Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 2 subscribers
  • Views 4691 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Moving from DNATs and SNATs to a 1-1 NAT setup

BarryG
Hi,

I have a /24 public network routed to our HP DL360G5 running Astaro 7.5x.

Due to company policy, we're using a /24 RFC1918 network inside (e.g. 10.1.1.0/24), and there are now about 40 internal IPs.

This is quite a pain to manage the following:
a. 'additional' external addresses
b. DNATs
c. SNATs

My understanding is that 9.x has a 1 to 1 NAT system, although I do not have a network I can fully test it on, so I have some questions...

1. Can I convert my existing configuration?
I plan to use a spare HP server, install 9.x, import my 7.x config, and am hoping I can delete all the NATs and add a 1-1 NAT.

2. Do I still need all of the 'additional addresses' on the external NIC, or does the 1-1 NAT take care of this somehow?

If converting the existing configuration is not feasible, then I will probably want to try to setup SUM to pull in all my network & service definitions, so I can push them to a new firewall quickly.
Any foreseeable problems with that?

Thank you,
Barry


This thread was automatically locked due to age.
  • 0
    Barry,

    You can replace the D/SNATs with two 1-to-1 NATs.  I haven't tried defining a network on the External interface instead of individual Additional Addresses.  Can you experiment by defining a /31 and then seeing if the odd-numbered IP get's correctly NATted with a 1-to-1 destination NAT?  And then does the 1-to-1 source NAT also work without individual addresses?

    Cheers - Bob
  • 0
    Thanks Bob, I'll give that a try.

    Barry
  • 0
    Hi, 
    I'm trying to get the existing configuration (imported into 9.005 from 7.509) working as a test... deleted all the existing DNATs & SNATs, but I can't delete any existing 'additional addresses'. Even tried creating a new 'additional address', and I can't delete it either. I can't even de-activate it unless I disable the EXT interface. I also can't edit the EXT interface.

    Looks like I'm going to have to create a clean config (hopefully can use SUM for the definitions)... Downloading the SUM ESX image now, and will try the 1-1 NAT with a clean configuration before messing with SUM.

    Barry
  • 0
    Also, I'm not really sure how to configure the EXT interface...

    Our ISP gives us an address on a /30, and routes our public /24 to that address, so currently I have the /30 IP on the EXT interface, and have been using 'additional addresses' for all the /24 public IPs (which is a pain).

    I'm wondering if I can instead just put one of our /24 addresses on the EXT interface. 
    AFAICT from tcpdump, the packets all are destined for the /24 addresses.

    I may have to setup a full test network for all of this.

    Is anyone else doing 1-1 NAT, and if so, how do you have the EXT network configured?

    Barry
  • 0
    Barry,

    Not an Astaro solution but may help. I'm assuming the ISP already handles any BGP for you so that's not a concern.

    Have you considered putting in another router ahead of the UTM? Something like an Cisco 800 series that would have an IP address in the /30 and also an address in the /24? The router then acts as a gateway for the UTM which can take one of the /24's?

    Our ISP does exactly that on all our DSL circuits w/ static IP's. They give us a /29 for our use with their router on the first useable IP. The other side then get's whatever IP they chose to use and handles the BGP for us.

    I don't do any 1-to-1 NAT as six usable IP's is easy to manage but the basic idea is the same.
  • 0
    Barry, the more I think about it, the more it seems like your idea should work.  Even if you do wind up doing it like Drew says, it would be interesting to know if you can use any of the IPs with a /24 Additional Address. 

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
  • 0
    Hi Drew & Bob,

    If there is any BGP, the ISP is handling it.

    The /24 public IPs have been working as 'additional addresses' on the EXT interface, but I suspect they only work because the primary IP is the one on the /30.

    I am working on setting up something in our DEV ESXi system. The routing to/in ESXi may be tricky though.

    I'd rather not add a router as it'd be another single point of failure, and everything is in a colo in downtown LA, at least 1-2 hours away depending on traffic.

    If I can't get it working, I will try to talk to the ISP and see if we can work out a solution via routing.

    Also, I'm interested in doing HA failover (active-passive); the ISP can give me a second link to a redundant switch... would the external address configuration need to change for HA?

    Thanks!
    Barry
  • 0 in reply to BarryG
    Bump...

    Barry,

    Did you every come up with a solution?  I have a shop in a similar situation... migrating from 8.x to 9.x and have the same questions you posed here.

    I am trying to get on board with Astaro flavor 1:1 so I can delete much of the DNAT/SNAT/Full NAT stuff I have going on but I don't want to start from scratch unless it is absolutely necessary.

    MT>
  • 0
    Hi,

    I haven't put this in production, but afaict I'm going to still have to have all of the 'additional addresses' on the EXT/WAN interface. 

    The only difference is that I don't have to have all the DNATs anymore, and presumably not the SNATs.

    Also, I did import my 7.5x configuration into SUM, and then tried to delete all the NATs, etc. but things went badly.
    I decided to import all the definitions and rules into SUM, and plan to create a new configuration and move those settings in.

    Also, we have to re-number our (external) addresses as we're losing our IP space due to a corporate sale.

    If we get a new /24 or /25, I'm thinking of getting rid of all the NATs and using the new network internally. This would greatly simplify the configuration, but it means changing our site-to-site VPNs on the UTM end and on the remote Cisco end.

    Barry
  • 0
    Our company was sold and we lost our /16 including the /24 I was using for our web servers behind the UTM.

    We had to get a new /25 from our CoLo ISP.

    The good news is we no longer have the Corp. Policy requiring NAT, and I was able to convince our Network Manager that we shouldn't be NAT'ing this network anymore.

    So, we're now on 9.2x with NO NAT!

    (afaict, if we had kept the NAT, even with a 1-1 NAT I still would have had to add all the IPs as 'additional addresses' on the EXT NIC.)

    Barry