Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 4712 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Two ASGs (HA) with dual WAN connected to VLAN

noregrets
I'm making some network changes and plan to end up with the configuration seen in the attached network diagram.  Here is the scenario:

- Two ASG 220s connected in HA active-passive mode
- Two Internet connections from different ISPs
- HP 5406 zl layer 3 core switch/router
- Two WAN VLANs on the 5406, one for each Internet connection. They will not be routable to other VLANs on the 5406; they will just be used to distribute the Internet connections to the ASGs.
- An Internet VLAN on the 5406 that will service the other VLANs on the switch with an Internet connection.  It will have two ports - one connected to the Internal/LAN port of each ASG.
- There will be a static route on the 5406 directing all packets that are destined for a network that is not one of the routable VLANs on the switch to the ASG, which will be accessible via the Internet VLAN.

I already have the the two ASGs working together as an HA unit.  I also have dual WAN working, but the connections are distributed using simple, physical 5 port switches.  The new piece is the 5406 and the VLANs on it.

Does all this look ok from a functionality perspective?  Do I need to define any static routes from the ASGs back to the Internet VLAN on the 5406?  Anything else on the ASGs I need to set up?

Thanks!


This thread was automatically locked due to age.
Parents
  • 0
    Thanks for the guidance, Bob and Andrew.  

    We installed the HP 5406 this weekend and it seems to be working well with one minor issue: I cannot resolve internal host names from the ASG.  If I try to ping servername from the ASG, it tries to route the traffic externally.  If I ping by IP, it routes internally correctly and gets a ping response as expected.  This works because I created a static route for all internal IPs to the VLAN connected to the LAN ports on the ASGs.  

    Also, if I am connected to the VPN and I try to browse to a webpage hosted on our intranet server, it does not resolve the name of the server and doesn't load the page.  However, while connected to the VPN, I can ping (from a command prompt on my computer, not the ASG) servername and it resolves to an IP and gets a response.  

    This seems like an obvious DNS issue, but I'm not sure what to change.  I put our internal DNS server in the DNS forwarder list on the ASG, but that didn't work.  I would appreciate any advice.

    Thanks!
Reply
  • 0
    Thanks for the guidance, Bob and Andrew.  

    We installed the HP 5406 this weekend and it seems to be working well with one minor issue: I cannot resolve internal host names from the ASG.  If I try to ping servername from the ASG, it tries to route the traffic externally.  If I ping by IP, it routes internally correctly and gets a ping response as expected.  This works because I created a static route for all internal IPs to the VLAN connected to the LAN ports on the ASGs.  

    Also, if I am connected to the VPN and I try to browse to a webpage hosted on our intranet server, it does not resolve the name of the server and doesn't load the page.  However, while connected to the VPN, I can ping (from a command prompt on my computer, not the ASG) servername and it resolves to an IP and gets a response.  

    This seems like an obvious DNS issue, but I'm not sure what to change.  I put our internal DNS server in the DNS forwarder list on the ASG, but that didn't work.  I would appreciate any advice.

    Thanks!
Children
No Data