Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 2 subscribers
  • Views 3415 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Second GW for another ISP over Static Routing

burn.rom.burn
Hello together, 

I'm trying to set up a second GW for a secong ISP. 
Maybe it's not usefull to do this over Static Routing, so I need a little help here. 

First of all a little overview: 
We are using the Sophos UTM9 (Software-Appliance) on a computer with 5 network interfaces. 

Interfaces: (IPs are changed by editorial staff)
eth0 - with a own subnet for maintenance connection 
eth1 - External WAN (ISP_A) - 192.168.10.2/24, Default GW 192.168.1.1 [that's the modem ip
eth2 - Internal A(Trusted) - 190.0.11.1/16 
eth3 - External WAN (ISP_B) - 95.96.97.2/29 
eth4 - Squid-Proxy - 192.168.20.1/24 [this is only for testing a Squid Proxy
--Additional Addresses: 
--Internal B(Trusted) - 190.0.12.1/16 on Interface "Internal A (Trusted)" [eth2

Network Protection >> NAT: 
Internal A(Trusted) (Network) -> eth1 External WAN (ISP_A) 
Internal B(Trusted) (Network) -> eth3 External WAN (ISP_B) 
Squid-Proxy -> eth1 External WAN (ISP_A) 

Network Protection >> Firewall: 
Internal A(Trusted) (Network) ->  Any / Websurfing 
Squid Proxy(Trusted) (Network) ->  Any / Websurfing 
Internal B(Trusted) (Network) ->  Any / Websurfing 
...and some more 

############### 

The users have 190.0.11.1 [Internal A(Trusted)] as their GW on their workstations and there is no problem to surf in the internet. 
Some test users have 190.0.10.1 (which is the Squid Server which is using the External WAN (ISP_A)) as their GW and everything works fine. 

Ok, now I want to add my second ISP (ISP_B), so I set up eth3 and the "Additional Adress" on eth2 you see listed above. 
After that I recognized that it isn't possible to give eth3 another (needed) GW for the ISP_B. 
So I decided to use Interfaces & Routing >> Static Routing
Route Type: Gateway route 
Network: Internal B(Trusted) (Network) 
Interface: External WAN (ISP_B) [eth3
Gateway: ISP_B-Host (95.96.97.1) [Type:Host]

This seems all right to me. Weird thing: If I click Edit the Interface has changed to External WAN (ISP_A) [eth1]! [:S] 
Why? What is this about? Is this an error or is my setup not possible in this way? 

It would be great to hear some ideas and/or solutions to this. Maybe Static Routing is not the best way to add an second ISP or my Internal B should be in another subnet. 
Oh, by the way: I'm not sure how clever it is to have the same (automatic) Network Definition with (Network) [190.0.0.0/16] and (Brocast) [190.0.255.255] for Internal A(Trusted) [190.0.11.1] and Internal B(Trusted) [190.0.12.1]... 

Cheers


This thread was automatically locked due to age.
  • 0
    Hi, the preferred way to manage 2 uplinks is the Multipath / Uplink Balancing system in the UTM.
    There are some articles in the Knowledgebase about it.

    Barry
  • 0 in reply to BarryG
    Hello Barry, 

    is it this article or thisEDIT: Ah, there...

    I don't want balancing any traffic - I need a second GW for a second ISP. 
    It's for splitting two groups to their own ISP. I thought this would be possible in one machine.
  • 0 in reply to burn.rom.burn
    It is possilbe, just use Multipathing and Multipathing rules.

    One internal net is using one external ISP. 

    With 9.1 there is an advanced section in every multipathing rule, please uncheck the box to make sure internal NET1 is not using external ISP2 when ISP1 fails.

    Sven

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

  • 0 in reply to maygyver
    It is possilbe, just use Multipathing and Multipathing rules.
    Sven


    I'll have a look into that.
    But how to I get my second GW? 

    In the last one hour: 
    After reading Policy Route - a second WAN Connection (which seems to be the one I was searching for) I changed the subnet of my Internal B(Trusted) and 
    deleted the Interfaces & Routing >> Static Routing entry and make a similar one with Policy Route
    But there is still this crazy error that my Destination Gateway is jumping back from WAN_B to WAN_A
    I also tested my internet connection and what IP I have. It's the one for WAN_A. So my GW routing is really using the wrong Destination Interface [:@]

    Now I will also have a look on the multipathing all of you recommend.
  • 0
    Just add/set the default gw on the Second ISP Interface.

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

  • 0 in reply to maygyver
    Just add/set the default gw on the Second ISP Interface.


    Sorry, but this isn't possible. You can have only one Default Gateway and this is "owned" by the ISP_A interface!
  • 0 in reply to burn.rom.burn
    I helped a customer with this the other day; there is a way to do this with Policy routing... but the best way is to implement Uplink Balancing, and create Multipath rules to route the traffic according to your requirements... I've implemented this same scenario successfully using that.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0
    Since 190.0.12.1 is in 190.0.11.0/16, you should define the Additional Address as /32.

    I agree with the others that have recommended Uplink Balancing with Multipath rules.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Ok, sounds interesting. 
    Today I had not much time to go deeper into it. Maybe tomorrow. 
    I will get back to you guys if more questions will come up. 

    Thanks
  • 0 in reply to burn.rom.burn
    just set the default gw on the second ISP and everythin will work like magic.

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

Cookie Information Banner