Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 3 subscribers
  • Views 13394 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNAT IPv6 outside IPv4 inside, packet dropped

Bart van Kampen
Hi all,

I'm trying to reach my webserver, wich is behind a UTM 9.308. 
The WAN side of the UTM is IPv6, and the LAN side is IPv4. 

I've added a DNAT rule, to change the destination that reaches my UTM on port 80, to the internal network.

I've also added an Any to Any allow rule in the Firewall (for excluding the firewall from this problem). But I still get an Default Drop. 

When I search on the internet, I've found some website that tells me that my DNAT rule isn't good. But I don't really see the problem, can you guys help me out?

See the attached image for the UTM settings / logs. 

Thanks (again),
Bart

Network:
Host (::5)  WAN UTM (::11)  LAN UTM (192.168.22.1)   Server (192.168.22.12)


This thread was automatically locked due to age.
  • 0
    Bart, your answer probably lies in #3 through #5 in Rulz.

    Cheers - Bob
    PS In the future, please copy and paste an actual log line with 10.1.1.22 changed to 10.x.y.22, etc. so that the information is retained without revealing too much.  When posting a line from the firewall log, use only the line from the full Firewall log file.  Unlike the other Live Logs, the Firewall Live Log omits the details needed to analyze a problem.  Instead of a combined picture that's almost impossible to decipher, please attach the full-resolution images in several separate smaller files.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hello Bob,

    Thanks for your quick respons.
    I've changed the DNAT rule from Going to: WAN (Network) to WAN (Address) according to Rulz #4. But still I get a Default Drop. 

    The WAN interface has also an IPv4 adress for testing purpose, and if I connect to the IPv4 address, no Default Drop is show. 
    See the Firewall log below:


    IPv6 (Default Drop)
    2015:06:10-23:54:13 fw2-2 ulogd[6828]: id="2000" severity="info" sys="SecureNet" sub="packetfilter" name="Packet logged" action="log" fwrule="62002" initf="eth0" srcmac="00:0c:29:32:69:12" dstmac="00:1a:8c:f0:66:e0" proto="6" length="72" srcip="2001:***:***:***:***::5" dstip="2001:***:***:***:***x::11" hlim="64" srcport="49174" dstport="80" tcpflags="SYN" 
    2015:06:10-23:54:13 fw2-2 ulogd[6828]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="00:0c:29:32:69:12" dstmac="00:1a:8c:f0:66:e0" proto="6" length="72" srcip="2001:***:***:***:***::5" dstip="2001:***:***:***:***x::11" hlim="64" srcport="49174" dstport="80" tcpflags="SYN" 
    2015:06:10-23:54:14 fw2-2 ulogd[6828]: id="2000" severity="info" sys="SecureNet" sub="packetfilter" name="Packet logged" action="log" fwrule="62002" initf="eth0" srcmac="00:0c:29:32:69:12" dstmac="00:1a:8c:f0:66:e0" proto="6" length="72" srcip="2001:***:***:***:***::5" dstip="2001:***:***:***:***x::11" hlim="64" srcport="49174" dstport="80" tcpflags="SYN" 
    2015:06:10-23:54:14 fw2-2 ulogd[6828]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="00:0c:29:32:69:12" dstmac="00:1a:8c:f0:66:e0" proto="6" length="72" srcip="2001:***:***:***:***::5" dstip="2001:***:***:***:***x::11" hlim="64" srcport="49174" dstport="80" tcpflags="SYN" 
    2015:06:10-23:54:16 fw2-2 ulogd[6828]: id="2000" severity="info" sys="SecureNet" sub="packetfilter" name="Packet logged" action="log" fwrule="62002" initf="eth0" srcmac="00:0c:29:32:69:12" dstmac="00:1a:8c:f0:66:e0" proto="6" length="68" srcip="2001:***:***:***:***::5" dstip="2001:***:***:***:***x::11" hlim="64" srcport="49174" dstport="80" tcpflags="SYN" 
    2015:06:10-23:54:16 fw2-2 ulogd[6828]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="00:0c:29:32:69:12" dstmac="00:1a:8c:f0:66:e0" proto="6" length="68" srcip="2001:***:***:***:***::5" dstip="2001:***:***:***:***x::11" hlim="64" srcport="49174" dstport="80" tcpflags="SYN" 

