Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 5668 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

BGP default-originate overrides 0.0.0.0 route?

adla-dschmitt
I'm working with some SG310s, setting them up as core routers. I have a new MPLS WAN that uses BGP to shuttle routing information out to the various endpoints.

Since UTM 9 supports BGP I thought I'd try using a 310 as a CE router for a site that has internet service and have it advertise itself as a default route for the MPLS net. The problem with doing this, it seems, is that when I turn on "default-originate" on the neighbor entries I get a another 0.0.0.0 route added to the 310's routing table that points to my MPLS link network. This overrides the regular 0.0.0.0 route to the internet service and I lose internet access through this router. Is there any way to suppress this addition to the 310's routing table while still advertising the 310 as a 0.0.0.0 route to the MPLS neighbors?

In all other respects, the 310 works well as an MPLS CE with BGP.


This thread was automatically locked due to age.
  • 0
    Hi, and welcome to the User BB!

    It appears that you have a lot of knowledge that could be helpful to others here, so I hope we here can help you solve this problem and count on your continued participation.  My sense is that you're describing a solution you might use in Cisco equipment.  Maybe, if you can tell us why you want to do this and how traffic should flow when you're done, we could suggest a solution with the UTM.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    It might be a good idea for you to start an official support case with Sophos --- if you have Premium Support you can do this directly at https://myutm.sophos.com ...

    If you have Standard Support, you can start a case via your reseller.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BAlfson
     My sense is that you're describing a solution you might use in Cisco equipment.  Maybe, if you can tell us why you want to do this and how traffic should flow when you're done, we could suggest a solution with the UTM.

    Cheers - Bob


    I'm working on a hub-and-spoke MPLS interior network configuration between multiple offices. The 320 will act as a hub and provide DIA to the spokes. The "spoke" offices would route all non-local traffic through their MPLS CE router to the 320, which is the "hub" office's MPLS CE router. It's a pretty simple configuration and at this time I've got the spoke nets talking to the hub office's internal nets just fine.

    I can solve this problem by configuring the spoke CE routers with a hard static default route that points to the 320's MPLS interface but would prefer to configure via BGP advertisements since it doesn't require a touch on each spoke CE router.

    I've been using ASG UTMs for more than 5 years in various environments, with REDs and pfSense VPN endpoints, and now the new SG hardware. While I don't have lots of time to cruise boards I'm more than happy to pitch in if I have an answer or advice.

    I have Premium support on the 320 so I'll open a ticket and report back here on the result.


    Dave
  • 0
    Following up...it looks like my MPLS provider's PE routers are doing BGP reflection. The issue was solved by blocking inbound 0/0 net route advertisements. The clue was that the PE router's address was being installed as the default route on the 320 when I was advertising the 320's CE link address.
  • 0 in reply to adla-dschmitt
    Thanks for the info, and welcome to the forum!

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?