Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 3 subscribers
  • Views 2159 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SG135 to SG 135 via MetroE

theitstore
Hi,

Newb to Sophos so here is my question, I have two Sophos units, the main Sophos SG135, running email protection, firewall rules, everybody is surfing the net no issues here. 

Site1 Sophos

WAN - public IP

LAN - 192.168.1.X subnet

Ethr port4 - connected to MetroE channel to Site 2




Site 2  Sophos

WAN - connected to channel going back to Site 1

LAN - 192.168.2.x


This SG135 sits inside the same network as site 1 on a MetroE backbone, as such they are on the same LAN subnet and Internet gateway originates at Site1.

The issue is Site 2 must be on the 192.168.2.X subnet and it must resolve out to the Internet on a secondary IP that is part of the block of WAN IP addresses, so the ISP said they will give me a single channel back to Site 1 and into the Sophos, the channel is basically a long Ethernet cable between the two sites with no routing, allowing me to put the Site2 back on its separate subnet off the MetroE. 

Site 1 channel is plugged into Sophos ethr port #4 and Site 2 channel is plugged into Sophos WAN port

I need Site 2 on the .2.X subnet to pass local traffic out on WAN back to Site 1 into the Sophos  for exchange and a file server, etc and all Internet traffic  for Site 2 out on a secondary (additional) address. 

Both subnets need to be able to ping each other as well

Any help to point me in the right direction on this would be great. 

Thank you for your time

Don


This thread was automatically locked due to age.
  • 0
    Hi, 

    give eth4 a new network address block, e.g. 192.168.250.0/28 and use .1 for site 1 and .2 for site 2.

    Then use 
    a site-to-site VPN
    OR
    static routing:
    site1 will need a static route to 192.168.2.x
    site2 will need a static route to 192.168.1.x

    a Masq rule for Internet traffic will be needed for site 2; I think it can be done on site 1.

    Barry
  • 0 in reply to BarryG
    Barry,

    Thank you for the input, I will give this a try.

    Thank you

    Don
  • 0
    Hi, Don, and welcome to the User BB!

    If your ISP is charging you more for the MetroE channel than for a regular WAN connection, you can do what you want with an IPsec VPN.  I also think that you would find this approach to be more flexible and that it would give you more options.

    Cheers - Bob
  • 0
    Get rid of the Sophos SG135 at Site 2.  It is no longer needed with the Metro E connection.  Turn up a free port on the Sophos SG135 at Site 1 and assign it the 192.168.2.x subnet.  connect that cable to the Metro E device going to Site 2.  Connect the Metro E device at Site 2 to the local switch.  

    This way, the Site 1 Sophos SG135 will handle routing and Internet for Site 1 and Site 2.  NAT masq rules can be used to ensure that Site 2's network traffic utilizes the secondary public IP address provided by the ISP.  All firewall, traffic rules and security policies would be centrally managed on Site 1's firewall saving time, energy, effort, and complexity.  You could then use the Sophos unit at Site 2 for some other task or as a spare in the event something happens to the main site Sophos.  If they are both the same models, see about setting up an active/active failover cluster.
  • 0
    Thank you all for your input, this is the best forum I have been on for a product that has a lot of good features, coming from Sonic Wall there is a small learning curve.

    Thank you - Don