Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 2105 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN/IPSec: SNAT and Routing Problems

oliver.desch
Dear Astaro users,

with one of the last Up2Dates we have revised the vpn part of our firewall solution. VPN routing was corrected or better improved. It came to my attention that many users have tricky SNAT/DNAT configurations to push certain packets into a tunnel and others have set up CLID netmasks for local and remote networks. 

SNAT and DNAT is not working anymore since routing takes place before NATting.
The routing solution is not working anymore since the source address is inspected as well.

     Please note, that's not a bug and will not be changed!   

But for those who need an urgent solution we have as always a workarround.

Those who are effected from the routing problem can edit /var/chroot-ipsec/opt/_updown line 66, add a # before IPROUTETABLE=42 (comment it)

Those who are affected by the SNAT problem can edit /var/chroot-ipsec/opt/_updown line 125 delete the words 'from $PLUTO_MY_CLIENT' in the middle of the line.

-> Restart IPSec within WebAdmin

  Please keep in mind that your changes may be overwritten by a future Up2Date. We strongly recommend to resolve the SNAT/DNAT and routing problems by setting up you networks in a correct manner     

read u
o|iver


This thread was automatically locked due to age.
Parents
  • 0
    Hi!

    I have problem with VPN/NAT as you can see in post #30520
    Suggestion to resolve problem is:
    "reconfigure your network" or
    "set up you networks in a correct manner"

    What do you mean by this?
    How to reconfigure networks if I have class A 10.0.0.0 and
    remote site has same address space?
    Remote site is outsourcing firm, which will not change their IP's because of us.
    Since they are accessing to our server(s), I should change server IP's!?
    That is really not very good solution for me.

    Is there any possibility to set up tunnel between two sites with same IP's?

    Thanks

      
  • 0 in reply to radar_01
    [ QUOTE ]
    How to reconfigure networks if I have class A 10.0.0.0 and
    remote site has same address space?

    [/ QUOTE ]Let it be a lesson to you.

    10.0.0.0 has to be the dummest private subnet number you could possibly pick. Other good candidates for dummest private network number are 192.168.0.0 and 192.168.1.0.

    Those three network numbers are the most common private network numbers in use today, so when you set up private networks that you would want to be accessible through VPN tunnels, avoid them at all costs. Since all the idiots who think they know how to do IP subnets are already reusing those numbers everywhere, you want to use different numbers than that.

    The only requirement for routing to work, is that the net numbers on the various segments are different from each other. The best way to make sure that they are different, is by avoiding altogether the use of the very common private net numbers.

    Be creative, why not use something like 10.123.245.0 as you net number?
    Why does it always have to be 10.0.0.0?

    Better yet, unless you really need a private address space with room for 16.3 million PCs, avoid the 10.whatever class "A" network range altogether, and use a 192.168.nn.0 network, where "nn" is a number of your choice (other than 0 or 1).

    I recommend the use of two or three digit decimal numbers in the third octet.
    I typically set up private nets using class "C" address ranges of 192.168.50.0 or higher.
  • 0 in reply to VelvetFog
    There is one more IP range reservated for private use, which nearlly nobody uses. This are IPs from 172.16.0.0 - 172.31.255.255 (172.16.0.0/12).

    Why not to use those?

    BR, Matjaz
Reply Children
  • 0 in reply to Matjaz
    Exactly.

    Internet RFC 1918 specifies three address ranges for private use:

    10.0.0.0 - 10.255.255.255  (16.3 million addresses - 65536 class "C" subnets)
    172.16.0.0 - 172.31.255.255 (1 million addresses - 4096 class "C" subnets)
    192.168.0.0 - 192.168.255.255 (65536 addresses - 256 class "C" subnets)

    That gives us a total of 69888 different class "C" subnets within the private, reusable address space, each allowing for up to 253 machines (with net number, broadcast address and default router consuming the other three addresses). With that many private address space net numbers to pick from, it remains a mystery to me why so many people think that reusing 10.0.0.0 for their private net is such a smart thing to do.
Unfiltered HTML