Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 1 subscriber
  • Views 4292 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

NAT to public IP over L2L IPSEC VPN

sheepsnot
New to the forums and to ASG.  Thanks in advance for your help!

I have a vendor that requires NAT to pubilc IP on our L2L IPSEC VPN as they terminate hundreds of VPN's and REQUIRE this to prevent RFC1918 IP overlaps.

My requirement is below with IP's changed for privacy, but the concept should still apply.  I was quite familiar with how to handle this on my pix515e, but have struggled for a week on the ASG425....and am now wondering wondering if this is even possible on this platform.

ASG425 running 8.3
ASG wan IP:  10.10.10.15/32
ASG lan IP:  192.168.1.240/32

my side of VPN:
my internal host 192.168.1.25/32 ---> 1:1 NATs to 10.10.10.20 (public IP not my ASG's wan interface)  to connect IPSEC VPN from my ASG (10.10.10.15/32)  

vendor's side:
my vendor's VPN peer (Cisco ASA = 20.20.20.33/32) presents me with their host server to connect to also a NAT'd host from their side (20.20.20.38/32)

Can the ASG handle this?  On my pix 515e this was a simple static 1:1 NAT or static policy NAT if that was your prefernce,  and then refence the nat'd IP address as my "local" network of the VPN build. On the PIX the NAT is applied/processed before the packet is inpected on the WAN interface for requirements of IPSEC encryption. 

I've tried various iterations of SNAT/DNAT and creating 'additional' addresses on the interface setup screen, with no success.

Can someone provide a high level of what needs to be created on the ASG.  Thanks again for any help you can provide.


This thread was automatically locked due to age.
Parents
  • 0
    oh!  I didn't recognize "L2L" but I think this is what I do. I call it "site-to-site".

    In the VPN configuration, you'd normally have your router's public IP as the public peer, and then some private LAN you're protecting. Then on the other side, the VPN configuration puts your public IP as the public peer, and the private LAN you are protecting. Then both parties also configure the other side of that network.
    And..  I notice you mention that your Astaro actually has a private IP for its WAN. Guess what, that's what I've been struggling with in this thread: (https://community.sophos.com/products/unified-threat-management/astaroorg/f/58/t/54446).

    But anyway, to not force ourselves into actually having some servers using some specific IP's, I would take advantage of the remarkable choice of Astaro to use Linux, and would create alternative IP's for the NIC. Then I could use whatever private IP I want. Sadly, the Amazon instance does not allow you to do it. So I force that by just defining the private IP and then creating my own SNAT/DNAT rules and using that IP in the VPN config.

    But anyway!!!  about PUBLIC IP.. We also in production, are trying to use the same Public IP of the router as the "private network". I have tested this by connecting to a Cisco router we have and it did work. I did both of these scenarios:
    publicIP of router / protecting the publicIP of router
    publicIP of router / protecting a different publicIP of something else we have.

    So what happens is that after the VPN is connected, when a communication is initiated to the protected IP, it gets routed to go through the VPN tunnel. When the VPN is disconnected, technically that communication would go through the internet, unless one of the routers just stops it since it's used in some configuration.

    Now if you want to use the public IP of the router itself as the private network, and your intent is to have data coming into your router destined for some server you have, you have to add a DNAT rule that if the destination is this public IP, change it to be something.. like the private IP of the router (for some reason), or to change it to the destination of the server you're actually targeting.

    Otherwise, I believe you have to have a SNAT rule for communication going out, so that if the destination is your peer's VPN LAN, that you change the source IP to be the public IP of the router. By default, based on what you wrote, it might be the private IP of the router.

    Just to note that we are not alone... [:)]  some of our partners do this exact thing.. where they have a router for the VPN, and the protected "LAN" is actually some other public IP they have. Like us, they do it this way specifically to avoid the conflicts, and they also control who can access their public IP's by forcing the traffic to go through an encrypted VPN.
Reply
  • 0
    oh!  I didn't recognize "L2L" but I think this is what I do. I call it "site-to-site".

    In the VPN configuration, you'd normally have your router's public IP as the public peer, and then some private LAN you're protecting. Then on the other side, the VPN configuration puts your public IP as the public peer, and the private LAN you are protecting. Then both parties also configure the other side of that network.
    And..  I notice you mention that your Astaro actually has a private IP for its WAN. Guess what, that's what I've been struggling with in this thread: (https://community.sophos.com/products/unified-threat-management/astaroorg/f/58/t/54446).

    But anyway, to not force ourselves into actually having some servers using some specific IP's, I would take advantage of the remarkable choice of Astaro to use Linux, and would create alternative IP's for the NIC. Then I could use whatever private IP I want. Sadly, the Amazon instance does not allow you to do it. So I force that by just defining the private IP and then creating my own SNAT/DNAT rules and using that IP in the VPN config.

    But anyway!!!  about PUBLIC IP.. We also in production, are trying to use the same Public IP of the router as the "private network". I have tested this by connecting to a Cisco router we have and it did work. I did both of these scenarios:
    publicIP of router / protecting the publicIP of router
    publicIP of router / protecting a different publicIP of something else we have.

    So what happens is that after the VPN is connected, when a communication is initiated to the protected IP, it gets routed to go through the VPN tunnel. When the VPN is disconnected, technically that communication would go through the internet, unless one of the routers just stops it since it's used in some configuration.

    Now if you want to use the public IP of the router itself as the private network, and your intent is to have data coming into your router destined for some server you have, you have to add a DNAT rule that if the destination is this public IP, change it to be something.. like the private IP of the router (for some reason), or to change it to the destination of the server you're actually targeting.

    Otherwise, I believe you have to have a SNAT rule for communication going out, so that if the destination is your peer's VPN LAN, that you change the source IP to be the public IP of the router. By default, based on what you wrote, it might be the private IP of the router.

    Just to note that we are not alone... [:)]  some of our partners do this exact thing.. where they have a router for the VPN, and the protected "LAN" is actually some other public IP they have. Like us, they do it this way specifically to avoid the conflicts, and they also control who can access their public IP's by forcing the traffic to go through an encrypted VPN.
Children
No Data