Guest User!

You are not Sophos Staff.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

mutlipath rules don't have any effect

Hi,

since this morning the IPS and AV broke down everything seems to be in order again.
BUT my multipath rules don't work anymore!

I have set it up as shown in the attached pictures but I'm still only going out over the "Standleitung netcologne" line. Although surfing on port 80, 8080 and 443 is set to use the "DSL Telekom" line, I try to surf to a site that shows me what IP I come from (What Is My IP Address? Lookup IP, Hide IP, Change IP, Trace IP and more...) it shows me that I'm using the wrong line.

Same problem for SMTP. I noticed this because I got rejected by RDNS checks that of course don't work anymore if it uses the wrong line.

what helps is changing the order of the uplink interfaces. everything goeas out over the first one just as if it was configured like failover. but it is not!

Any ideas?


This thread was automatically locked due to age.
Parents
  • Systembeheerder, the easy answer is that a packet that doesn't qualify for a traffic selector goes out the default (first) interface.

    I think that, if you're going through the HTTP/S Proxy and using only one External interface, the origin of a packet is the External interface.  For example, before uplink balancing, if one wanted proxied HTTP traffic to leave via a second interface, part of the solution was a SNAT with "External (Address)" as the source in the traffic selector.

    So, if you want the traffic for other subnets to go out a different interface, you can't let them use the proxy - the subnet must be removed from 'Allowed networks' and their traffic allowed by packet filter.
    I believe that Astaro has changed this for the HTTP/S Proxy only (and none of the others).  You now should be able to use traffic selectors for Web Surfing with interior subnets as sources.

    And, Krycek, I don't understand how your SMTP traffic selector worked with proxied traffic before.  (Just as aside, you could add rDNS for the second interface so you don't get rejected if the primary connection for SMTP goes down.)

    Cheers - Bob
Reply
  • Systembeheerder, the easy answer is that a packet that doesn't qualify for a traffic selector goes out the default (first) interface.

    I think that, if you're going through the HTTP/S Proxy and using only one External interface, the origin of a packet is the External interface.  For example, before uplink balancing, if one wanted proxied HTTP traffic to leave via a second interface, part of the solution was a SNAT with "External (Address)" as the source in the traffic selector.

    So, if you want the traffic for other subnets to go out a different interface, you can't let them use the proxy - the subnet must be removed from 'Allowed networks' and their traffic allowed by packet filter.
    I believe that Astaro has changed this for the HTTP/S Proxy only (and none of the others).  You now should be able to use traffic selectors for Web Surfing with interior subnets as sources.

    And, Krycek, I don't understand how your SMTP traffic selector worked with proxied traffic before.  (Just as aside, you could add rDNS for the second interface so you don't get rejected if the primary connection for SMTP goes down.)

    Cheers - Bob
Children
No Data