Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 2101 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN/IPSec: SNAT and Routing Problems

oliver.desch
Dear Astaro users,

with one of the last Up2Dates we have revised the vpn part of our firewall solution. VPN routing was corrected or better improved. It came to my attention that many users have tricky SNAT/DNAT configurations to push certain packets into a tunnel and others have set up CLID netmasks for local and remote networks. 

SNAT and DNAT is not working anymore since routing takes place before NATting.
The routing solution is not working anymore since the source address is inspected as well.

     Please note, that's not a bug and will not be changed!   

But for those who need an urgent solution we have as always a workarround.

Those who are effected from the routing problem can edit /var/chroot-ipsec/opt/_updown line 66, add a # before IPROUTETABLE=42 (comment it)

Those who are affected by the SNAT problem can edit /var/chroot-ipsec/opt/_updown line 125 delete the words 'from $PLUTO_MY_CLIENT' in the middle of the line.

-> Restart IPSec within WebAdmin

  Please keep in mind that your changes may be overwritten by a future Up2Date. We strongly recommend to resolve the SNAT/DNAT and routing problems by setting up you networks in a correct manner     

read u
o|iver


This thread was automatically locked due to age.
  • 0
    Hi!

    I have problem with VPN/NAT as you can see in post #30520
    Suggestion to resolve problem is:
    "reconfigure your network" or
    "set up you networks in a correct manner"

    What do you mean by this?
    How to reconfigure networks if I have class A 10.0.0.0 and
    remote site has same address space?
    Remote site is outsourcing firm, which will not change their IP's because of us.
    Since they are accessing to our server(s), I should change server IP's!?
    That is really not very good solution for me.

    Is there any possibility to set up tunnel between two sites with same IP's?

    Thanks

      
  • 0 in reply to radar_01
    They need an entire 10.0.0.0 network to access your servers? I really doubt that. You can set up your IpSec so that an unused part of their network maps to an unused part of your network. I mean, you don't use all 16581375 ips in your net.
      
  • 0 in reply to Vukasin
    i know its a definate inconvinience, but with dhcp it should take more than an hour or so to redo your internal network addresses
    i was having this problem with 192.168.1.x so i changed mine to 192.168.7.x internally and just renewed dhcp
    redoing the static maps is somewhat annoying, but even large compnies usually only have a handfull of servers that need static maps
    what sucks most about it for bussinesses is you have to do it afterhours ^^
  • 0 in reply to radar_01
    [ QUOTE ]
    How to reconfigure networks if I have class A 10.0.0.0 and
    remote site has same address space?

    [/ QUOTE ]Let it be a lesson to you.

    10.0.0.0 has to be the dummest private subnet number you could possibly pick. Other good candidates for dummest private network number are 192.168.0.0 and 192.168.1.0.

    Those three network numbers are the most common private network numbers in use today, so when you set up private networks that you would want to be accessible through VPN tunnels, avoid them at all costs. Since all the idiots who think they know how to do IP subnets are already reusing those numbers everywhere, you want to use different numbers than that.

    The only requirement for routing to work, is that the net numbers on the various segments are different from each other. The best way to make sure that they are different, is by avoiding altogether the use of the very common private net numbers.

    Be creative, why not use something like 10.123.245.0 as you net number?
    Why does it always have to be 10.0.0.0?

    Better yet, unless you really need a private address space with room for 16.3 million PCs, avoid the 10.whatever class "A" network range altogether, and use a 192.168.nn.0 network, where "nn" is a number of your choice (other than 0 or 1).

    I recommend the use of two or three digit decimal numbers in the third octet.
    I typically set up private nets using class "C" address ranges of 192.168.50.0 or higher.
  • 0 in reply to VelvetFog
    There is one more IP range reservated for private use, which nearlly nobody uses. This are IPs from 172.16.0.0 - 172.31.255.255 (172.16.0.0/12).

    Why not to use those?

    BR, Matjaz
  • 0 in reply to Matjaz
    Exactly.

    Internet RFC 1918 specifies three address ranges for private use:

    10.0.0.0 - 10.255.255.255  (16.3 million addresses - 65536 class "C" subnets)
    172.16.0.0 - 172.31.255.255 (1 million addresses - 4096 class "C" subnets)
    192.168.0.0 - 192.168.255.255 (65536 addresses - 256 class "C" subnets)

    That gives us a total of 69888 different class "C" subnets within the private, reusable address space, each allowing for up to 253 machines (with net number, broadcast address and default router consuming the other three addresses). With that many private address space net numbers to pick from, it remains a mystery to me why so many people think that reusing 10.0.0.0 for their private net is such a smart thing to do.
Unfiltered HTML