Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 3 subscribers
  • Views 1574 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Multiple path rules question

mkomel
Hello!
Recently we've set up a brand new Astaro 120 with ASG V8. We have also a mail server and a web server behind the Astaro. Everything works perfect except for one thing:
I have two ISPs and I configured uplink balancing type Multipath. My ISP configuration looks like that: 
Eth1: ISP1, PPoE, Static IP ***.***.***.***/32
Eth2: ISP2, Ethernet, Static IP yyy.yyy.yyy.yyy/16

My domain A and MX records point to the static IP address provided by ISP1.
Mostly everyone that accesses our web pages or mail from the internet has no problems. The problem is with those who access from the internet using ISP2 as their provider. They get the yyy.yyy.yyy.yyy/16 address and all their requests are dropped. If I disable Eth2 everything works fine.

I think I should put a multipath rule that routes also the traffic back to the yyy.yyy.yyy.yyy/16 using the same route through Eth1 (ISP1).

Can someone help me with this? Have I missed something!
Thanx!


This thread was automatically locked due to age.
Parents
  • 0
    Ok now I see the problem: Traffic from yyy.yyy.yyy.yyy/16 to the ISP1 address is routed back over ISP2, where it is dropped by the ISP ingress filter to prevent IP address spoofing.

    Is it possible to increase the netmask of the ISP1 netmask to a higher value, e.g. 24 or 32?

    Other solutions is to create a policy route, to route traffic from source address ISP1 and destination address yyy.yyy.yyy.yyy/16 via the default gateway of ISP1.
    But be aware that policy routes don't match on NAT connections. In case there is NAT you have to use the original private IP address as source.

    Multipath rules wont help here, because they match only on default route selection
    but not if there is a more specific route installed.

    Cheers
     Ulrich
Reply
  • 0
    Ok now I see the problem: Traffic from yyy.yyy.yyy.yyy/16 to the ISP1 address is routed back over ISP2, where it is dropped by the ISP ingress filter to prevent IP address spoofing.

    Is it possible to increase the netmask of the ISP1 netmask to a higher value, e.g. 24 or 32?

    Other solutions is to create a policy route, to route traffic from source address ISP1 and destination address yyy.yyy.yyy.yyy/16 via the default gateway of ISP1.
    But be aware that policy routes don't match on NAT connections. In case there is NAT you have to use the original private IP address as source.

    Multipath rules wont help here, because they match only on default route selection
    but not if there is a more specific route installed.

    Cheers
     Ulrich
Children
No Data