Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 1 subscriber
  • Views 19181 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN question - is there possible to use NAT?

Kociak1984
Here's a problem that cracks my mind recently.
I've successfuly managed to connect from the subnet (Internal) to one of the SSL-VPN clients.
Now I have the following setup:
-there is a VPN client with static VPN IP, say 10.0.13.37; client uses a link with dynamic address, which doesn't work with dyndns (3G broadband link - client is hidden behind several NATs); it is possible for the client to use an alternative uplink, also modile broadband;
-client is connected to ASG via SSL-VPN; wether the client is accessible from Internal network depends on the rules on firewall;
-ASG works on a link with a static IP, multiple firewall rules, multiple NATs, etc, everything works as desired;
---
Up to this point everything works OK.
---
The goal is:
-to have 2 ports, say 80 and 22, NATed, so everyone connecting to the ASG's external IP on port 22 gets redirected to client's interface; in other words the goal is to allow remote SSH connections to the client.

I've failed with this task, I have simply no idea on what to do.
Client connects correctly to the ASG, gets it's desired IP (mentioned above), client is accessible from Internal subnet according to the firewall rules.

Does anyone of you have any idea on how to achieve this?
Thanks in advance.


This thread was automatically locked due to age.
Parents
  • 0
    Two ideas, but I've not tried either one.  If the first doesn't work, try the second one.  Both assume that The Box and the mobile client are connected via SSL VPN Remote Access.

    1. Maybe just a Firewall rule: 'VPN Pool (SSL) -> Any -> VPN Pool (SSL) : Allow'

    2. If not, put an additional address named "The Box" on the Internal interface of the ASG.  Assume that your linux box is logged in with username "Kociak-Box" and that you are logged in as 'Kociak' as the remote mobile user.  Make a NAT rule in the ASG:

    Kociak (User Network) -> Any -> Internal [The Box] (Address) : FullNAT from Internal (Address) to Kociak-Box (User Network)



    Any luck with either approach?

    Cheers - Bob
Reply
  • 0
    Two ideas, but I've not tried either one.  If the first doesn't work, try the second one.  Both assume that The Box and the mobile client are connected via SSL VPN Remote Access.

    1. Maybe just a Firewall rule: 'VPN Pool (SSL) -> Any -> VPN Pool (SSL) : Allow'

    2. If not, put an additional address named "The Box" on the Internal interface of the ASG.  Assume that your linux box is logged in with username "Kociak-Box" and that you are logged in as 'Kociak' as the remote mobile user.  Make a NAT rule in the ASG:

    Kociak (User Network) -> Any -> Internal [The Box] (Address) : FullNAT from Internal (Address) to Kociak-Box (User Network)



    Any luck with either approach?

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    Update after reading what Bob wrote:
    When I have a remote client connected via SSL I can connect with The Box (obviously).
    In a similar way I can connect from the right-hand side of the whole image to The Box, as long as it's connected via SSL.
    Still it doesn't solve the problem - I cannot rely on the "random client" having the VPN app or not, nor can I force the "random client" to have one.
    Basically - The Box should be accessible in the same way you can access a server behind the NAT in the "regular" LAN.