Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 1 subscriber
  • Views 5158 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Verify SNAT Configuration

troy.murray
I have a site-to-site VPN connection setup with an external client.  Both phrases complete successfully and the connection is up.  Now I need to have an internal IP address source masqueraded using the external IP address of my device.  I setup a SNAT rule for this, and believe I have it configured correctly:
Traffic source: My systems internal IP address
Traffic service: FTP
Traffic destination: Their internal systems IP address
NAT Mode: SNAT
Source: External IP Address of my ASG
Source Service: FTP

I also created a packet filter rule that allows traffic from my systems internal IP address to their internal systems IP address using the service FTP.  Everything is saved and loaded.

When I try to FTP to their systems internal IP address, nothing shows up in their logs.  If I disable my SNAT, then it shows traffic in their logs but with my systems internal IP address, not my ASG external address.

Is there a way I can confirm the SNAT rule is working correctly and re-written the source of the packet to be the ASG external address?


This thread was automatically locked due to age.
  • 0
    No, this is ABC where A and C are the same, but do not want to communicate with each other.  B is the 10. network.

    Cheers - Bob
  • 0
    Bob, you´re right, seems I didn´t read Ethans network setup in detail. 

    sorry for the confusion. Of course the way I described is working although, however, it will be a bit less complex because you only need ONE "virtual" network instead of two. If the connections in Ethans setup are ALWAYS initiated from Ethans network (192.168) and the servers are located in the 10.34 network, then one single "virtual IP" will be sufficient.
    This virtual IP has to be provided by the remote site - i.e. by the admin of the VPN GW on the 10.34 network (it is HIS duty to supply you with an IP that can be routed on HIS network). Let´s say, he tells you : use the virtual IP  10.35.1.1

    Then SNAT rule on Etahns ASG would be:
    src: 192.168net dest: 10.34net  new src: 10.35.1.1/32

    The VPN definition would be:
    local network: 10.35.1.1/32
    remote network: 10.34net

    the remote site would need to have its tunnel  setup vice versa (remote/local net changed). But not SNAT or DNAT rule needed on the remote side.


    Ethan, in your case,
  • 0
    I don't know why, but the NAT doesn't worked...
    So I changed network configuration and it seems to work:
    My LAN (192.168.0.0/24) -> GW -> My Other LAN (10.34.0.0/24) -> ASTARO SG7 SW -> VPN SiteToSite -> Remote Network