Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 10481 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Best NAT method for Nested VPN on Draytek?

JohnKenny
I have Sophos UTM running with 5 pub ip's and a 2 port NIC for LAN and the 2nd port goes to the WAN port on a Draytek 2925.

I need to NAT all traffic from one pub ip through to the Draytek WAN, there is also a Lan to Lan IPSEC tunnel from this Draytek to a 2nd Draytek offsite.

I have set up a masq rule and an SNAT & DNAT rule which seemed to work, hosts behind the drayek could browse the web and the IPSEC tunnel connects and I can ping, RDP & access shares over the Draytek VPN.

But I cannot browse web servers on the remote LAN from hosts behind the draytek over the VPN.  I am trying to find out where the issue is as it seems weird that everything else seems to work except https & https.  On the Draytek VPN it doesnt apply the firewall to Lan to Lan VPN's so the only other place to look is sophos UTM and i cant see any obvious issues.  Like i said the IPSEC tunnel is connected so surely traffic is encapsulated in that?

Should I be using a different NAT method on the UTM for this scenario?  I am Natting one pub ip to a seperate port of a NIC which then goes directly to the Draytek WAN port?  How does 1:1 NAT & Full NAT work?  I cant find any decent articles explaining how to use these?

Can anyone help?

Thanks

JK


This thread was automatically locked due to age.
  • 0
    I can't "see" your topology, JK, but your question includes IPsec, DNAT and Full NAT.  I think you want Accessing Internal or DMZ Webserver from Internal Network.  If the accesses are going via a VPN, then you likely have to use the Full NAT approach instead of the DNS approach, but the problems are similar.

    Cheers - Bob
  • 0
    hmm ok ill take a look at that article.

    Basically i have 2 sites each have a draytek but one is behind a UTM.  I installed a 2 port NIC so the Draytek would have its own interface on the UTM.  Then I have an IPSEC VPN between the 2 Drayteks.  At the moment I managed to use SNAT & DNAT to NAT a public IP to the INT going to the Draytek.

    Does that explain my setup any better?

    What about 1:1 NAT? 

    Thanks

    JK
  • 0
    "1:1 NAT" is different that in Cisco-speak, JK.  I prefer to call it "subnet mapping" where, for example, you can have a "Destination" NAT that maps 92.238.180.128/29 to 172.16.11.32/29.  This allows you to replace 8 DNATs with a single NAT rule.  confd probably creates the same number of lines of code to run the UTM, but 1:1 makes for more elegant (yes, I majored in math [;)]) configurations.

    1:1 is not relevant to what you're trying to do, so I skipped right over it initially.

    Cheers - Bob