Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 22 replies
  • Subscribers 2 subscribers
  • Views 12191 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Red Setup - Manual / Split Setup

jstraten
For a remote office location, we initially wanted to go with the Transparent / Split mode, but it says that our entire remote network would go down when the tunnel fails.  According to the Astaro RED Technical Guide we can void this problem by using the Manual / Split mode.

Sadly the otherwise great guide is somewhat vague on the configuration for the Manual / Split mode.

Here is what we did some far:
- RED10 is registered to ASG on RED tab
- RED10 is setup in Standard / Unified mode as suggested in the guide
- Changed REDS1 in ASG to use Ethernet Static and assigned it an IP in the remote nework
- Link and State are showing as UP on the ASG dashboard
- RED10 shows tunnel as established

What else do we need to do?  We still can't ping the other network.  In fact, we cannot even PING the REDS1 IP address on the local network...  Do we need a static route to the IP address used above?

In our environment, the remote office is on a different domain with different DNS servers than the central office.  Ideally, we would like to keep everything separate at this time.

Did anybody get this to work successfully?  What are we missing?

Thank you!


This thread was automatically locked due to age.
  • 0
    Andrew, it seems that your setup is basically what I want to do.  Now, I just need to figure out where the problem is.

    I agree with you on the WAN / LAN concern.  We are just a small start-up company, but I know that some of our customers wouldn't allow that regardless of the reasoning behind it.
  • 0
    limit the tunnel traffic to application server traffic

    Sorry to be dense, but where is the application server and where are the clients?  And, what traffic do you want to NOT route through the tunnel?  Also, what router do you own at the colo?

    I ask because I'm getting the feeling that you'd be better of with Standard/Split, but I really can't "see" what's happening.

    Cheers - Bob
  • 0
    There is an ASG 110/220 at the collocation (data center).  Our application servers are located at that location as well.  Our clients are expected to connect to these application servers using the RED10 device.

    Tunnel Traffic:
    Application server specific TCP traffic
    Mail server IMAP/SMTS traffic

    Non-Tunnel Traffic:
    Everything else

    According to the Astaro RED technical guide, the clients would loose all connectivity if the tunnel to the main office goes down.  Since this device is meant to be used for an office in another country, we are concerned about the tunnel going down.  Our business is too small to afford network redundancy and that office might use a local DSL connection to connect.

    All current testing is being done from my home where I am using Astaro as well.

    Hopefully, this is more clear on what our requirements are.  Thank you!
  • 0 in reply to jstraten
    I also have one very basic question:  The static IP on the reds1 interface is the same as the one specified in the RED10 edit screen, right?


    No. They must be different.

    The IP you specify through the RED edit screen under "[Server] Client Management" is the IP of the WAN port. The IP you specify through the interfaces section of "Interfaces & Routing" is the IP of the LAN ports.
  • 0
    Andrew, you have solved the puzzle! [:)]

    I will add another post in a few minutes to share all my settings to get it to work.  Might save some time for someone else.

    Thank you!
  • 0 in reply to BAlfson
    ...I ask because I'm getting the feeling that you'd be better of with Standard/Split, but I really can't "see" what's happening.


    Bob, we have some sites too with the same "problem". We now use standard split so only traffic destined for main-site goes through the tunnel, but last month we had some downtime on our main-site's connection and during this downtime the remote offices also go black completely since they do point to the RED as default GW in standard/split and the RED fails closed in such a situation.
    Think we're going to change this too shortly just to keep the remote offices running with normal internet access when something happens at the main site.
  • 0
    Manual / Split Setup Instructions for bi-directional connectivity with DNS support:

    A. ASG Host Configuration:
    1. Setup RED10 in Standard / Unified mode setting the host to the public IP of the RED Host.  Uplink mode should be set to static using an IP that is part of the remote network (the network you are connecting your RED10 to).  To avoid confusion, I have defined this IP as a host with the name REDS1.WAN under network definitions.
    2. Locate your new RED10 interface (it should be using reds1 if it is the first one) and change it to internet static using another address in your remote network.  I recommend defining this IP as a host with the name REDS1.LAN under network definitions.
    3. Define your remote network under network definitions.
    4. Create a gateway route under static routing using the remote network as a source.  The gateway should be set to REDS1.LAN.  Don't forget to activate the route when you exit.
    5. If you want DNS to work you will have to add your remote network as an allowed network for DNS.  In addition, you will have to define your remote domain and DNS server on the Request Routing tab.  Don't forget to add a reverse look up as well.
    6. Now we need to add some firewall roles.  Our first role uses the remote network as a source with ANY service and ANY destination.  Then you will need a second role using your REDS1 network as a source with ANY service and ANY destination.  These roles can be adjusted to meet your needs once things are working!
    7. We will also need a NAT Masquerading role using the REDS1 network as a network going to the WAN interface using the primary address.

    B. RED10 Remote Network Configuration
    These instructions assume an ASG at the remote location as well, but it should be possible to use any other router for this purpose.  This router can be connected to a switch, but in any case you will connect the WAN and LAN of your RED10 to the subnet provided by this router.
    1. Define REDS1.WAN and REDS1.LAN using the same static IPs used above as hosts under network definitions.
    2. Create a gateway route under static routing using the ASG host network as a source.  The gateway should be set to REDS1.LAN.  Don't forget to activate the route when you exit.
    3. If you want DNS to work you will have to add your ASG host network as an allowed network for DNS.  In addition, you will have to define your ASG host domain and DNS server on the Request Routing tab.  Don't forget to add a reverse look up as well.
    4. We will also need a firewall role specifying the ASG host network as a source with ANY service and ANY destination.  This role can be adjusted to meet your needs once things are working!

    Once things are working the firewall roles should be adjusted to meet your requirements.  In addition, it is possible to allow one-way traffic by removing (or adjusting) some steps.

    Please note that I am not an expert and so please feel free to correct me or to make suggestions on improving the setup.

    A big thank you to everyone helping me to get this to work!
  • 0 in reply to apijnappels
    Bob, we have some sites too with the same "problem". We now use standard split so only traffic destined for main-site goes through the tunnel, but last month we had some downtime on our main-site's connection and during this downtime the remote offices also go black completely since they do point to the RED as default GW in standard/split and the RED fails closed in such a situation.
    Think we're going to change this too shortly just to keep the remote offices running with normal internet access when something happens at the main site.


    Exactly the same reason here! [:)]
  • 0
    Thanks, I see what's happening now... Some thoughts...  

    Because the remote router only sends specifically-routed traffic to the RED, I don't think it makes a difference whether the RED is in Standard/Unified or Standard/Split.

    It seems to me that it would be simpler to use DHCP mode instead of static as the RED would automatically get a desired IP.  That would allow you to drop-ship the RED 10 to the site without handling it or configuring setup with a USB that you would have to send to the site.  The reason to use a static IP for the reds1 interface is so that the routing in the remote router remains valid.

    Since there's already a UTM at the site, instead of adding a RED 10 to the mix, why not spend $300 (corrected from $200 thanks to a PM from TheDrew below) more to add another 110/120 in Hot-Standby?  A UTM-to-UTM RED tunnel could provide connectivity identical to that provided by a RED 10 without the 30Mbps limitation.  Sophos has a great rack-mount kit for side-by-side 110/120s for about $100.

    Cheers - Bob
    PS Apijnappels, note that the Manual/Split approach requires a separate, NATting router that the RED is then placed behind.
  • 0
    Bob, I was hoping I could somehow make this dynamic, but how would I setup the static routes on the RED10 when the IP is dynamic?