Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 1018 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASG220 v7.402 using two ADSL routers, How?

jamesynds8
Hi,

On of our clients has just upgraded from an ASG120 to ASG220 v7.402. So far everything is fine and working away. The reason for the upgrade is to connect via site to site VPN the remote branches.

At present they have the existing ADSL link for the office staff  (HQ) to have Internet email etc. Another ADSL line (different ISP - with 8 ip addresses) has been installed at HQ which we want to use for the VPN Site to Site (in total there will be 5 remote branches). 

I can see in the help / guides etc That there is "uplink balancing / failover" but I am uncertain as to how to configre the ASG220 to use the new ADSL Line (connecting it to the new ADSL router is not the issue), the issue is how to have the VPN when configured to use the new ADSL and only have this traffic on this new ADSL line i.e we do not want the HQ internet traffic to use it.

Although once we get this to work we may use both lines in a failover setup, but for now I really need to know how to configure the ASG to use the new ADSL link for VPN site to site only?

Jamesy


This thread was automatically locked due to age.
Parents
  • 0
    Hi, James,

    Maybe I'm missing something, but I don't think this is any different than configuring with a single WAN connection.  Use the second WAN interface in defining the HQ's IPsec Connection, and use its IP in the Remote Gateway definitions of the branch offices.

    Cheers - Bob
    PS There's a good thread here that describes using an Availability Group to have the VPN connection fail over to the other WAN connection.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Thank you for getting back to me.

    Yeah, I can see that now. Just being a bit of an "eejit". I will just have to remember to choose the correct interface (eth7) instead of just using "any". We are hoping to get an ASG120 in all the branches as I wan to use the ACC to SSL site to site the Astaro's. 

    But for the meantime they gone and got a DrayTek VIGOR2820 ADSL router for the first branch (without asking us of course). Looks simple enough toi VPN to this DrayTek.

    Just out of curiosity, have you used the new WAN failover yet?

    Once again, thank you.

    Jamesy
  • 0 in reply to jamesynds8
    You would have figured that out as soon as you started to set it up!

    WAN Failover?  I've experimented with it in my office by connecting a second interface through a switch to our WAN connection, then disconnecting a cable to simulate a dead connection.  It worked, so I'll feel comfortable using it when I get the chance.  I'm still unclear on how/why to select a particular flavor of interface persistance for different services, so I'll be doing more experimenting when presented with a specific opportunity.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0 in reply to jamesynds8
    You would have figured that out as soon as you started to set it up!

    WAN Failover?  I've experimented with it in my office by connecting a second interface through a switch to our WAN connection, then disconnecting a cable to simulate a dead connection.  It worked, so I'll feel comfortable using it when I get the chance.  I'm still unclear on how/why to select a particular flavor of interface persistance for different services, so I'll be doing more experimenting when presented with a specific opportunity.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    Hello again,

    Well things are not as straight forward as we thought ....

    The normal way to set the ASG up to an ADSL router for internet is the ASG will have a default gateway. That gateway will usually be the LAN side of the ADSL router.

    But add in another ADSL router (different ISP) on say eth7 - there is no default gateway as the ASG can only have one "default" gateway.

    At present we can not ping the address on eth7. Yes, we can ping the ASG on the existing external interface. The ASG can ping the address on eth7, but that is as far as it goes.

    Loosing the plot very quickly

    Jamesy
  • 0 in reply to jamesynds8
    After much scratching of heads, we got it working. All it took in the end was a simple drawing, pen and paper to show how it was setup and how we wanted the traffic / VPN to flow.

    In the end we put in a Static Route ...

    Route Type: Interface
    Network : (The definition for the remote end of the VPN - ADSL router external address)
    Interface : eth7 (this is where we have the VPN going through, direct via the patch panel to the new / additional ADSL router)

    VPN up and running, all traffic from the remote site going to the LAN of the ASG as their internet proxy and HTTP Proxy profiles working a treat for the HO staff and for the remote site - HO using eDir SSO and the remote site using Basic Authentication.

    Ta for your help.

    Jamesy
  • 0 in reply to jamesynds8
    Thanks for posting the solution, James, and for the reminder that the biggest part of getting the right answer is understanding the real question!

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Cookie Information Banner