Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 15170 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Internal subnets restricted to specific external interfaces

mrainey
I have a site where there are 2 internal subnets. Each subnet needs to use a specific external interface. From the firewall I can traceroute to the Internet over either interface, but from the network, I can access the Internet only over the original External Interface. When connected to the 2nd subnet and using the second interface for the gateway, I am going nowhere.


This thread was automatically locked due to age.
  • 0
    Uplink Balancing and Multipath Rules are what you need.  After enabling/configurating Uplink Balancing, make certain that both external interfaces have a default gateway set and check your MASQ rule that the Interface is "Uplink Interfaces"
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    I think your original approach would have worked if you're used a Gateway Route instead of an Interface Route.  See Policy Route - a second WAN Connection: Astaro Security Gateway.  Scott's prescription is the "modern" way to do it though, and is preferred.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Thanks for the suggestions. The Multipath rule works for one of the subnets and interfaces. There is a complexity to the second config. Both Internet services are DSL, but 1 is an 8 block so can be configured as PPPoE interface the way one normally does things: External IP Address with an External GW. The second WAN is a single IP address so has to be configured using the DSL routers LAN address: So, using defaults, the DSL modem at 192.168.01, the UTM Interface is at 192.168.0.2. Say I have a subnet 192.168.10.0. If I multipath it to the Interface at 0.2 it does not see 0.1 no traffic goes out. If I policy route it to 0.1 it still does not go out. Is there any way to make this configuration work?
  • 0
    PS: So my interfaces are like this. (Numbers are arbitrary)
    eth 0 internal subnet 192.168.12.0
    eth 1 external IP address with external Gateway
    eth 2 192.168.0.2 address with default gateway of 192.168.0.1 (The DSL modem)
    eth 3 internal subnet of 192.168.10.0
  • 0
    I bet you can bridge that DSL modem to get a public IP on eth2.  Two multipath rules should do what you want with no Static Routing required.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    The Telco says they will not bridge mode a router with a /30 subnet, I would have to upgrade to a /29. It's extra expense and a waste of IP addresses and I was hoping to find away around it. That's what I had to do for the first one.
  • 0
    Finally got the right tech on the line at the Telco and he bridged the /32 subnet. The multipath rules I am using are Internal1 => Web Surfing => AnyPlace => External1 Persistence by Interface. I think it's working but it hard to verify because the external interfaces are PPPoE from the same vendor and have the same gateway, so tracert is not helpful.
Unfiltered HTML