Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 1 subscriber
  • Views 19181 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN question - is there possible to use NAT?

Kociak1984
Here's a problem that cracks my mind recently.
I've successfuly managed to connect from the subnet (Internal) to one of the SSL-VPN clients.
Now I have the following setup:
-there is a VPN client with static VPN IP, say 10.0.13.37; client uses a link with dynamic address, which doesn't work with dyndns (3G broadband link - client is hidden behind several NATs); it is possible for the client to use an alternative uplink, also modile broadband;
-client is connected to ASG via SSL-VPN; wether the client is accessible from Internal network depends on the rules on firewall;
-ASG works on a link with a static IP, multiple firewall rules, multiple NATs, etc, everything works as desired;
---
Up to this point everything works OK.
---
The goal is:
-to have 2 ports, say 80 and 22, NATed, so everyone connecting to the ASG's external IP on port 22 gets redirected to client's interface; in other words the goal is to allow remote SSH connections to the client.

I've failed with this task, I have simply no idea on what to do.
Client connects correctly to the ASG, gets it's desired IP (mentioned above), client is accessible from Internal subnet according to the firewall rules.

Does anyone of you have any idea on how to achieve this?
Thanks in advance.


This thread was automatically locked due to age.
  • 0 in reply to BAlfson
    Update after reading what Bob wrote:
    When I have a remote client connected via SSL I can connect with The Box (obviously).
    In a similar way I can connect from the right-hand side of the whole image to The Box, as long as it's connected via SSL.
    Still it doesn't solve the problem - I cannot rely on the "random client" having the VPN app or not, nor can I force the "random client" to have one.
    Basically - The Box should be accessible in the same way you can access a server behind the NAT in the "regular" LAN.
  • 0
    In that case, if the Astaro is your friend's, and not yours, then you'll probably want to make separate NAT rules like:

    Internet -> {port 10022} -> External (Address) : Full NAT from Internal (Address) to {port 22} to Kociak-Box (User Network)



    If the box is totally yours, then you can make a single rule:

    Internet -> {ports to NAT} -> External (Address) : Full NAT from Internal (Address) to Kociak-Box (User Network)


    Just remember that NATting port 22 directly will prevent you from SSHing into the ASG unless that port is changed.  It would be easier if you had another public IP that could be an Additional Address on the External interface.

    Any luck?

    Cheers - Bob
    PS In general, this is the technique to apply when a server is at the other end of a VPN.
  • 0 in reply to BAlfson
    I don't know what'd be a difference betweem "totally mine ASG" and "friend's one". I am the one who manages the firewall's rules, and I'd like to NAT the ports he's not going to use (I'm sure of that).
    Anyway - any of the two solutions mentioned didn't work.
    ---
    Edit: maybe something is wrong with the routes on The Box?
  • 0
    Hi, note that some routers can be used to create site-to-site VPNs with Astaro; perhaps yours can.

    Barry
  • 0 in reply to BarryG
    Hi, note that some routers can be used to create site-to-site VPNs with Astaro; perhaps yours can.

    Barry


    It is Huawei B970b mobile broadband router with provider-branded firmware. It is not able to make one even with the original firmware. Currently I am not able to put anything else here.
  • 0
    Please [Go Advanced] below and show a picture of your new Full NAT rule.  If the Full NAT looks correct but doesn't appear to work, then, yes, I would suspect your settings in The Box.  

    What do you have in Astaro SSL Remote Access for the 'Pool network' on the 'Settings' tab?  I assume that "Internal (Network)" is in 'Local networks' - correct?

    Also, please confirm that none of your Host/Network definitions is bound to a specific interface; all should always be left with 'Interface: >'.

    Cheers - Bob
  • 0
    Right.

    In the "Local networks" there is a redundant rule "Any", but it shouldn't affect anything.


    And the NAT rule. I'm not sure if The Box will get the same IP after reconnecting using this account (my provider resets the broadband connection up to 7 times per week), so I haven't set the host definition with IP.


    Pool network under Settings tab shows "VPN Pool (SSL)".

    Despite having "Allow multiple connections per user" set I'm not even trying to make multiple conntctions using this account.

    VPN Pool isn't bound to the interface - shows any (default).

    Only definition bound to the interface is "NAS", which is in the "internal" subnet.
  • 0
    Only definition bound to the interface is "NAS", which is in the "internal" subnet. 

    That's not affecting this issue, but it should be corrected.

    I haven't seen the VPN Pool added to 'Local networks' before, but I can't think of why it wouldn't work.  Maybe it just lets the client add a route.  I dunno, maybe all it does is add the Firewall rule to allow traffic between clients.  In any case, you'll want a separate account for The Box instead of your personal one.

    In the NAT, 'Source translation' is incorrect; it should be 'Internal (Address)'.  Also, although it doesn't affect NAT rules for a single service, it's a good habit to leave the service translation field(s) blank when they're not being changed.

    Does that work?

    Cheers - Bob
  • 0
    Kociak,

    Could you show me the output of your route table on The Box when you're connected to the SSL VPN and when you're not?

    Thanks,

    Chris
  • 0
    I'm sorry for late answer. I was ill recently.
    I'm making final touches as I've just finished reinstalling the linux box.
    Probably tomorrow I'll post the info you requested. Stay tuned.