    IPv4 (No Default Drop)
    2015:06:10-23:58:45 fw2-2 ulogd[6828]: id="2000" severity="info" sys="SecureNet" sub="packetfilter" name="Packet logged" action="log" fwrule="62002" initf="eth0" srcmac="00:0c:29:32:69:12" dstmac="00:1a:8c:f0:66:e0" srcip="10.10.10.2" dstip="10.10.10.1" proto="6" length="52" tos="0x02" prec="0x00" ttl="128" srcport="49176" dstport="80" tcpflags="SYN" 


    IPv6 is killing me [8-)]
  • 0
    The trouble with a DNAT is that it changes only the destination.

    What happens if you try a Full NAT, changing the source to the IPv4 "Internal (Address)?"

    What happens if you add with your DNAT an 'SNAT : Any -> HTTP -> {192.168.22.12} : from {192.168.22.1}'?

    Cheers - Bob
    PS It's a bit confusing when you change the IPs in the same thread - 10.10.10.0/24 or 192.168.22.0/24 does let us know we're talking about IPs on the LAN though, so that's good!
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hello Bob,

    Tried the Full NAT, and the SNAT rule, but still the same results....

    EDIT:
    Just tried to make the NAT rule more specific, so a Full NAT with the 'For traffic from' with an Any IPv6 and an rule with the For Traffic From with an Any IPv4 rule.
    But when I try to create the Any IPv6 rule, il get an error:
    Cannot create NAT rules changing IP address family.

    Do I miss something, or is the UTM not capably of IPv6 NAT to IPv4?
  • 0
    Do I miss something, or is the UTM not capably of IPv6 NAT to IPv4? 

    I believe you have proven that to be the case, Bart. [;)]

     Show us a few lines of the following at the command line while you are trying to get to your server from the outside while you have the suggested Full NAT in place:

    tcpdump -n -i eth0 dst 192.168.22.12


    Please edit the Full NAT and attach it to your next post.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I'm not certain that you can do IPv4  IPv6 conversion like this.  It'll work fine if you setup IPv6 internally as well and run dual-stack.  I've hosted IPv6 SMTP and Web sites before in this way.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0 in reply to BAlfson
    I believe you have proven that to be the case, Bart. [;)]

     Show us a few lines of the following at the command line while you are trying to get to your server from the outside while you have the suggested Full NAT in place:

    tcpdump -n -i eth0 dst 192.168.22.12


    Please edit the Full NAT and attach it to your next post.

    Cheers - Bob

    Thanks Bob for the answer. I'll will try & post the tcpdump if I'm at home. 


    I'm not certain that you can do IPv4  IPv6 conversion like this.  It'll work fine if you setup IPv6 internally as well and run dual-stack.  I've hosted IPv6 SMTP and Web sites before in this way.

    Thanks Scott, I'll ask I've they will add an IPv6 address to the webserver. The NAT rules will still be the same?
  • 0
    You might also use Web Server Protection (if licensed) or a generic proxy rule...
    There you can translate between IPv4 and v6.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to scorpionking
    You might also use Web Server Protection (if licensed) or a generic proxy rule...
    There you can translate between IPv4 and v6.


    Hi Scorpionking,

    It looks like the Web Protection think works, no more default drops.
    But the problem now is that I get the message in my browser:
    Forbidden
    You don't have permission to access / on this server

    Can you explain to me how you have set up the Web server Protecion?


    I believe you have proven that to be the case, Bart. [;)]

     Show us a few lines of the following at the command line while you are trying to get to your server from the outside while you have the suggested Full NAT in place:

    tcpdump -n -i eth0 dst 192.168.22.12


    Please edit the Full NAT and attach it to your next post.

    Cheers - Bob


    Hi Bob,

    No packets are captured on eth0 (WAN interface) for the 192 (LAN interface) adress.
  • 0
    Solution:
    With the Webserver Protection (WAF), I've managed to reach the Webserver with an Internal IPv4 adress, over an IPv6 WAN. 
    You don't need any NAT rules (disabled them all, and it is still working).


    Thanks guys for helping!
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML