Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 1411 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SNAT through Site-to-Site VPN

ToBu
Hi Community,

I have been tasked with setting up a Site-to-Site VPN connection, where the remote site does not allow private IP-addresses through the VPN-tunnel.
Since I am running a 192.168.0.0/24 IP-address space in my internal network, I need to set up some sort of SNAT rule set to be used when transmitting data through the VPN-tunnel.

So far I did not find anything realted to such a task within the manuals and guides section.

Could anybody give me a hint on how to achieve this task?

Thank you very much in advance.

Best regards

Tobias


This thread was automatically locked due to age.
  • 0
    Hi, Tobias, and welcome to the User BB!

    I haven't run into this before, but I think there's a solution...

    Create an 'Additional Address' on your Internal interface using one of your unused public IPs, and then add that IP to the tunnel (both sites need to do that).

    Traffic Source: Internal (Network)
    Traffic Service: Any
    Traffic Destination: {remote network}

    NAT mode: SNAT (Source)

    Source: {unused public IP}
    Source Service: {leave blank!}



    Now, all traffic from your internal network will appear to the remote site as if it were coming from that single, public IP.

    Does that do what you want?

    Cheers - Bob
  • 0 in reply to BAlfson
    Yes, that's it, bob.
    Thank you very much.

    Regards

    Tobias
  • 0
    I have the same requirements. In my case I have 3 interfaces on the Astaro, Internet, Internal and DMZ. The DMZ have public IP addresses and the internal network have private IP addresses. 

    Do you mean that I should set one of the free DMZ IP addresses on the internal interface as an extra additional IP address?

    Best regards,
    Andreas
  • 0
    @cyberknutte:  Yes, that is what Bob is proposing.  Assign a public internet routeable IP Address as an additional address on your internal interface.