Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 3 subscribers
  • Views 1572 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Multiple path rules question

mkomel
Hello!
Recently we've set up a brand new Astaro 120 with ASG V8. We have also a mail server and a web server behind the Astaro. Everything works perfect except for one thing:
I have two ISPs and I configured uplink balancing type Multipath. My ISP configuration looks like that: 
Eth1: ISP1, PPoE, Static IP ***.***.***.***/32
Eth2: ISP2, Ethernet, Static IP yyy.yyy.yyy.yyy/16

My domain A and MX records point to the static IP address provided by ISP1.
Mostly everyone that accesses our web pages or mail from the internet has no problems. The problem is with those who access from the internet using ISP2 as their provider. They get the yyy.yyy.yyy.yyy/16 address and all their requests are dropped. If I disable Eth2 everything works fine.

I think I should put a multipath rule that routes also the traffic back to the yyy.yyy.yyy.yyy/16 using the same route through Eth1 (ISP1).

Can someone help me with this? Have I missed something!
Thanx!


This thread was automatically locked due to age.
  • 0
    Hi,

    how many addresses do you have from ISP2? Only one or a whole /16 prefix?
    Whats exactly the problem, is traffic routed via the wrong interface backwards?

    Cheers
     Ulrich
  • 0 in reply to da_merlin
    I have only one IP on ISP2.
    I suppose the traffic is being routed back through the wrong interface because the route is shorter, less hops.
  • 0
    Ok now I see the problem: Traffic from yyy.yyy.yyy.yyy/16 to the ISP1 address is routed back over ISP2, where it is dropped by the ISP ingress filter to prevent IP address spoofing.

    Is it possible to increase the netmask of the ISP1 netmask to a higher value, e.g. 24 or 32?

    Other solutions is to create a policy route, to route traffic from source address ISP1 and destination address yyy.yyy.yyy.yyy/16 via the default gateway of ISP1.
    But be aware that policy routes don't match on NAT connections. In case there is NAT you have to use the original private IP address as source.

    Multipath rules wont help here, because they match only on default route selection
    but not if there is a more specific route installed.

    Cheers
     Ulrich
  • 0
    Hi, mkomel, and welcome to the User BB!

    It seems like you might have several things misconfigured.  The rule for the netmask on an external interface is that it should be just large enough to include any Additional Addresses on the interface and the default gateway from your ISP.  So, for example, if your IP were 85.115.22.3, and the default gateway were 85.115.22.1, your "External (Network)" should be 85.115.22.3/30.

    Please show your multipath rules and any routes you created related to these accesses.  You are talking about external access to your internal web server - right?  Are you using the Web Application Firewall?

    Cheers - Bob