Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 5947 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Type of NAT for Cisco ASA's static identity NAT

MartinBozko
Hello
I am migrating Cisco ASA + Microsoft TMG firewall to Sophos UTM SG210 v9.305.
I have many DMZ zones.
Zone DMZ1 is connected to Cisco ASA and servers in this zone have public IP adresses.
Cisco ASA is doing static NAT to same IP address. Example:
static (rtc,outside) EXT-RTC01 EXT-RTC01 netmask 255.255.255.255

How can I do it with Sophos UTM 9.3?
Is it possible to do it with one rule per server?

Other DMZ2 zone have internal adresses 192.168.x.x and my Sophos NAT rules are:
DNAT from IPv4 internet, any service, to additional public IP fo UMT, change destination to real server address, no auto fw rule
SNAT from real server address, any service, to IPv4 internet, change destination to additional public IP fo UMT, no auto fw rule
I have DNAT+SNAT rules for all DMZ2 servers.

Can it be done easier?
Can I use FullNAT on DMZ1 or DMZ2?

Thanks
Mato


This thread was automatically locked due to age.
  • 0
    Mato, as you suspected, a Full NAT is not the same as a combination of DNAT and SNAT.

    If DMZ1 has servers with public addresses, the simplest approach is to create an interface in WebAdmin for that - no need for the Cisco ASA or any rules other than firewall allow rules in the UTM.  WebAdmin will create the necessary routes.  For example, if your servers are in 195.196.133.32/27, have your ISP route that subnet to the IP of "External (Address)" and define, for example, a DMZ1 interface 195.196.133.33.

    Cheers - Bob
  • 0
    Hi, the UTM can do a 1 to 1 NAT, if you have the same size network on each interface.

    Is that what you want?

    I agree with Bob that avoiding all NAT is usually better.

    Barry
  • 0
    Hi,

    Identity NAT is something specific to Cisco, but this can be sorted out with Sophos UTM. So basically what Identity NAT does is allows the network or network nodes to represent their true IP address even if there are NAT rules present for a specific traffic flow.

    Cisco ASA 5500 Series Configuration Guide using the CLI, 8.4 and 8.6 - Information About NAT [Cisco ASA 5500-X Series Next-Generation Firewalls] - Cisco

    The best way to avoid this is by creating NO NAT rules for the networks you want not to be NATted when communicating. You can create host groups, network groups and simply put them as source and destination networks when creating the NO NAT rule. Make sure that this rule always stays on top of your NAT table.

    Hope this helps.

    P.
  • 0
    BAlfson
    Is this config OK?
    1.1.1.x are my public IPs.
    Outside interface: 1.1.1.30/26 (range 1.1.1.0-63 - my whole public IP range)
    DMZ1 interface: 1.1.1.25/29 (range 1.1.1.24-31)
    Server in DMZ1 has IP 1.1.1.26/29 and default gateway is 1.1.1.25

    Do I need to create Additional Adresses in webadmin for server 1.1.1.26? (like attached picture?)
    If yes, what "ON INTERFACE" in webadmin? Outside or DMZ1 interface?

    If no, 
    I will use only firewall rules like:
    source:ANY - services:HTTPS - destination:HOST 1.1.1.26?
  • 0
    Your suggested approach would work if "Outside (Network)" did not include "DMZ1 (Network)."  The subnet for the Outside interface does not need to include the default gateway. Better would be, for example:

    Outside interface: 1.1.1.1/27 default gateway 1.1.1.254
    DMZ1 interface: 1.1.1.33/27


    If you create a DMZ with public IPs, you DO NOT add those IPs to the Outside interface.  Additional Addresses should only be used with DNAT rules to internal, private IPs.

    Cheers - Bob
  • 0
    Thanks for answers.
    >Your suggested approach would work if "Outside (Network)" did not include "DMZ1 (Network)."
    I am migrating from Cisco PIX and I can not change public IPs.
    So my Outside IP and mask (1.1.1.) INCLUDE DMZ1 IP and mask. I can not change it.
    I need to NAT to Outside adresses from below  (1.1.1.8) and over DMZ1 network (1.1.1.60).
    How can I use public IPs (1.1.1.26-30/29) on DMZ1 (1.1.1.25)?
  • 0
    I was just giving you an example.  I can't give you exact instructions without knowing what public IPs you now currently NAT to internal, private IPs.

    Cheers - Bob