Source NAT on UTM 9

I have to set this up too in a short while.
I think the right way is to create a SNAT rule where your original IP-address is SNATTED to the 172.18.x.x/29 address.
Traffic from: your own IP-addresses
Using service: any (or a more restricted set of protocols)
Going to: the IP-addresses on the remote site of the tunnel
Change the source to: the specified 172.18.x.x/29 address.

If you have a lot of clients where you have to do this (actually you have max. 8 IP-addresses with /29) you could perhaps also use 1:1 NAT with map source so you can catch it in just one rule.

I think this should work as the UTM first does NAT before anything else. I think in this case however you need to specify the 172.18.x.x/29 as your local subnet in the VPN setup.

Please let us know if this indeed does work as expected (then I know my thinking was good) [;)]

Hi, if you mean for the systems inside your firewall, then you can do a SNAT.

Balfson has lots of posts about NAT'ing VPNs... 
https://www.google.com/search?q=snat+OR+nat+vpn+balfson+site%3Aastaro.org

Barry

Hi, I don't think doing it on the external interface is a good idea, then how is the remote end going to respond?

Also, responsible ISPs won't allow those addresses onto the internet.

Barry

If you specify "Going to" to be the remote subnet of the tunnel, wouldn't UTM route it into the tunnel in stead of to the external interface?

Hi,

I think that'd bread the VPN traffic.

I believe an SNAT for the LAN/DMZ hosts should have the desired effect, and probably be less confusing.

Barry

Just tried this on another VPN-tunnel I have running and it seems to work as I wrote above.
When selecting SNAT under Advanced you can (and must) select "Rule applies to IPsec packets" otherwise it doesn't work.

In fact I think we are talking about the same, SNATting the LAN addresses to the specified addresses that the other party requests to use.

The other trick is that you can't have 'Strict routing' selected for an IPsec tunnel.

Cheers - Bob