Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 4661 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SNAT Ignored

bhlockardd
Current Configuration: Bridge mode on x.x.x.0/24 subnet.  Default Gateway is outside the UTM at x.x.x.1 and goes to the county network.  The gateway is at x.x.x.253 bridged between internal network and county.

I have all county networks in the transparent mode skip list because the county requires our internal host addresses for certain applications which has typically worked fine.

Recently a new desktop application was deployed that uses port 80 and it is picking up the gateway address no mater what I do.

I setup an SNAT rule and it still does not work unless I SNAT the gateway interface.

Any help would be appreciated.

Dustin
ASG220 v9


This thread was automatically locked due to age.
  • 0
    Hi, you might need some static routing if you need to route the desktop app to the county WAN.

    Barry
  • 0
    My internal clients use the x.x.x.1 as their default GW, and they are resolving the correct IP for the service.

    SNAT rule that fails:
    Source: x.x.x.30
    Service: Any
    Destination: x.x.160.0/24

    Source: x.x.x.30
    Service:

    SNAT rule that works:
    Source: x.x.x.253 (Bridged interface)
    Service: Any
    Destination: x.x.160.0/24

    Source: x.x.x.30
    Service:

    I'm stumped, it should be passing the .30 address through as .30
  • 0
    I'm not sure I understand your problem, but your trying to do SNAT to change your x.x.x.30 to x.x.x.30? That's the same address and shouldn't need SNAT.
    Could you explain a bit more what you want to achieve?
  • 0
    I can't "see" your setup.  Please edit your posts to include enough octets in the IP addresses for us to be able to see if they all are private (10.x.x.253) or if the bridge is with an internal DMZ with public IPs. 

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
  • 0
    County 172.18.22.1      \
                                          > Bridge172.18.22.253 / 172.18.22.254 (ASG) > Internal Hosts ...
    Comcast 172.18.22.252 /

    Comcast is used for Email / Web servers.  Internal clients use 172.18.22.1 as their default GW.  This is a horrible set up but I am working to correct it and I must have NAT working correctly to begin.  We use the County for access to county level applications which must see our true IP, for example 172.18.22.30 is an authorized host, and access to the Internet for browsing etc.

    So when this new application that was deployed attempts to reach a county host in the 172.16.160.x subnet it picks up the gateway address even though county networks are in the transparent mode skip list (works fine for the other applications).  If I NAT 172.18.22.30 as described above it fails, if I NAT 172.18.22.253 as .30 it works.  It's like no matter what settings I make this application goes through the astaro and picks up the bridge interface address and the only way around it is to NAT the bridge which I do not want to do.
  • 0
    I don't see where the .160. subnet, the reason to bridge the ASG's interfaces or why, if they are bridged, a SNAT would be necessary. 

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
  • 0
    Well this kind of segways into the fact I don't want to be running in bridge mode, the vendor that installed it in 2008 did that.  I am working on unbridging but I have had several issues that will probably end up in another post, I digress.

    Everything upstream of  and including 172.18.22.1 is controlled by the County.  We are free to use the rest of 172.18.22.x however we want.  County applications residing upstream on the 172.16.160.x subnet have IP restrictions on them, so in another words, if I am trying to access a particular application, it must see my IP address of 172.18.22.30 in order to grant access.  If it saw 172.18.22.148 for example access would be denied.  We had to put the county's known subnets in the transparent skip list in web protection to allow us to access the applications and this has worked well for several years, but not with this desktop application that apparently uses port 80.

    172.16.160.x >>>> 172.18.22.1 (County Demarc) | ASG (Bridged) | Internal Network
  • 0
    I guess I would wonder why not delete the bridge, change the IP of the County interface to 172.18.22.30, change the Internal subnet to a /24 in 172.16.0.0/12 that the County reserves for you, masq 'Internal (Network) -> County' and create a Firewall rule 'Internal (Network) -> Any -> {all county subnets you need to reach} : Allow'.  You might need a Static Gateway Route '{all county subnets you need to reach} via 172.18.22.1' and one 'Internet via 172.18.22.252', but you probably already have the second one.

    Cheers - Bob
  • 0
    Ok so I've deleted the bridge and accomplished getting the three networks on their own interfaces.  So I now have LAN, County WAN, Comcast WAN.  I have my internal hosts SNAT'd to additional addresses on the county WAN interface, so I can access most county applications but this problem application either refuses to bypass the firewall or the web filter is picking it up despite any and every exception I can think of.
  • 0
    After checking the Web Filtering log, try #1 in https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/22065.

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.