Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 10101 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Applying SNAT to traffic leaving an IPSec VPN

twiglet
Hello guys, hopefully someone can help me with my problem.

Picture the following topology

{client}  [network A]  [network B]  {internet}
. . . . . . . . . . . . USG 50. . . . . . . . . . . . Sophos UTM. . . . . . . . . . . . 

I have a client on network A that needs to get to a particular website on the internet using one of the IPs on the Sophos UTM WAN side.
I have a working tunnel between the two. The UTM is the router for network B and I have a ZyXEL USG 50 acting as the gateway for network A.
I have set up the following rules:

Where CLIENT is 10.10.10.1 and SERVER is 8.8.8.8

Traffic makes its way over the VPN fine. But the SNAT rule isn't applying. The following tcpdump was run on the UTM box. eth1 is my WAN interface:


So the traffic is leaving the WAN interface without the source address being rewritten. I have also tried adding a masquerading rule but this hasnt worked either.

What have i missed?

Thanks


This thread was automatically locked due to age.
Parents
  • 0
    If you want {one IP out on the internet} in the Tunnel, it must appear in 'Local Networks' and in the equivalent of 'Remote Networks' in the USG.  Apparently, there's still a NAT rule somewhere that's mucking things up.  You definitely should start by deleting the SNAT in your first post here, but I also suspect there's something still to be done in the USG.

    Cheers - Bob
Reply
  • 0
    If you want {one IP out on the internet} in the Tunnel, it must appear in 'Local Networks' and in the equivalent of 'Remote Networks' in the USG.  Apparently, there's still a NAT rule somewhere that's mucking things up.  You definitely should start by deleting the SNAT in your first post here, but I also suspect there's something still to be done in the USG.

    Cheers - Bob
Children
No Data