[CheckPoint FW-1 NG] NAT in VPN tunnel

Ik zit op dit moment bij een klant om een VPN verbinding op te bouwen met een van hun leveranciers. Lokaal gebruiken ze CheckPoint NG, de leverancier een cisco oplossing. Het configureren van de VPN community is goed gelukt. De tunnel komt ook netjes op. Echter, ik loop tegen een probleem aan met Nat aan de checkpoint kant.

Relevante properties:

Global properties ->

(automatic NAT)

Allow bidirectional NAT
Translate destination on client side
Automatic Arp configuration

(manual NAT)
Translate destination on client side

VPN Manager VPN properties (star community) ->

Disable NAT inside the VPN community staat uit (wel NAT)

Aan de checkpoint kan moet ge-NAT worden. Ik heb hiervoor 2 NAT-rules aangemaakt (fictieve namen):

Source, destination, service, translated source, destination, service

NET_leverancier, NAT_Object_Server ANY Original, Intern_ServerIP, original
Intern_ServerIP,NET_leverancier, ANY NAT_Object_Server, original , original

Hiernaast is er een rule aangemaakt in de rulebase om het verkeer toe te staan:

NET_leverancier naar NAT_Object_Server (VPN community XXX) Service any Action Accept.


Als de leverancier nu een telnet gaat opzetten naar NAT_Object_Server zien we netjes de tunnel opkomen. Echter word de connectie elke keer op de cleanup rule gedropped.
In de logging zie ik netjes een connectie van NET_Leverancier naar NAT_Object_Server Action: drop.
Er worden echter geen translated poort en translated adressen weergegeven. Het NATten lijkt gewoon niet te gebeuren binnen de VPN tunnel.

Nu vraag ik mij af of het nog nodig is proxy-arp te gebruiken om de firewall het verkeer voor NAT_Object_Server aan te laten pakken zoals je dat ook zou doen buiten een VPN situatie.

Wie helpt?

MoBi schreef op 05 augustus 2004 @ 17:16:
Nat heb je als het goed is bij adrestranslation goed staan. Maar heb je ook bij Security een regel staan welke specificeerd welk verkeer er over mag bijvoorbeeld: [afbeelding]

NAT-Barracuda38 is het naar buiten genatte adres, SRV-Barracuda is van andere netten

Hiernaast is er een rule aangemaakt in de rulebase om het verkeer toe te staan:

NET_leverancier naar NAT_Object_Server (VPN community XXX) Service any Action Accept.

Die rule is er inderdaad wel degelijk

[ Voor 4% gewijzigd door Bor op 05-08-2004 19:09 ]

Service is nu al "any" dus telnet toevoegen heeft niet echt zin. De regel staat inderdaad (ver) boven de cleanup rule. Het lijkt er op dat de rule helemaal niet gezien word en dat er niet word genat.

Jammer genoeg kom ik pas over een week weer bij deze klant. Ik zit zelf aan het volgende te denken:

Als je met NAT een publiek ip nat naar een intern (10.x.x.x range) adres dan dien je een proxy-arp te gebruiken zodat de firewall verkeer naar dit publieke IP (vanaf de buitenkant) zal oppakken. Ik vraag mij af of dat ook moet voor verkeer binnen een VPN tunnel. Ik heb op dit moment geen arp geconfigureerd voor het NAT_Object_Server aan de buitenste interface van de firewall. Het zou nu dus kunnen zijn dat de firewall het verkeer gewoon niet aanpakt omdat hij het publieke adres niet kent en hiervoor ook geen goede route heeft.

Jammer genoeg duurt het even voordat ik dit kan testen. Wie kan mij vertellen of het configureren van een arp mapping inderdaad nodig is? Bij automatisch nat rules doet CheckPoint dit zelf. Bij manual NAT echter niet!

Het interne adres word ook niet opgepakt. In de logging zie je geen xlated scr en xtlated destination staan.

De manual NAT settings staan in de openingspost:

Global properties ->

(automatic NAT)

Allow bidirectional NAT
Translate destination on client side
Automatic Arp configuration

(manual NAT)
Translate destination on client side

Translate destination on client side betekend toch het volgende:

Inkomend packet -> rulebase -> NAT -> routing

Dit in tegenstelling tot de "oude" 4.1 wijze:

Inkomend packet -> rulebase -> routing -> NAT (NAT always last).

Volgens mij maakt dat voor de regel niets uit, echter is het niet meer nodig een route toe te voegen voor het genatte object (routing komt nu na NAT).

Wat denk je van mijn ARP opmerking?

*Klein schopje*

Een vakantie verder en volgende week (eind) moet ik weer naar deze klant toe. Iemand die een goed idee heeft?

Ik vraag mij af of het nog nodig is te arpen voor een adres wat in de vpn tunnel zit.

Ik ben er inmiddels achter dat ik inderdaad een proxy arp moet configureren. Het probleem is dat checkpoint dit niet accepteert omdat het genatte adres niet in hetzelfde subnet zit als de buitenste interface van de firewall. Ik krijg dan ook de melding "proxy arp ip ... does not belong to any existing subnet".

Iemand een idee?