Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 4708 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Two ASGs (HA) with dual WAN connected to VLAN

noregrets
I'm making some network changes and plan to end up with the configuration seen in the attached network diagram.  Here is the scenario:

- Two ASG 220s connected in HA active-passive mode
- Two Internet connections from different ISPs
- HP 5406 zl layer 3 core switch/router
- Two WAN VLANs on the 5406, one for each Internet connection. They will not be routable to other VLANs on the 5406; they will just be used to distribute the Internet connections to the ASGs.
- An Internet VLAN on the 5406 that will service the other VLANs on the switch with an Internet connection.  It will have two ports - one connected to the Internal/LAN port of each ASG.
- There will be a static route on the 5406 directing all packets that are destined for a network that is not one of the routable VLANs on the switch to the ASG, which will be accessible via the Internet VLAN.

I already have the the two ASGs working together as an HA unit.  I also have dual WAN working, but the connections are distributed using simple, physical 5 port switches.  The new piece is the 5406 and the VLANs on it.

Does all this look ok from a functionality perspective?  Do I need to define any static routes from the ASGs back to the Internet VLAN on the 5406?  Anything else on the ASGs I need to set up?

Thanks!


This thread was automatically locked due to age.
  • 0
    For some reason, your png won't display in IE9 on my Win7.  It seems like the easiest would be to duplicate your multi-switch approach in the 5406.  That is, at Layer 2, isolate three ports each for each WAN connection and use the other ports for your LANs.

    If you have a DMZ, you might benefit from creating VLANs for your LANs on aggregated NICs.  If you do make that change, be sure to leave one that's not aggregated+VLANed as a backup management interface.  Depending on the age of the 220s, eth4-eth7 might be 100Mb instead of GB like eth0-3.

    Cheers - Bob
  • 0 in reply to BAlfson
    Thanks for your advice.  I attached a jpg version of my network diagram. 

    Yes, replacing the physical switches with 3 port VLANs on the 5406 is what I'm planning to do.  Thank you for confirming that.  Will I need to create any static routes from the ASG back to the 5406?  I don't have any configured now, but I wasn't sure if it would be any different since I will be sending the Internet connection to the LANs using a VLAN on the 5406 rather than a physical switch.

    I do not have a DMZ configured at this point, but I will need to add one soon.  Could you please elaborate on the way you recommend configuring it?  I'm not exactly sure what you mean and why it is beneficial to do it that way.

    Thanks!
  • 0 in reply to noregrets
    Hi Noregrets,

    Looks from your diagram that you're wanting to attempt the same thing I've tackled at our head office. We're running 2510G's and a single WAN link so while not exactly the same, the idea is methinks.

    From a functionality standpoint I can't see any reason why it shouldn't. You're basically moving from physical switches to VLAN's so the big thing is to make sure the VLAN's are properly configured at all three points (ISP, Switch, ASG). There shouldn't be any need for any Layer 3/4 features of that switch in this case.
  • 0
    For example, you might want to move the WAN connections to 100Mb NICs if your 220 USA them. Then aggregate four Gb NICs for all of your internal VLANs. Don't forget to create a management interface first. 

    In fact, with your new switch, you don't need VLANs in Astaro unless you want to aggregate as suggested.  You could simply segregate the LANs physically in the switch as you're doing for the WAN connections. 

    Cheers - Bob

    Sorry for any short responses!  Posted from my iPhone.
  • 0
    Thanks for the guidance, Bob and Andrew.  

    We installed the HP 5406 this weekend and it seems to be working well with one minor issue: I cannot resolve internal host names from the ASG.  If I try to ping servername from the ASG, it tries to route the traffic externally.  If I ping by IP, it routes internally correctly and gets a ping response as expected.  This works because I created a static route for all internal IPs to the VLAN connected to the LAN ports on the ASGs.  

    Also, if I am connected to the VPN and I try to browse to a webpage hosted on our intranet server, it does not resolve the name of the server and doesn't load the page.  However, while connected to the VPN, I can ping (from a command prompt on my computer, not the ASG) servername and it resolves to an IP and gets a response.  

    This seems like an obvious DNS issue, but I'm not sure what to change.  I put our internal DNS server in the DNS forwarder list on the ASG, but that didn't work.  I would appreciate any advice.

    Thanks!
  • 0
    Take a look at DNS Best Practice.  It's not the only way to do things, but it is one good one.

    Cheers - Bob
  • 0 in reply to BAlfson
    Take a look at DNS Best Practice.  It's not the only way to do things, but it is one good one.

    Cheers - Bob


    Just for your information, I don't know if you'd like to update it your best practice post -- but if you uncheck "Use forwarders assigned by ISP" and leave the DNS Forwarders list empty, the DNS resolver will use the root name servers for lookups.

    Just a little tip [:)]
  • 0 in reply to peterkieser
    Peter: Using the root name servers directly is considered a No No in most DNS circles. Can't find an authoritative document off hand but it was drilled into me in university back in '98.
  • 0
    Thanks, Peter.  It never occured to me that folks might leave it empty instead of adding the OpenDNS servers as recommended!

    Cheers - Bob
  • 0
    Hi,
    In addition to being frowned upon, using the root servers will normally be SLOWER than ISP DNS unless you have a very low-latency connection, or your ISP's servers are overloaded.

    Even if you have a very low-latency connection, OpenDNS or Google DNS are likely to be faster as they will be caching much more than you could.

    Google makes a tool to test DNS latency, btw.

    Barry