Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 1825 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Certain S2S traffic through fix interface

IngoPohlschneider
Hello
we got some WAN-boosters in some branch offices. The booster at our headquarters is limited in its "optimized throughput"

Therefore I'd like to make sure that only traffic coming from a network that is optimized is passed to the booster.
I'd like to do that by sending the traffic from the S2S tunnels that have a booster through one of the local interfaces, where I would then connect the booster mainunit.

All other traffic (from other VPN, the Internet etc.) should leave over another LAN interface.

How do I do that? via a policy route?

The booster is an inline-device. It will be attached between the interface and the L3-LAN switch

See attached schematic

Best regards


This thread was automatically locked due to age.
  • 0
    I don't understand what you want to do, but I suspect that NATs and Routing are not what you want.

    If site A is has no booster, site B has a booster and site C is the central site with a booster, what traffic should go through what to where?

    Cheers - Bob
  • 0
    Hey BAlfson,
    the boosters are sh**-in sh** out. So they are connected inline

    Only branches that are "big enough" get such a toy.

    But the one on the main site optimizes up to 45MBits, everything else passes the device un-optimized. This could lead to traffic going to a boosted branch not being optimized

    Therefore I want to make sure that traffic from branches with a booster leave via e.g. eth3 to the LAN (there is a L3 switch that makes sure traffic reaches its destination) and traffic from WAN, road-warriors and other VPNs should leave via eth1 or so.

    I am not sure how to accomplish that.
    Shouldn't involve NAT should it?

    The main site has a static route directing certain 10.x.0.0 networks to the core-switch gateway.

    So now I somehow need to exclude traffic from certain source-networks to take that route but take another one. 

    Smells like policy routing to me?! (Never used that before)

    Hope everything becomes clearer 

    Best regards
  • 0
    Hello
    I attached another graphic of my planned structure

    Does it work like that?

    Which routes are handled first? Static or Policy?

    If static I would have to use two policy routes right?

    Or do you see another way to do that?

    Best regards
  • 0
    No ideas?

    I really need my traffic towards LAN to be splitted based on the source network

    best regards
  • 0
    I think you only need the policy route in the UTM and to define the VPN between the two sites correctly.   It should work as you've diagrammed it. 

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
  • 0
    Hello Bob,
    the VPNs are currently configured to see the 10.0.0.0/16 network as the remote site.
    Everything there works fine. The only thing I need to do is to "split" the traffic towards the core switch into two chunks: general traffic and optimized traffic

    Somehow the UTM needs to now what to route where.
    The LAN-interface is a 10.0.x.0/24 interface, so there is the mentioned static route to make sure everything else is routed to the core switch-address within that specific network.

    If I find the time tomorrow I will just give it a try using my User Network object and dialing in via L2TP.
    I could then monitor the "optimized" port on the coreswitch if my traffic comes thru there.

    I will let you know if that works [:)]

    Best regards so far
  • 0
    Hello everyone,
    I can tell you that it works as a charm [[:)]]

    I set up a policy route with User-Network (my L2TP-connection) -> Any -> Any -> GATEWAY .

    Worked right away.

    Of course one has to make sure that the return traffic is also routed via that interface from the core switch.

    Thanks for the help guys/girls [[:)]]

    *SOLVED*