Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 980 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Route Map Question (I think)

tom11011
Hi group.

Well we have gone ahead and rented space from a second data center for our new DR site.

What we are going to do is replicate all of our virtual machines from SiteA to SiteB.  These virtual machines will be replicated identically meaning that their lan addresses of 192.168.1.X will not be changing.  In the event of a disaster, our plan is to switch over to siteB by powering up the virtual machines and simply changing external DNS to the new routable IP addresses and having NAT preconfigured on the SiteB astaro.

This is where some difficulty comes in.

We have an astaro to astaro VPN setup.

SiteA (production) uses LAN Addresses in the 192.168.1.X range.
SiteB (DR) uses LAN addresses in the 192.168.2.X range, but only for the equipment that the VM's and will reside on.  The VM's themselves will be 192.168.1.X.

So, I reconfigured the astaro inside interface to ethernet vlan and made the appropriate changes on my switch.  Servers on both networks at site B (1.X and 4.x) can get out to the internet, but my 4.X network will no longer communicate over the VPN to site A, because it is confused with two 1.X networks now.

I'm thinking this is easily solved with 2 physical firewalls, but obviously I don't want to do that if I don't have to.

What I need to do is tell the astaro that all my devices on 4.X network at site B, when they need to communicate with 1.X, they should use the vpn and not the direct connection on the astaro itself.


This thread was automatically locked due to age.
  • 0
    Tom, in the event of a disaster, when it's over, won't you need to be able to sync the DR site back to the main site, so isn't the problem is on both sides?

    How many internal 192.168.1.x IPs total for the VMs?

    Cheers - Bob
  • 0
    Hi Bob,

    The replication product will handle the sync back through the same means as it replicates.  So long as my 2.X network is up at site B, when site A comes back on line with 1.X it will work, providing I can get my vpn working with this overlap.

    I just tried a policy route but it didn't work.  There doesn't seem to be a provision in the policy map config to use a vpn interface.

    I basically said, any traffic that is arriving on the 192.168.2.0 vlan'd interface that has a destination of 192.168.1.X, use the external interface.  There was no choice for vpn.

    I'm not sure what to do here.

    I have 2 vlan'd inside interfaces and 1 external.  I'm wondering if I now need to add a new public network on a separate interface.

    Basically, I need the astaro to act as two different devices.  If 2.X and 1.X at site B never can talk to each other, that would be just fine.

    We have about 50 virtual machines at site A that need to be replicated to site B.  I have to believe this is common as many companies now have 2 datacenters for DR.

    Please let me know your thoughts on the policy routes.

    Just to be clear, my vpn between site A and Site B works, until I turn on the sub-interface for 192.168.1.1, then the vpn dies because all of the sudden 192.168.1.X is now directly routed in the astaros routing table.
  • 0
    providing I can get my vpn working with this overlap

    Exactly.

    We have about 50 virtual machines at site A that need to be replicated to site B. 

    Well, you're at the boundary.  Is it easier to configure the DR site with a different subnet, or to create NAT rules on both sides with "phantom" IPs to be able to support the identical subnets?  Only you can answer that.

    Then again, is that 50 IPs?

    Cheers - Bob
  • 0
    yep, 50 ip's.

    I took this a step further and created another outside interface on the astaro and routed a new block of ip's.  No good here either, the second interface will not allow for another default gateway, tried a policy map as well.  No luck.

    If we could have a policy map that allows for a vpn interface, that probably would do the trick, but I don't think that is a feature on astaro firewalls.

    Anyway, I have just emailed my customer the bad news, seems we will need another firewall dedicated to the DR network, which isn't all that bad, just have to open ports on the new firewall to match the production site for the day when a disaster occurs and we simply change DNS to point to the new site.  Cuts down on the complexity and no vpn required for this network (which will probably never see the light of day).

    As a side note, this is the first time I'm doing a DR site where replication occurs over vpn.  The other sites and customers I've done this for all had dedicated point to point links for replication and this never came up.

    Thanks for your assistance.

    Tom
  • 0
    As a side note, this is the first time I'm doing a DR site where replication occurs over vpn. The other sites and customers I've done this for all had dedicated point to point links for replication and this never came up.

    How have you resolved the issue of identical subnets in those situations?  Depending on your answer, I might have a suggestion...

    Cheers - Bob