Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 1 subscriber
  • Views 19181 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN question - is there possible to use NAT?

Kociak1984
Here's a problem that cracks my mind recently.
I've successfuly managed to connect from the subnet (Internal) to one of the SSL-VPN clients.
Now I have the following setup:
-there is a VPN client with static VPN IP, say 10.0.13.37; client uses a link with dynamic address, which doesn't work with dyndns (3G broadband link - client is hidden behind several NATs); it is possible for the client to use an alternative uplink, also modile broadband;
-client is connected to ASG via SSL-VPN; wether the client is accessible from Internal network depends on the rules on firewall;
-ASG works on a link with a static IP, multiple firewall rules, multiple NATs, etc, everything works as desired;
---
Up to this point everything works OK.
---
The goal is:
-to have 2 ports, say 80 and 22, NATed, so everyone connecting to the ASG's external IP on port 22 gets redirected to client's interface; in other words the goal is to allow remote SSH connections to the client.

I've failed with this task, I have simply no idea on what to do.
Client connects correctly to the ASG, gets it's desired IP (mentioned above), client is accessible from Internal subnet according to the firewall rules.

Does anyone of you have any idea on how to achieve this?
Thanks in advance.


This thread was automatically locked due to age.
Parents
  • 0
    Bob,
    Not completely, but it looks like the linux box is a point-to-point VPN client.

    Barry
  • 0 in reply to BarryG
    I hope the image will clarify things a bit.

    On the left side there is my subnet, with The Box mentioned above. Traceroute from a computer in that network pasted below the image.
    On the right side is friend's subnet, with a NAS, etc.
    Blue are the things that work. I am able to access the NAS through the SSL VPN.
    Red are the things I'd like to work - as I don't have public IP I assume I need to bounce off friend's router to access The Box from the outside world.
    Anticipating further question: No, placing an ASG in my subnet is not possible for various reasons, but I know it would solve the problem - I've done it at work once.



    ---
    kociak@kociak:~$ tracepath google.pl
     1:  kociak                                                0.107ms pmtu 1500
     1:  gateway                                               1.341ms 
     1:  gateway                                               1.016ms 
     2:  10.9.208.97                                          96.761ms asymm  3 
     3:  10.9.208.102                                         78.900ms 
     4:  10.9.241.2                                          147.806ms 
     5:  10.9.241.29                                         1233.191ms asymm  4 
     5:  10.9.241.29                                         5295.276ms asymm  4 
     6:  10.9.243.1                                           87.301ms asymm  4 
     7:  10.9.243.222                                        108.714ms asymm  4 
     8:  [redacted].pl                        169.200ms asymm  4 
     9: (...)

    8 is the address that appears on sites such as What Is My IP Address
    Those 10.9-whatevers are provider's devices.
Reply
  • 0 in reply to BarryG
    I hope the image will clarify things a bit.

    On the left side there is my subnet, with The Box mentioned above. Traceroute from a computer in that network pasted below the image.
    On the right side is friend's subnet, with a NAS, etc.
    Blue are the things that work. I am able to access the NAS through the SSL VPN.
    Red are the things I'd like to work - as I don't have public IP I assume I need to bounce off friend's router to access The Box from the outside world.
    Anticipating further question: No, placing an ASG in my subnet is not possible for various reasons, but I know it would solve the problem - I've done it at work once.



    ---
    kociak@kociak:~$ tracepath google.pl
     1:  kociak                                                0.107ms pmtu 1500
     1:  gateway                                               1.341ms 
     1:  gateway                                               1.016ms 
     2:  10.9.208.97                                          96.761ms asymm  3 
     3:  10.9.208.102                                         78.900ms 
     4:  10.9.241.2                                          147.806ms 
     5:  10.9.241.29                                         1233.191ms asymm  4 
     5:  10.9.241.29                                         5295.276ms asymm  4 
     6:  10.9.243.1                                           87.301ms asymm  4 
     7:  10.9.243.222                                        108.714ms asymm  4 
     8:  [redacted].pl                        169.200ms asymm  4 
     9: (...)

    8 is the address that appears on sites such as What Is My IP Address
    Those 10.9-whatevers are provider's devices.
Children
No Data