Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 2434 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNat from Internal to ip on far side of S2S Tunnel

TeBear77
I am attempting to create a dnat to the far side of a s2s vpn tunnel and this isnt' working

from the webadmin i can ping the far side host I am trying to get to 192.168.102.200

I want 10.10.1.3 to "spoof" per say being the 192.168.102.200 addy.



What I have done.

Setup an additional IP address on the internal interface 10.10.1.3 (As I want all services to be able to get to the remote host.)

created dnat rule

from internal network -> any service -> to additional ip 10.10.1.3
change the destination to 192.168.102.200.
Auto firewall rule



this is not working ... my understanding is if setting up a dnat rule to access an internal server from the internet would be

from internet -> port 80 (http) -> to external IP
change destination to: internal web server. 
auto firewall.

what am i missing?[:S]


This thread was automatically locked due to age.
  • 0
    Have you created a SNAT rule for 192.168.102.200 to change the source to 10.10.1.3?
  • 0 in reply to dilandau
    Have you created a SNAT rule for 192.168.102.200 to change the source to 10.10.1.3?


    SNAT 
    192.168.102.200 -> any -> any
    Source Translation: 10.10.1.3
    auto firewall

    yes this is created.
  • 0
    What i see in firewall log is (As I am attempting to telnet to 3389) 
    22:55:43 NAT rule #22 TCP
    10.10.1.121 : 53390

    10.10.1.3 : 3389
    [SYN]

    though I never see any return traffic... log initial packets is checked on both rules
  • 0 in reply to TeBear77
    What i see in firewall log is (As I am attempting to telnet to 3389) 
    22:55:43 NAT rule #22 TCP
    10.10.1.121 : 53390

    10.10.1.3 : 3389
    [SYN]

    though I never see any return traffic... log initial packets is checked on both rules


    10.10.1.121 is on one side of the tunnel and 10.10.1.3 is on the remote side? If they are in the same network on different sides of the tunnel I don't think it will work.

    It might be more clear if you show a screenshot or explain which networks you have specified for the remote and local networks in the vpn tunnel.
  • 0
    TeBear77 is one of my clients.  He called me about this yesterday afternoon, so I logged into his company's 220.

    There were two issues that aren't apparent here. (1) In the "Internal (Network)," the UTM V9 is not the default gateway for everyone.  (2) In the "IPsec Connection" definition, "Internal (Network)" is not listed in 'Local networks', only "DMZ (Network)" is.

    The solution was a Full NAT changing the source to an IP in "DMZ (Network)."

    Cheers - Bob