Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 2107 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN/IPSec: SNAT and Routing Problems

oliver.desch
Dear Astaro users,

with one of the last Up2Dates we have revised the vpn part of our firewall solution. VPN routing was corrected or better improved. It came to my attention that many users have tricky SNAT/DNAT configurations to push certain packets into a tunnel and others have set up CLID netmasks for local and remote networks. 

SNAT and DNAT is not working anymore since routing takes place before NATting.
The routing solution is not working anymore since the source address is inspected as well.

     Please note, that's not a bug and will not be changed!   

But for those who need an urgent solution we have as always a workarround.

Those who are effected from the routing problem can edit /var/chroot-ipsec/opt/_updown line 66, add a # before IPROUTETABLE=42 (comment it)

Those who are affected by the SNAT problem can edit /var/chroot-ipsec/opt/_updown line 125 delete the words 'from $PLUTO_MY_CLIENT' in the middle of the line.

-> Restart IPSec within WebAdmin

  Please keep in mind that your changes may be overwritten by a future Up2Date. We strongly recommend to resolve the SNAT/DNAT and routing problems by setting up you networks in a correct manner     

read u
o|iver


This thread was automatically locked due to age.
Parents
  • 0
    Hi!

    I have problem with VPN/NAT as you can see in post #30520
    Suggestion to resolve problem is:
    "reconfigure your network" or
    "set up you networks in a correct manner"

    What do you mean by this?
    How to reconfigure networks if I have class A 10.0.0.0 and
    remote site has same address space?
    Remote site is outsourcing firm, which will not change their IP's because of us.
    Since they are accessing to our server(s), I should change server IP's!?
    That is really not very good solution for me.

    Is there any possibility to set up tunnel between two sites with same IP's?

    Thanks

      
  • 0 in reply to radar_01
    They need an entire 10.0.0.0 network to access your servers? I really doubt that. You can set up your IpSec so that an unused part of their network maps to an unused part of your network. I mean, you don't use all 16581375 ips in your net.
      
Reply
  • 0 in reply to radar_01
    They need an entire 10.0.0.0 network to access your servers? I really doubt that. You can set up your IpSec so that an unused part of their network maps to an unused part of your network. I mean, you don't use all 16581375 ips in your net.
      
Children
  • 0 in reply to Vukasin
    i know its a definate inconvinience, but with dhcp it should take more than an hour or so to redo your internal network addresses
    i was having this problem with 192.168.1.x so i changed mine to 192.168.7.x internally and just renewed dhcp
    redoing the static maps is somewhat annoying, but even large compnies usually only have a handfull of servers that need static maps
    what sucks most about it for bussinesses is you have to do it afterhours ^^
Unfiltered HTML