Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 2146 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Astaro's with same public subnet cannot communicate

Adam C
The issue I have run into is this
I have a backup WAN provider for my office
One of my clients has the same ISP and their public WAN also happens to be on the same subnet as my backup WAN
This causes packet drops between our servers and my client's office as they are unable to access any of our web servers which allow remote support and access to our ticketing system

Has anyone run into this before?
Astaro support doesn't seem to have a definite solution


This thread was automatically locked due to age.
  • 0
    that is the spoofing protection. Disabling it helps.

    Wer Schreibfehler findet, darf sie behalten. Wenn ich via IPad poste, sind Verschreiber und grammatikalische Aussetzer irgendwie an der Tagesordnung.
  • 0 in reply to Sascha Paris
    that is the spoofing protection. Disabling it helps.


    This will not resolve the issue that is occurring. The problem is that the packets will try to go out the "best path" which is the wrong ISP, coming in on one ISP and going out on a different ISP (with the source of the initial connection) isn't going to work unless there is cooperation from the upstream ISP.
  • 0
    In line with Sascha's suggestion, please check the Firewall and Intrusion Prevention logs and post a few relevant lines.

    In line with Peter's suggestion, you didn't say whether you are doing Uplink Balancing.  If so, then a Multipath rule should resolve this.  If not, then it seems like a policy route would solve your problem.

    Do you have a public A-record for each IP for the FQDN of the server in question?

    Cheers - Bob
  • 0
    To answer the questions
    There is no IPS enabled on either end
    There is a public A record for each internal server
    No there is no Uplink Balancing enabled at the moment

    What would I try for the policy route?
  • 0
    I really think you'd be happier with Uplink Balancing, but...

    An interface route should work: 'Any -> Any -> {client's IPs} : route via Backup WAN'.  With a Policy Route, you can limit the traffic to response services like 'HTTPS-Response=443->1:65535', but a Standard Static Interface Route should work, too.

    Did you check the Firewall log?  Do you have a Masquerading rule on the backup WAN?  I'm assuming you're not using Web Application Security - right?

    Cheers - Bob
  • 0
    I used to have the uplink balancing enabled but because our backup ISP connection is quite slow and traffic kept getting put over it I turned it off until a decision is made on the speed

    There is no Masqurading rule on the backup WAN as it's only for backup purposes, ie primary wan goes down and the office still needs to work albeit slowly

    not using the web app security

    ---
    the policy route failed
  • 0
    Wait a minute - I think we may be miscommunicating.  It would have helped if you had looked at the Firewall log so we could see what if anything was being blocked.  You may not want to use that routing idea at all.

    Now, I wonder if your problem isn't the Netmask on the backup interface.  What happens if you set that to /32?  da_merlin commented a while ago that the default gateway doesn't need to be in the local subnet of the interface.

    In any case, you can weight the backup interface at 0 so that the only traffic that goes out over it normally is that guided by your multipath rule for your customer.  That keeps you from having to do routing if my new idea about the Netmask is wrong.

    I meant my DNS question a bit differently, but, with the second interface so slow, there's no point in having a second A-record for each server that points at the backup interface.

    Cheers - Bob
  • 0
    I think we may just be let me rephrase this

    The only A records for my web servers point to my Primary WAN not my secondary/backup WAN

    As for my backup interface it is a DHCP lease

    So when my client attempts to access my companies web servers they enter 1.abc.com and it should go out the primary WAN but instead appears to be using the shortest path and going out the backup WAN

    Regarding the Uplink balancing, I just remembered the other reason I turned it off as it killed one of my site to site VPN's, but I've turned it on again and gave it a 0 weight
  • 0
    Yeah, just change the Netmask for the backup interface to /32.  We all thought you meant that his traffic was coming in the backup interface and then being sent out the main one.

    It might be worth paying your reseller to spend a couple hours on your Astaro.  Those other issues are easy to handle for someone with experience, but there's probably some other stuff that could be addressed.

    Cheers - Bob
  • 0
    ok dumb question, how do you change the netmask on a dhcp leased WAN connection on the Astaro...