Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 2856 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSec after DNAT

system-partner
Hi everyone,

We have 2 UTM120 Boxes with the current V9.106 firmware.

LAN on Site 1: 192.168.151.0/24
LAN on Site 2: 192.168.161.0/24
Both Sites are connected with an IPSec tunnel.

I need to NAT ftp-packets from the Internet arriving at the WAN Port on Site 1 through the tunnel onto a server at Site 2.

However the packets do not arrive. Any ideas on that?

thx, Chris


This thread was automatically locked due to age.
  • 0
    Hi, can you post a screenshot of your DNAT and related definitions and firewall rules?

    Have you checked the logs (IPS, Firewall)?

    Barry
  • 0
    Hi Barry,

    The DNAT rule is defined:
    - Source: Internet
    - Service: FTP
    - Going to: External WAN Address
    - Change Destination to: FTP_Server (Host Definition with IP in other Network)
    - Change Service to: FTP
    - Automatic Firewall Rule: on
    - Log Packets: on

    I have searched the firewall log files on both boxes. There are no dropped packets with a dstport=21
    The IDS logs are empty.

    In the live log, I can see that the NAT rule on the first firewall is triggered. But there is nothing on box 2.

    I also tried to check whats going on in the tunnel according to this manual: 
    Monitoring IPsec Traffic in Astaro Security Gateway Software
    I cannot see any port 21 packets in that output.

    Is there any special trick for routing into a ipsec tunnel?

    thx, Chris
  • 0
    Hi,

    IIRC, you also need to include port 20 for Active FTP.
    Try adding that to your DNAT, and checking the logs for port 20 traffic.

    Also, make sure the FTP Connection Track Helper is enabled (although that may only be for outgoing FTP).

    The "Change Service to:" field should be blank, btw.

    "Is there any special trick for routing into a ipsec tunnel?"

    I'm not sure. Hopefully Bob will see this.


    Barry
  • 0
    You must use a Full NAT instead of a DNAT in UTM 1, otherwise the FTP server sends an answer directly to the public IP of the client, and the UTM at site 2 doesn't route the response through the tunnel.

    Cheers - Bob
  • 0
    Hi Barry,

    That's interesting to hear that. They told me at the last Sophos Architect training, that the second port is completely managed by the connection helper and no separate rule is needed. Hmm...
    However, I am pretty sure that I should see some initial packets in the live log on Box2 coming in.
    Meanwhile I tried to run tcpdump on the LAN interface of Box2. No ftp packets are listed there.

    thx, Chris
  • 0
    Hi, Try Bob's Full NAT suggestion.

    Barry
  • 0
    hi there,
    thanks a lot! the full nat worked perfectly!