
<div dir="ltr">Router does the tunnel and is at the edge, firewall is inside and doing the NAT.</div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, May 1, 2014 at 2:49 PM, Craig Askings <span dir="ltr"><<a href="mailto:craig@askings.com.au" target="_blank">craig@askings.com.au</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word">Sorry you have lost me here. Is the ASA doing all the NAT + the ipsec tunnel or is the upstream cisco router doing NAT and the ASA doing the ipsec tunnel?<div>


<div class="h5"><div><div><div><br></div><div>On 1 May 2014, at 2:45 pm, Geordie Guy <<a href="mailto:elomis@gmail.com" target="_blank">elomis@gmail.com</a>> wrote:</div><br><blockquote type="cite"><div dir="ltr">Sorry guys, it's an ASA 5500 firewall making the decision to NAT, and cutting the upstream Cisco router out of making the decision to forward it into the tunnel.  More reading seems to reveal what I want to do is configure a higher priority NAT rule that NATs traffic to that destination by rewriting the source and destination traffic with the same original info, thereby cutting out the PAT for the public IP.  Does this make sense? (it seems to, in a weird way)</div>


<div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, May 1, 2014 at 2:37 PM, Karl Auer <span dir="ltr"><<a href="mailto:kauer@biplane.com.au" target="_blank">kauer@biplane.com.au</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div>On Thu, 2014-05-01 at 14:15 +1000, Geordie Guy wrote:<br>

> Is there a way of exempting a particular IP<br>

> address or providing some other criteria for a NAT rule?<br>

<br>

</div>Almost certainly, but how to do it depends on what system you are using.<br>

Tell us what you are trying to do it *with* and someone who uses that<br>

system will probably be able to help.<br>

<br>

For MikroTik, for example, you add an "accept" rule to the srcnat chain<br>

in "/ip firewall nat", limiting it to specific source or destination<br>

addresses. Make sure such rules are placed before any masquerade actions<br>

involving the same sources or destinations, of course.<br>

<br>

> PS: (*%&*$ing NAT.<br>

<br>

What you said.<br>

<br>

Regards, K.<br>

<span><font color="#888888"><br>

--<br>

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~<br>

Karl Auer (<a href="mailto:kauer@biplane.com.au" target="_blank">kauer@biplane.com.au</a>)<br>

<a href="http://www.biplane.com.au/kauer" target="_blank">http://www.biplane.com.au/kauer</a><br>

<a href="http://twitter.com/kauer389" target="_blank">http://twitter.com/kauer389</a><br>

<br>

GPG fingerprint: EC67 61E2 C2F6 EB55 884B E129 072B 0AF0 72AA 9882<br>

Old fingerprint: B862 FB15 FE96 4961 BC62 1A40 6239 1208 9865 5F9A<br>

</font></span><div><div><br>

<br>

_______________________________________________<br>

AusNOG mailing list<br>

<a href="mailto:AusNOG@lists.ausnog.net" target="_blank">AusNOG@lists.ausnog.net</a><br>

<a href="http://lists.ausnog.net/mailman/listinfo/ausnog" target="_blank">http://lists.ausnog.net/mailman/listinfo/ausnog</a><br>

</div></div></blockquote></div><br></div>

_______________________________________________<br>AusNOG mailing list<br><a href="mailto:AusNOG@lists.ausnog.net" target="_blank">AusNOG@lists.ausnog.net</a><br><a href="http://lists.ausnog.net/mailman/listinfo/ausnog" target="_blank">http://lists.ausnog.net/mailman/listinfo/ausnog</a><br>


</blockquote></div><br></div></div></div></div><br>_______________________________________________<br>

AusNOG mailing list<br>

<a href="mailto:AusNOG@lists.ausnog.net">AusNOG@lists.ausnog.net</a><br>

<a href="http://lists.ausnog.net/mailman/listinfo/ausnog" target="_blank">http://lists.ausnog.net/mailman/listinfo/ausnog</a><br>

<br></blockquote></div><br></div>