Guest User!

You are not Sophos Staff.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSec with NAT assistance

Having trouble with IPSec configuration.  Polices and keys don't seem to be the issue since  phase I is established but still having problems getting remote hosts to connect to local host.  

Scheme is this...

Remote Network domain = xx.yy.zz.0/27
Remote host(s) will connect to local host using ***.yyy.zzz.120
Local host is actually using address aaa.bbb.ccc.99 

So NAT is set to xx.yy.zz.0/27 > any service > ***.yyy.zzz.120 > DNAT > aaa.bbb.ccc.99 using auto firewall rules

I'm a end-user so log is not very helpful to me.  What am I missing?  

Thanks in advance for the help.


This thread was automatically locked due to age.
  • I think I speak for everyone when I say this scenario doesn't make a whole lot of sense.  If you are trying to establish an IPSec VPN between two sites with non-overlapping address space being the sources of 'interesting traffic' you should not need a DNAT rule of any sort.  The tunnel should allow you to route traffic to and from either side with NO translation.  Could you maybe try explaining why the DNAT rule is even there?

    Thanks,

    Chris
  • Thanks for the reply Ruhllatio.  I'm sorry for any confusion.  Here's what we're attempting to do (and please forgive the obvious end-user ignorance of networking )
     
    Remote VPN gateway rr.ttt.yyy.251 connects to local gateway ff.ggg.hhh.78.  This part works fine.
     
    The remote network utilizes its own ip address scheme to access the hosts on the local network using an encryption domain of xx.yy.zz.160/27.  The remote network requires both 1:1 NAT for some services and many :1 PAT for other services.  The remote defines and targets the local encryption domain using ***.yyy.zzz.120/29 (three digit octets).
     
    As an example, a remote service or user would target a specific local host using address ***.yyy.zzz.121 - a machine we have internally assigned an IP of aaa.bbb.ccc.99.  Services and connections initiating from that same local host back to the remote network would also have to identify as coming from ***.yyy.zzz.121 address rather than the actual internal IP address.
     
    I had assumed that DNAT (or perhaps Full NAT) would be necessary to convert or mask the addresses appropriately.  Have I erroroneously assumed that you can do this within a IPSec tunnel?   Or is there simply another approach?  
     
    Ultimately, I can't force the remote network side to utilize our network scheme and I don't want to rework it anyway so I appreciate any guidance you might be able to provide.
     
    Thanks!
  • Ruhllatio can better explain how it's generally done.  All I can tell you is that, with the ASG/UTM, when the VPN is established, all necessary routing and Firewall rules are generated automatically.  In fact, you can't create any manual Firewall rules or Routes that will get an opportunity to touch any packets handled by the VPN.

    If you have to use a DNAT, SNAT or Masq rule to make things work, then there must be, as ruhllatio's question implies, a configuration error.

    One "gotcha" that I keep trying to get the developers to lock out is binding Host/Network definitions to a specific interface; every definition that you create should be left with 'Interface: >'.

    Cheers - Bob