Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 1 subscriber
  • Views 19191 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN question - is there possible to use NAT?

Kociak1984
Here's a problem that cracks my mind recently.
I've successfuly managed to connect from the subnet (Internal) to one of the SSL-VPN clients.
Now I have the following setup:
-there is a VPN client with static VPN IP, say 10.0.13.37; client uses a link with dynamic address, which doesn't work with dyndns (3G broadband link - client is hidden behind several NATs); it is possible for the client to use an alternative uplink, also modile broadband;
-client is connected to ASG via SSL-VPN; wether the client is accessible from Internal network depends on the rules on firewall;
-ASG works on a link with a static IP, multiple firewall rules, multiple NATs, etc, everything works as desired;
---
Up to this point everything works OK.
---
The goal is:
-to have 2 ports, say 80 and 22, NATed, so everyone connecting to the ASG's external IP on port 22 gets redirected to client's interface; in other words the goal is to allow remote SSH connections to the client.

I've failed with this task, I have simply no idea on what to do.
Client connects correctly to the ASG, gets it's desired IP (mentioned above), client is accessible from Internal subnet according to the firewall rules.

Does anyone of you have any idea on how to achieve this?
Thanks in advance.


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to Kociak1984
    I'm sorry for this very late answer. There were lot of other things to do.

    Finally I've managed to install UTM9 (formerly ASG) on a discarded laptop, and I've created a Site-to-site VPN.

    This solution has it's downsides (only one interface visible in WebAdmin, no idea on how to use firewall on my side), but it works. My ASG (why do I use this name, oh why!) works as an endpoint for VPN connection, and can do some traffic shaping (it allows only certain ports to be forwarded through VPN).

    Now I am able to both ping "The Box" from the ASG (meaning: from 192.168.4.x network), and access it through VPN while being connected to the ASG.

    In my opinion the topic is to be closed. I'll post details if requested.
    Best regards, and thank you for your effort.

    ---

    Edit:
    After disabling spoofing protection (dunno why it affected the things...) on "my" side also NATs started to work.
    Final solution:
    -make a Site-to-site VPN between both networks ("left", that sits behind a NAT, without public IP, and "right", that has got public IP), "left" ASG is the client, "right" one - is a server; use SSL, as it only requires one TCP port; tick "Automatic firewall rule" (mandatory)
    -in the "left" network edit host's config to set its gateway to the local ASG
    -in the "right" network make sute there is DNAT set - traffic pointing to External, protocol [set what you want] -> "the box - the host on the lest side", protocol [set what you want]

    Warning: As the host is now exposed to the world make sure there are strong passwords etc. Compromising the host can make your LAN compromised.