Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 4006 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Uplink Balancing

KUnger
Hello, 
I'm trying to get uplink balancing to work on my ASG v7.500 but for the life of me I can't figure it out. I have set up everything as per the examples given in this forum and those given by the guides from Astaro. After setting it up, all of my traffic still goes out one connection and not the other. Any suggestions will be appreciated. 

Network > Interfaces:






This thread was automatically locked due to age.
  • 0
    Try changing the MultiPath rule to persistence by Source/Destination.  I think "by Connection" probably can't work for web surfing.

    Did that do it?

    Cheers - Bob
  • 0 in reply to BAlfson
    Negative, All traffic is still going out of the "Old T1" connection. It's almost like it's treating it as a Failover instead of a Multipath. It seems to be using whatever connection is listed first on the Uplink Balancing page.
  • 0
    Are both of your uplinks recognized as "up" by the ASG?

    - have a look at the Dashboard and see whether all 3 Ifs have an "active" link and an "active" state. I am guessing but might it be you have one or even both uplink IFs in the "error" state?

    so if this refelects your status quo, the solution is probably easy: 
    change your monitoring hosts to some hosts in the internet - or even try it with the "auomatic monitoring", which does a good job in many cases. If you really need the manual monitoring, then do NOT youse ans local host there - use publically reachable servers like 141.1.1.1 (cns core dns server), one of the root dns servers,  or so
  • 0 in reply to Ölm
    Both of my links do show as active/up on the dashboard. I would like to be able to use the automatic monitoring, however, we do not allow ICMP out of one of the lines. So when I use automatic monitoring, one of the lines shows as being down. The hosts that I set up manually are local hosts. Each one is set to be connected through 1 of the interfaces. After setting this up, my interfaces show as being up. Since this is currently in our test lab, I am wondering if perhaps I'm just not putting a high enough demand on the one interface for it to move over to the next?
  • 0 in reply to KUnger
    Both of my links do show as active/up on the dashboard.


    hmm, what a pity, then I was on the wrong assumtion...

     I would like to be able to use the automatic monitoring, however, we do not allow ICMP out of one of the lines. So when I use automatic monitoring, one of the lines shows as being down. The hosts that I set up manually are local hosts. Each one is set to be connected through 1 of the interfaces. After setting this up, my interfaces show as being up.  


    ok, this is what I expected to be the problem, but if you say in Dashboard both lines are shown as "up"  (link and status) then it seems you have set up the manual monitoring  settings correctly.

    Since this is currently in our test lab, I am wondering if perhaps I'm just not putting a high enough demand on the one interface for it to move over to the next?


    yep, this could be - depending on how you tested your lab environment.
    My next assumption would be this:
    in your lab, you have two WAN uplinks (which you have configured correctly, it seems), and you have one ASG and one internal "client" to make the outgoing connections.
    Then you configure some setting on the Uplink balancing/Multipath Rules section of the ASG, afterwards you make some outgoing connections from this client  - like surf the web, send some mails, ... whatever.
    In parallel, you inspect the two WAN links and discover which of the two lines the outgoing traffic goes out.

    Is this correct?

    How many internal clients do you have in your lab? How do you inspect the two lines and discover which is used by the outgoing traffic?
  • 0 in reply to Ölm
    I have 1 client in the test lab. (Me with 8 browser windows open hitting refresh lol) I have been using the Astaro's interface monitor to watch for port 80 traffic on both interfaces. Unfortunately the interface monitor isn't as accurate as something like Wireshark.

    I have moved this Astaro in to a live environment with 50+ users to see if that helped make it clear whether or not the balancing was working... lol. Not really. The interface monitors refresh at different times so it's hard to say that they are really being balanced.

    So far I haven't seen any port 80 traffic on the interface listed 2nd in the priority box. Only DNS traffic is on that NIC, since that is where our internal DNS server is.
  • 0 in reply to KUnger
    I have 1 client in the test lab. (Me with 8 browser windows open hitting refresh lol) 


    Ok, then the behaviour is quite normal, at least if you don´t have special multipath rules, because the default uplink balancing  algorithm is:
    balance by source IP
    This means, a client will ALWAYS go out via the same link. This hitting the refresh button in the same browser of the same client will lead to noting.

    You have to insert a multipath rule like this:
    Src: Internal LAN
    Dest: ANY
    Service: HTTP (or yuse "web surfing" group)
    Persistence: by connection

    Then you can do the test again.

    Please remove the rule after testing successfully, because the "by connection" persistance is not intended at all for web surfing in a productive environment!

    I have been using the Astaro's interface monitor to watch for port 80 traffic on both interfaces. Unfortunately the interface monitor isn't as accurate as something like Wireshark.


    Hmm, well, the interface monitor is very new in V7.500 and yet a little bit buggy. I wouldn´t expect it to create accurate output for your tests at the moment. Better go on the command line with  two Putty sessions, in one session make a tcpdump on your first WAN link, in the other session make a tcpdump on your second WAN link, then you´ll see exactly what goes out over which line.

     I have moved this Astaro in to a live environment with 50+ users to see if that helped make it clear whether or not the balancing was working... lol. Not really. The interface monitors refresh at different times so it's hard to say that they are really being balanced.


    hmmm...

    So far I haven't seen any port 80 traffic on the interface listed 2nd in the priority box. Only DNS traffic is on that NIC, since that is where our internal DNS server is.


    this statement confuses me totally.
    Your INTERNAL DNS server is located on interface 2, which you configured as  uplink interface, which goes out the the internet? So, your INTERNAL DNS server is physically located IN FRONT of your ASG ? or at the internet provider? or am I completely missing something here?
  • 0 in reply to Ölm
    Yes sorry, I should've explained that one a little more. I only wanted a certain number of machines to be behind the Astaro, so I created an internal subnet just for the Astaro. 192.168.3.x is the Astaro's "Internal" subnet and 192.168.1.x is the "External" subnet. Our DNS server is actually on the Astaro's "External" subnet because I don't need the DNS server to have the Web Filtering capabilities of the Astaro. So eth0 is the 192.168.3.0/24 network, eth1 is the 192.168.1.0/24 network which is where the DNS server is, and eth2 is an extra T1 line. I'm trying to balance the http traffic (we only use it as a web proxy) between eth1 and eth2. 


    Anyways, I will try the tcpdump and see where that gets me. Thanks for the help.
  • 0
    KUnger, you do have another firewall with Intrusion Protection between your DNS server and the outside world, don't you?

    Cheers - Bob
  • 0 in reply to BAlfson
    KUnger, you do have another firewall with Intrusion Protection between your DNS server and the outside world, don't you?

    Cheers - Bob

    Of course lol...