Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 5656 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Uplink Interfaces

Lioness
Hi all,

today I configured a secondary Internet connection and the Uplink Balancing with both internet connection (WAN1 and WAN2) in "Active Interfaces".

I noted this issue:

I have some Pubblic IPs which are enable to connect in Web Admin to the appliance. In Advanced option of the Pubblic IP network objects, I configured the WAN1 interface. Now I change it using the "Uplink Interfaces" but I'm not able to connect to WAN2 Web Admin (drop packet). If as "interface" option I use "Any", all works.

The virtual network interface "Uplink Interfaces" comprises ALL uplink interfaces added to the interface list, doesn't it? So, both WAN1 and WAN2.

Thanks for all your suggest.

Regards,
Stefano


This thread was automatically locked due to age.
  • 0
    Hi, it is normally not recommended to change the interface on a Network Definition.

    You can control which networks can connect to WebAdmin via the Admin settings.

    Barry
  • 0
    Stefano, it's like Barry says - what I call Rule #3:

    Never create a Host/Network definition bound to a specific interface.
    Always leave all definitions with 'Interface: >'.


    Cheers - Bob

  • 0
    Hi,

    thanks for your suggests.

    xBarry: I control which IPs can connect to WebAdmin via the Admin settings but the connection to WAN2 IP is allowed only with "any" in Interface Network Object

    xBob: your "rule#3" is a best practise or there is some issue about Interface option?  It's very strange that the solution is "not use it". Could you confirm that the virtual network interface "Uplink Interfaces" comprises ALL uplink interfaces added to the interface list? So, if I use it for example in IPSec VPN configuration, it rappresent BOTH the WAN1 and WAN2?

    Regards,
    Stefano
  • 0
    Rule #3 is there because not following it causes routing problems with VPNs and NATs.  Only someone that knows iptables internal workings will have enough knowledge to use this capability.

    Yes, it includes the primary address of each of the interfaces listed on the 'Uplink Balancing' tab.  If creating a site-to-site, you will need a multipath rule binding the IPsec traffic for it to WAN1 (for example).  On the other side, you would need to use an Availability Group with the WAN1 IP in the first position and the WAN2 IP in the second.

    Cheers - Bob
  • 0 in reply to Lioness
    xBarry: I control which IPs can connect to WebAdmin via the Admin settings but the connection to WAN2 IP is allowed only with "any" in Interface Network Object


    Hi, I'm not sure I understand... maybe screenshots and/or a data-flow diagram would help.

    Barry