route the traffic instead of NAT rules.

    Cheers - Bob
  • 0
    Hi 

    Thank you for the quick reply. Thank you BarryG for the solution, but I cannot use VLAN, because I don't have switch that can handle VLAN. BAlfson my servers are FTP server, Streaming server and other computers, dream boxes that need static publi IP adresses. I think that now I am more clear to you.
  • 0
    If you have a lot of servers, I think you will want to hire your reseller (if they're good) to help you design the solution.  Or, is this a home-use situation?

    Cheers - Bob
  • 0 in reply to dijar86
    Hi 
    Thank you for the quick reply. Thank you BarryG for the solution, but I cannot use VLAN, because I don't have switch that can handle VLAN.


    Then you should add a NIC and a (non VLAN) DMZ switch, and put all the servers on it.

    I agree with Bob that you should get professional advice from a reseller (or a consultant if you're a home user).

    Barry
  • 0
    Having both the workstations and the servers on the same subnet in your case, is not the best way to go.
    I suggest adding at least one more NIC to the ASG box, and putting the servers on a separate LAN segment using an extra Ethernet switch.
    The workstations, as others have already suggested, can be dealt with by simply masquerading the workstation LAN behind the WAN interface.

    I would also suggest that you switch from using class "A" 10.fakenet address to using a class "C" 192.168. network.
    Unless you are going to have LAN segments with more than 250 machines on them, there is no advantage in using a class "A" address ranges.
  • 0 in reply to VelvetFog
    I would also suggest that you switch from using class "A" 10.fakenet address to using a class "C" 192.168. network.
    Unless you are going to have LAN segments with more than 250 machines on them, there is no advantage in using a class "A" address ranges.


    I disagree with that statement to some extent. Maybe if you're a small office with a few staff and no projected reason to grow. But if you have multiple branches and or subnets, using a Class A and subnetting it into Class C's makes more sense to my mind.

    I inherited the IT of an organization which ran under that theory for a number of years. The mess of Class C's is slowly being replaced with a coordinated networking scheme based off a Class A. Where we used to have 192.168.x. where x was some randomly assigned number with several overlaps, we now use a 10.x.y. where x refers to the division and y the specific branch within. Much easier to read reports when you know what those two octets refer to. [:)]
  • 0
    I'll chime in. [:)]

    It's common for homes and public hotspots to use 192.168 IPs, so we always prefer to avoid that for any business because of remote access and site-to-site concerns.  For small and medium businesses, we prefer to use the 172.16.0.0/12 range.  I wish we had the networking responsibility for our biggest customer (over 10,000 IPs in 80 areas with almost 1,000 locations in total) as they do have a need for using a 10. scheme to organize effectively.

    Cheers - Bob
  • 0
    This is not for home use and here were I live the reseller doesn't know how to solve this problem, so now I am left on my own to get a solution to this think same as I get solution with Cisco 1840 router. Please help!!!!
  • 0
    Bump. Has anyone find a solution for my problem?